ISO 27001: Gestión y aplicación de la Seguridad de la Información
ISO 27001
Para poder gestionar la Seguridad de la Información en las organizaciones es necesario tomar medidas complejas, ya a parte del cumplimiento de la norma ISO 27001, es necesario cumplir con la legislación que concierne a este tema.
Para poder tomar estas medidas puede ser necesario acudir a especialistas en seguridad y realizar un proyecto mucho más detallado en el que se realice un análisis de gestión de riesgos, en que el que se establezcan todas las necesidades y la rentabilidad del proyecto, además de determinar la forma de llevarlo a cabo.
Proceso de gestión global de seguridad
La gestión global de seguridad en un Sistema de Gestión de Seguridad de la Información según la norma ISO27001 requiere de tomar medidas de forma permanente, cíclica y recurrente que se descompone en fases sucesivas. El ciclo de fases es el siguiente:
- Análisis y gestión de riesgos, es una fase nuclear de “medición” en la que se calcula la seguridad. Para llevar a cabo esta seguridad existen métodos como el Magerit con técnicas de proceso especiales.
- Objetivos, estrategia y política de los Sistemas de Gestión de Seguridad de la Información se nutre a sí misma y nutre a su vez la fase de análisis y gestión de riesgos.
- Fase de establecimiento de planificación de los Sistemas de Gestión de Seguridad de la Información, según la ISO-27001, deriva de la fase de análisis y gestión de riesgos como su consecuencia funcional más inmediata, utilizando las técnicas generales de planificación adaptadas al ámbito de la seguridad.
- La fase de determinación de la organización en los Sistemas de Gestión de Seguridad de la Información proviene de la fase de análisis y gestión de riesgos como consecuencia orgánica más inmediata. Se utilizan técnicas generales de organización adaptadas al ámbito de la seguridad.
- La fase de implantación de salvaguardas y otras medidas de seguridad para los SGSI proviene de las fases de planificación y organización.
- Durante la fase de aprendizaje la participación de todos los miembros de la organización en la seguridad de los Sistemas de Gestión de Seguridad de la Información proviene de las fases de planificación y organización, además tiene un papel fundamental en el recurso humano interno.
- En la fase de reacción a eventos, manejo y registros de incidencias y recuperación de estados de seguridad utiliza las técnicas más generales de gestión de la seguridad y atención ante emergencias.
- Por último, durante la fase de monitorización y gestión de la configuración y los cambios en la SGSI toma un carácter de mantenimiento, con todas las técnicas adaptadas al ámbito de la seguridad.
Sistemas y proyectos de complejidad media y alta
Los proyectos de seguridad más complejos requieren de un ciclo de gestión global mucho mayor que el anterior:
Durante la primera aplicación del ciclo de gestión se introduce todo el sistema de estudio: comienza en la fase de análisis y gestión de riesgos y permite clasificar en dos bloques los componentes de sistema:
- Todos los componentes que implican riesgos menores serán necesarios para aplicar el segundo escalón de medidas básicas de seguridad, generandose una guía de aproximación.
- A cada uno de los componentes que suponen algún riesgo mayor será necesario aplicar un novedoso analísis y gestión de riesgos más detallado.
Durante la primera aplicación genera una nueva visión sintética de la seguridad con ayuda de las otras fases del ciclo de gestión de seguridad, es decir:
- Determinar de forma global los objetivos, la estrategia y la política de seguridad.
- Planificar desde un inicio la seguridad de la información.
- La primera determinación de la organización necesaria para la seguridad.
- Implementar supone la defensa básica de todos los componentes que puedan generar riesgos de bajo nivel.
- Es necesario enseñar a todas las personas que trabajan en la organización a paricitar en la seguridad de los componentes de bajo riesgo.
- Se deben preparar ante la reacción que genera cada evento, al manejo y resgistro de todas las incidencias, además de la recupración de estados aceptables de seguridad ligados a los componentes de riesgo bajo.
Las aplicación siguientes del ciclo de gestión de seguridad a los componentes retenidos por sus riesgos mayores arracan desde una nueva aplicación de la fase de análisis y gestión de riesgos, enfocada con un detalle proporcional al riesgo detectado.
Los usuarios, compradores y los fabricantes implicados en la industria de los Sistemas de Gestión de Seguridad de la Información basado en la norma ISO 27001, están experimentando una creciente confianza en el funcionamiento de unos productos que ya son parte central del funcionamiento de unos productos que ya son la parte central de funcionamiento de la sociedad.
Cada día es más compleja la Seguriad de la Información en las organización, por eso aparecen dos niveles superiores, 4 y 5.
- En el nivel 4, se encuentra perfectamente definidos los procutos que pueden ser interpretados como “caja negra” ya que proporciona mucha defensa contra las amenazas.
- El nivel 5, es el que un sistema compuesto de procutos o componentes seguros se pueden denominar “caja blanca” en la que se analiza la seguridad de las conexiones de dichos componenetes de una forma mucho más relevante, con lo que se consigue determinar el nivel deseado de seguridad.
Se tiene que definir el papel de los participantes en estas evaluaciones, limitado de hecho el papel de los evaluadores, como terceros entre comprados y desarrolladores.
Software para SGSI
El Software ISO-27001 para la Seguridad de la Información se encuentra compuesta por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las empresas no pierda ninguna de sus propiedades más importantes: disponibilidad, integridad y confidencialidad.