ISO 27001: Etapa de Planificación
ISO 27001
A la hora de realizar la implementación de un Sistema de Seguridad de la Información (SSI) según la norma ISO 27001 nos encontramos con la etapa de Planificación se hace entrega a la organización de las actividades, utilización de recursos y productos a generar en las siguientes etapas. Todos los productos y actividades asociadas que se incluyen en esta etapa se adquieren de la calidad de compromisos, a las cuales se les realizaban un seguimiento que continua en la etapa de Evaluación.
Las acciones concretas son:
- Formular o actualizar la Política General de Seguridad de la Información, formalizada por parte del Jefe Superior del servicio mediante una resolución.
- Se debe nombrar al encargado de seguridad de la información, también mediante una resolución.
- Conformar el comité de Seguridad de la Información.
- Definir el Plan General de Seguridad de la Información institucional, para el este año y para los siguientes, lo que debemos considerar es al menos las iniciativas que faciliten la implementación de las acciones es disminuyan el riesgo que correspondan a las brechas detectadas.
- Se debe realizar un Programa de Trabajo Anual con el que iniciar una implantación del plan de Seguridad de la Información definido. En este programa solo se deben incluir aquellos productos que se comprometan para el año que viene.
- Se tiene que formular ciertos indicadores que faciliten la determinación de la efectividad de los controles que se han implementado para mitigar los riesgos que ha sido identificados.
Los documentos que se deben entregar van en virtud de las etapas acumulativas, es decir, que cuando se haya comprometido la etapa de planificación también es necesario reportar un diagnóstico que se encuentre actualizado.
Se deben entregar los siguientes documentos:
Política de Seguridad
Se define una Política General de Seguridad de la Información (PGSI), que garantiza que exista una declaración institucional enfatizando el compromiso de la dirección con los objetivos de Gestión de Seguridad de la Información ISO27001.
La política tiene que contener:
- Definición de seguridad
- Medios de difusión de sus contenidos
- Cada cuanto tiempo se realiza una revisión
- Periodicidad con la que se evalúa el cumplimiento
- La aprobación por parte del Jefe del Servicio
Los expertos establecen que la política se puede realizar mediante un acuerdo en los formatos que la empresa crea oportunos, pero se tiene que considerar que debe contar con unos contenidos mínimos.
Encargado de Seguridad
Dentro del marco de la política general el Sistema de Gestión de la Información ISO-27001 debe asignar un asesor directo que tenga conocimientos en esta materia, es decir, un Encargado de Seguridad de la Información, se consideran funciones en la resolución de nombramientos.
La persona Encargada de la Seguridad tendrá a su cargo el desarrollo inicial de todas las políticas de seguridad que se generen dentro de la organización, además de controlar su implementación y velar por su correcta aplicación.
Se debe coordinar una respuesta clara y concisa ante cualquier accidente que afecte a los activos de información de la organización.
Se establecen diferentes puntos de enlace con los encargados de seguridad de estos organismos públicos y con especialistas externos a la organización que faciliten el conocimiento de las tendencias, las normas y los métodos de seguridad pertinentes.
Creación del Comité de Seguridad
De forma paralela se conforma un comité de Seguridad de la Información, en el que se señalan funciones específicas.
Se sugiere que dicho comité se encuentre formado por el Encargado de Seguridad, persona indispensable, y por los trabajadores que lleven a cabo los diferentes roles:
- Jefe de operaciones
- Jefe de recursos humanos
- Encargado de calidad
- Encargado de riesgos
- Asesor jurídico
- Jefes de áreas funcionales
Plan General de Seguridad de la Información
Si tenemos en cuenta el marco institucional en el que se encuentra la política general, el nombramiento del Encargado de Seguridad y la conformidad del coordinador de seguridad informática, es lo que da forma al Plan General de Seguridad de la Información, tanto para el año que se encuentre en curso y para los siguientes. Se deben definir de forma clara los productos que se quieren conseguir, permitiendo así la implementación de las acciones de mitigación del riesgo que corresponden a las brechas detectadas durante el diagnóstico.
El plan de seguridad se puede registrar en una planilla de instrumentos con los que se ha trabajado y se ha realizado un inventario de activos y el análisis de riesgos, se debe incluir en la hoja que corresponde a la etapa 2- Plan General.
Identificar los productos en el Plan de Seguridad se tiene que hacer de forma consciente y en concordancia a los productos esperados que ya se ha definido en la fase de análisis de riesgos.
Programa de Trabajo Anual
Se tiene que elaborar un Programa de Trabajo Anual, en que se introduzcan todas las estructuras de las acciones del año en curso del Plan de Seguridad de la Información que ha sido definido.
Se tiene que especificar el detalle de sus actividades, sus plazos de ejecución y sus responsables. Además de incluir todas las actividades, debidamente seleccionadas, y por otra parte todas las acciones que han sido orientadas a la difusión, capacitación y sensibilización de todos los trabajadores que participan en el programa de trabajo y utilizan ciertos productos.
Además, la red de experto recomienda incluir un apartado especial dentro del programa de trabajo de las actividades en el que se incluyan los siguientes puntos:
- Revisiones internas del Sistema de Seguridad de la Información
- Auditorías internas o externas del SSI
- Revisar el cumplimiento de la política de seguridad
También se tiene que considerar el momento de formular las indicaciones, es decir que el Sistema de Seguridad de la Información (SSI) se encuentre dentro del marco del PMG, por lo que genera una fuente muy importante de información con respecto del desempeño del Sistema de Seguridad de la Información (SSI), por lo que se debe revisar y mejorar de forma periódica.
Software para Sistemas de Seguridad de la Información
El Software ISO cuenta con diferentes aplicaciones que trabajan para que la Seguridad de la Información con las que cuentan las organizaciones no pierda ninguna de sus propiedades más importantes, como puede ser la integridad, la confidencialidad, etc. Además, permite implementar, mantener y mejorar el SSI basado en la norma ISO 27001.