ISO 27001: Evaluación del proceso de Gestión de Seguridad
Sistema de Gestión de Seguridad de la Información
La evaluación del proceso de Gestión de la Seguridad de la organización según la norma ISO 27001, actualmente y con la ayuda del Código de Práctica de la Gestión de Seguridad de la Información, norma internacional ISO/IEC 17799 puede llevarnos a una certificación explícita y voluntaria de dicho proceso, es decir, cuando una organización con problemas de seguridad desea acreditar que gestiona, maneja y controla, superando el examen de las entidades auditoras calificadas e independientes que dan mucha confianza a sus clientes actuales o futuros.
AENOR, la Asociación Española de Normalización y Certificación, miembro español de ISO, es la encarga de desarrollar las normas españolas complementarias para estructurar la certificación tomando como referencia la norma internacional.
La necesidad de certificados como parte de constatar una dependencia creciente en las organizaciones de los Sistemas de Gestión y servicios de información, por lo que cada día son mucho más vulnerables a las amenazas lanzadas contra su propia seguridad informática. Hay muchísimos Sistemas de Información que no han sido diseñados para ser seguros, la informática distribuida debilita la eficacia de un control central y especializado.
La seguridad que no se consigue con medios técnicos se debe complementar con medios organizativos que consigan una gestión adecuada y procedimientos que consigan la participación de los empleados, proveedores, clientes y accionistas.
Una empresa tiene que establecer y mantener un Sistema de Gestión de Seguridad de la Información ISO 27001 bien documentado, para que identifique de una forma precisa los activos que se debe proteger, el enfoque de la gestión de riesgo, los objetivos y las medidas que se tienen que tener en cuenta además de un alto grado de aseguramiento requerido.
Identificar las necesidades de seguridad por parte de la organización consta de tres fuentes principales:
- La evaluación de los riesgos de la empresa, con lo que identifican las amenazas a los activos, la vulnerabilidad y el impacto potencial.
- Los requerimientos legales y contractuales del entorno que tienen que satisfacer a la organización, a sus socios, a los contratistas y a los proveedores.
- Los principios, los objetivos y los requerimientos propios para el proceso de la información que la empresa desarrolla para que puedan soportar sus operaciones.
El desarrollo de un marco adecuado para un Sistema de Gestión de Seguridad de la Información basado en la norma ISO 27001 se lleva acabo cuando una organización emprende un proceso de seis pasos en los que se identifica y documenta todos los objetivos y las medidas necesarias.
La documentación del Sistema de Gestión de Seguridad de la Información según el estándar internacional ISO 27001, es la evidencia de que las acciones emprendidas, según el marco de gestión, los procedimientos de implantación, gestión y operación, además de implementar y mantener los efectivos de la empresa según los objetivos y las medidas elegidas, incluye todos los registros como evidencia del cumplimiento de los requerimientos.
La norma ISO 27001 recoge una serie de 10 secciones, en las que se cubren buena parte de las 13 secciones que vienen en el reglamento y documento de seguridad:
- Política de seguridad
- Organización de la seguridad
- Clasificación y control de amenazas
- Seguridad en aspectos personales
- Seguridad física y del entorno
- Gestión de comunicaciones y operaciones
- Control de accesos
- Desarrollo y mantenimiento de sistemas
- Gestión de continuidad del negocio
- Conformidad
Durante todas estas secciones, la norma ISO 27001 identifica 8 medidas de control que considera que son esenciales para mejorar la práctica habitual a la hora de incrementar la seguridad de la información. Estos son:
- La documentación de la política de seguridad de la información
- La adjudicación de responsabilidades para la seguridad de la información
- La formación y entrenamiento para la seguridad de la información
- La relación de las incidencias de seguridad
- La gestión de la continuidad de negocio
- Los derechos de la propiedad intelectual
- La salvaguarda de los registros de la organización
- La protección de datos y de la intimidad sobre la información personal
ISO 27001
El estándar internacional ISO 27001, junto con todas las normas que componen su familia, generan todos los requisitos necesarios para poder implementar un Sistema de Gestión de Seguridad de la Información de una forma rápida y sencilla, además el Software ISO-27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa. Toda protección es importante, por mínima que sea, pues el mínimo descuido puede ocasionar una violación de los datos de la misma. Además, este software permite la automatización del Sistema de Gestión de Seguridad de la Información.