ISO 27001: Descripción general de las etapas del Seguridad de la Información
ISO 27001
El Sistema de Seguridad de la Información (SSI) basado en la norma ISO 27001 se ha realizado con una estructura que se encuentra compuesta por cuatro etapas diferentes de carácter progresivo y acumulativo, estas cuatro etapas son:
- Diagnóstico
- Planificación
- Implementación
- Evaluación
Estas etapas reflejan el ciclo de mejora continua conocido como PDCA, se integra en estas fases todos los elementos constitutivos del SSI.
Durante la etapa de diagnóstico se identifican todos los activos relevantes de la información que soportan los procesos de previsión. Esta identificación se tiene que considerar como la información que trascurre entre las diferentes etapas de dichos procesos, las personas que participan en cada etapa y la infraestructura relaciona, de tal forma que se llegue a constituir un inventario de activos de información.
Esta etapa exige que se realice un análisis de todos los riesgos que afectan a dichos activos, creando la posibilidad de identificar los controles y los objetivos, mediante los requisitos que se recogen en la NCh-ISO 27001:2009. El producto generado de esta fase se obtiene de un inventario de activos que está perfectamente estructurado y debe ser el objetivo de actualización permanente, a lo largo de todo el ciclo de vida del Sistema de Seguridad de la Información.
Durante la etapa de planificación, se tienen en cuenta todos los controles que han sido declarados como no cumplidos durante la etapa de diagnóstico, y deben ser abordados, para esto se realizan iniciativos con una adecuada implementación, lo que hace que sean transferidas a un programa de trabajo anual. En esta fase se establecen todos los elementos que se encuentran en el marco de gobierno para incrementar la Seguridad de la Información, además se deben proponer los indicadores necesarios para poder desempeñar las medidas de efectividad del Sistema de Gestión de la Información (SSI).
En la fase de Implementación se realizan iniciativas detalladas en el programa de trabajo, en las que se miden los indicadores de desempeño expresados.
Durante la etapa de evaluación, se realiza el proceso de desarrollo y difusión de los resultados obtenidos durante la fase de implementación, se realizan recomendaciones necesarias para poder velar por la aplicabilidad de esta fase.
A la misma se tienen que considerar las acciones que faciliten el establecimiento de un control y una mejora continua, como pueden ser: revisiones de los resultados de los indicadores, actualización del inventario o la gestión de riesgos en la Seguridad de la Información.
Para realizar cada una de las fases se tiene que presentar una serie de documentos, que permiten que se cumplan todos los requisitos de la norma ISO27001.
Durante este post vamos a ver con mayor nivel de detalle la fase de diagnóstico.
Fase I: Diagnóstico
Las acciones que se deben realizar durante el diagnóstico son:
- Seleccionar un conjunto de procesos de proveniencia institucional que defina el alcance del Sistema de Seguridad de la Información. Esta selección tiene que estar justificada y se tiene que presentar ante la Red de Expertos para que sea aprobada.
- Diagnosticar la situación de la Seguridad de la Información poniendo especial énfasis en la adecuada identificación de los activos de información que se encuentran vinculados a las diferentes etapas de los procesos de provisión que se han seleccionado, para poder considerar los elementos de información que tienen alguna influencia sobre las principales etapas de los procesos.
- En cada uno de los activos que se han declarado con un gran criterio, se tienen que especificar los riesgos más relevantes. Además, cada riesgo se tiene que asociar a los controles de mitigación en el que se considera el riesgo, el tipo de activo y la criticidad declarada para el activo.
- Cada uno de los controles de mitigación de riesgos, se tiene que declarar el control que cumple con lo que se encuentra implementado.
- Cada control que no se cumpla, genera una brecha que tiene que ser abordada por el Plan General de Seguridad de la Información.
Los documentos que se tienen que entregar son:
- Alcance del Sistema de Seguridad de la Información: se diagnostica la focalización correcta con la que se debe identificar y caracterizar los activos de información.
- Inventario de Activos de Información: realizar cada proceso estratégico provisto, lo que involucra la información de los activos específicos que se han generado cada una de las etapas relevantes de ciertos procesos.
- Análisis de Riesgo: es el mismo documento que el que se especifica el inventario de activos de información, en una hora de forma separada se detalla el análisis de riesgos, ya que una vez que se ha identificado el activo se tienen que garantizar todos los riesgos que pueden suponer una amenaza, por lo que se tiene que cuantificar el nivel de seguridad y el tratamiento necesario. Cada riesgo que ha vinculado a un activo específico, se deben asociar más controles para poder moderar la base de los dominios de seguridad que tengan naturaleza del riesgo, el tipo y criticidad declarada para el activo.
Software para Sistema de Seguridad de la Información
El Software ISO-27001 para la Seguridad de la Información se encuentra compuesta por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las empresas no pierda ninguna de sus propiedades más importantes. Facilita el cumplimiento de las diferentes fases del ciclo de mejora continua.