ISO/IEC 17799 Política de seguridad
Seguridad de la Información
La norma ISO 27001 facilita los requisitos que se deben adoptar para poder implementar un Sistema de Gestión de Seguridad de la Información, con lo que se podrá mantener la información de la organización de una forma segura ante cualquier posible amenaza. La norma NTP-ISO/IEC 17799 es una norma técnica peruana que ayuda a implementar también medidas de seguridad en las organizaciones, mejorando el rendimiento de la organización y aumenta su valor añadido ante las demás organizaciones del mismo sector.
El objetivo de la norma NTP-ISO/IEC 17799 es dirigir y dar soporte a la gestión de la seguridad de la información en concordancia con los requisitos de la organización, la legislación y las regulaciones.
La gerencia tiene que establecer de forma clara las líneas que va a seguir la política de seguridad y manifestar el apoyo y compromiso a la Seguridad de la Información, publicando y manteniendo una política de seguridad en toda la empresa.
Documento de política de Seguridad de la Información
La gerencia de la organización tiene que aprobar, publicar y comunicar a todos los trabajadores de forma adecuada, el documento de política de Seguridad de la Información que se establecido.
Se tiene que establecer un compromiso por parte de la gerencia y el enfoque de la empresa para gestionar la Seguridad de la Información. El documento tiene que ofrecer como mínimo la siguiente información:
- Definición de Seguridad de la Información y sus objetivos globales, el alcance de la seguridad y su importancia como mecanismo que facilita que se comparta la información.
- Establecer los objetivos de la gerencia como soporte de los objetivos y los principios de la Seguridad de la Información.
- Generar un marco en el que poder colocar todos los objetivos de control y mandos, en los que se debe incluir la estructura de evaluación de riesgo y gestión del riesgo.
- Una pequeña explicación de las políticas, principios, normas y requisitos de conformidad más importantes para la empresa, como puede ser; conformidad con los requisitos legales, requisitos de formación en seguridad, gestión de la continuidad de negocio y consecuencias de las incumplimiento de las políticas de seguridad.
- Una definición de la responsabilidad general y específica en materia de gestión de la Seguridad de la Información, incluyéndose la comunicación de las incidencias en seguridad.
- Referencias a documentos que puedan sustentar la política de seguridad y los procedimientos mucho más detallados para Sistema de Información específicos.
La política debe distribuirse por toda la organización, llegando hasta todos los destinatarios de una manera apropiada, entendible y accesible.
Además la política de seguridad tiene que ser parte de un documento general de la política empresarial. Se debe tener cuidado a la hora de distribuir dicha política de seguridad fuera de la organización con el fin de no compartir la información confidencial.
Revisión y evaluación
La política de seguridad tiene que ser revisada en intervalos planificados, y si se generan cambios significativos se generan de una forma continua, adecuada y efectiva.
La política debe tener un propietario que se haga responsable del desarrollo, revisión y evaluación de la política de seguridad. La revisión debe incluir todas las oportunidades de evaluación con las que mejorar la política de seguridad de la información de la empresa y un acercamiento a la gestión de la seguridad de la información generando una respuesta a los cambios del ambiente organizacional, circunstancias del negocio, las condiciones legales o cambios en el ambiente técnico.
La revisión de la política de Seguridad de la Información tiene que tener en cuenta todos los resultados de las revisiones de la gestión. Tiene que existir procedimientos diferentes de la gestión durante la revisión, incluyendo un calendario o periodo de revisión.
Durante la revisión de la gestión se tiene que incluir información acerca de:
- Retroalimentación gracias a la información de terceros interesados.
- Obtener resultados de revisiones independientes.
- Estado sobre acciones preventivas y correctivas.
- Resultados de revisiones de gestión anteriores.
- Desarrollo del proceso y cumplimiento de la política de Seguridad de la Información.
- Cambios que pueden afectar al alcance de la organización para gestionar la seguridad de la información, en el que se incluyen los cambios en el ambiente organizaciones, las circunstancias del negocio, disponibilidad de recursos, condiciones contractuales y legales.
- Tendencias relacionadas con las diferentes amenazas y vulnerabilidades.
- Incidentes indicados según la Seguridad de la Información.
- Recomendaciones dadas por autoridades relevantes.
Las mejoras que se realizan de forma colateral son:
- Mejoras en el alcance de la empresa para gestionar la Seguridad de la Información y sus procesos.
- Mejoras en los objetivos de control y los controles.
- Mejoras en la asignación de recursos y responsabilidades.
Software ISO 27001
El Software ISO27001 facilita la implementación de un Sistema de Seguridad de la Información en las organizaciones comprometidas con la seguridad de sus activos. Desde ISOTools queremos facilitar la ardua labor que supone la implementación, mantenimiento y mejora continua que supone dicho sistema de gestión. Además se encuentra compuesta por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las empresas no pierda ninguna de sus propiedades más importantes: disponibilidad, integridad y confidencialidad.