ISO 27001: Aspectos organizativos para la Seguridad de la Información
Sistema de Seguridad de la Información
El objetivo perseguido por la NTP-ISO/IEC 17799 es gestionar la Seguridad de la Información dentro de la organización, algo muy parecido a lo que persigue la norma ISO 27001.
Organización interna
Se tiene que establecer una estructura de gestión en a que iniciar y controlar toda la implementación de Seguridad de la Información dentro de la organización.
Resulta muy conveniente organizar los diferentes debates sobre la gestión que sean adecuados para la gerencias para aprobar la política de seguridad de la información, asignar las responsabilidades y coordinar toda la implementación de la seguridad en todos los niveles de la empresa.
Si fuera necesario se debería facilitar el acceso dentro de la organización a un equipo experto de consultores que se encuentren especializados en Seguridad de la Información. Ya que deben llevarse a cabo diferentes contactos con los especiales externos en seguridad para estar al día de todas las tendencias de la industria, la evolución de las normas y lo métodos de evaluación, además debe tener un punto de enlace para tratar las incidencias de seguridad.
Comité de Gestión de Seguridad de la Información
La gerencia tiene que apoyar de forma activa la seguridad dentro de su propia organización mediante ordenes claras que demuestran compromiso, asignaciones explicitas y reconocimiento de las responsabilidades de la Seguridad de la Información.
El comité debe realizar las siguientes funciones:
- Asegurar que las metas de la seguridad de información sean identificadas, relacionadas con la exigencias de la organización y que sean integradas en procesos relevantes.
- Debe formular, revisar y aprobar la política de Seguridad de la Información.
- Se tiene que proveer de direcciones claras y un gran apoyo durante la gestión de iniciativas de seguridad.
- Tiene que facilitar todos los recursos necesarios para llevar a cabo la Seguridad de la Información en su organización.
- Se tienen que aprobar las diferentes asignaciones de roles específicos y los responsables del Sistema de Seguridad de la Información.
- Se tienen que asegurar que la implementación de los diferentes controles para la Seguridad de la Información se encuentra coordinada por la propia empresa.
La alta dirección tiene que identificar todas las necesidades de asesorías especialista, bien sea interna o externa, en la que se tiene que revisar y coordinar los resultados de ésta en la organización.
En función del tamaño de la empresa, las responsabilidades pueden ser llevadas a cabo por un grupo gerencial dedicado o por un cuerpo gerencial ya existente, como puede ser el consejo directivo.
Coordinación de la Seguridad de la Información
La información obtenida de las actividades de seguridad tienen que estar perfectamente coordinadas por los representantes de las diferentes áreas de la organización que cuentan con diferentes roles y funciones de trabajo.
La coordinación de la Seguridad de la Información, ISO27001, tiene que implicar la cooperación y la colaboración entre gerentes, clientes, administradores, diseñadores, personal que realiza la auditoría, y habilidades especiales en áreas como son los seguros, los recursos humanos, los trámites legales, la tecnología de la información y la gestión del riesgo. La actividad tiene que:
- Asegurar que las actividades de seguridad que se llevan a cabo cumplen con la política de seguridad establecida por la organización.
- Identificar como se debe manejar los no cumplimientos.
- Se tienen que aprobar las metodologías y los procesos para seguridad de información, como por ejemplo la evaluación del riesgo y la clasificación de la información.
- Tiene que identificar todos los cambios significativos de amenazas y exposición de la información.
- Se evalúa la adecuación y se coordina la implantación de los controles de Seguridad de la Información.
- Hay que hacer promoción de la educación, entrenamiento y concienciación con los que respecta a la Seguridad de la Información, mediante la propia organización.
- Se tiene que evaluar la información de seguridad recibida a la hora de monitorear y revisar los incidentes de Seguridad de la Información, además de recomendar todas las acciones apropiadas en respuesta para identificar incidentes de Seguridad de la Información.
Si la empresa no utiliza un grupo funcional por separado, porque opine que ese grupo no es el más apropiado para el tamaño de la organización, las acciones descritas tienen que tomarse por un cuerpo gerencial ajustable o por un único gerente de la organización.
Asignación de responsabilidades sobre Seguridad de la Información
Se tienen que definir de forma clara todas las responsabilidades. Esta asignación de responsabilidades sobre Seguridad de la Información tiene que hacerse en concordancia con la información de la política de seguridad. Todas las responsabilidades sobre la protección de activos individuales y las que llevan a cabo procesos de seguridad específicos tiene que estar claramente definidas.
Se tienen que definir de una forma clara todas las responsabilidades locales para activos físicos y de información individualizados y los procesos de seguridad, como puede ser el plan de continuidad del negocio.
Todos los propietarios de los diferentes activos de la información pueden delegar sus responsabilidades de seguridad a directivos o proveedores. Pero el propietario sigue manteniendo la responsabilidad ultima sobre la seguridad del activo y tiene que estar capacitado para determinar que cualquier responsabilidad delegada se ha cumplido de forma correcta.
Es esencial que se establezcan de forma clara todas las áreas que posee cada directivo, es decir, de cada una de las que sea responsable y debe establecerse las siguientes ideas:
- Tienen que encontrase perfectamente identificados todos los activos y los procesos de seguridad.
- Tiene que nombrarse al responsable de cada activo o proceso de seguridad.
- Debe definirse y documentarse todos los niveles de autorización.
Software ISO 27001
El Software ISO 27001 para la Seguridad de la Información se encuentra compuesta por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las empresas no pierda ninguna de sus propiedades más importantes.