¿Cómo gestionar la seguridad según ISO 27001?
Sistemas de Gestión de Seguridad de la Información
Los Sistemas de Gestión de Seguridad de la Información ISO 27001 nace de la dependencia actual de la actividades realizadas por las organizaciones y su negocio que están basados en las TIC, es decir, la seguridad de la información y los datos que son albergados y manipulados.
La norma ISO27001 ofrece todas las herramientas necesarias para administrar, monitorizar y apoyar la gestión de la seguridad en los sistemas TIC. El fin perseguido por la seguridad es mantener la confidencialidad, la integridad y la disponibilidad de la información en la que se basa el negocio de las empresas.
Ya que la seguridad es un aspecto bastante transcendente en el negocio de la empresa gestionar dicha seguridad es un proceso que se debe integrar en el resto de los procesos de la empresa y debe tener un carácter continuo, es decir, que tiene que encontrase disponible durante todo el ciclo de vida de la información, desde que se crean hasta que se destruyen.
El Sistema de Gestión de Seguridad de la Información ISO-27001 contiene todos los mecanismos para tomar la decisión más acertada sobre las medidas de seguridad que se deben implementar hasta alcanzar todos los planes previstos en caso de accidente, pasando por la administración, la atención y la supervisión diaria de toda la información perteneciente a la organización, así como de los equipos y los dispositivos que contienen dicha información.
Es una tarea que incluye a todos los administradores de seguridad y a los responsables de seguridad.
Si hablamos en líneas generales, la gestión de la seguridad a nivel organizativo incluye la definición de la estructura y las responsabilidades del equipo que han de ocuparse de toda la seguridad lógica y física. Esto comprende la definición de las diferentes política y los planes de seguridad en base a criterios de gestión de riesgos, en el que se pueden contemplar las estrategias y las actuaciones necesarias para conseguir alcanzar los diferentes niveles de seguridad establecidos por la norma ISO 27001 y las acciones que se deben llevar a acabo si sucede un incidente para recuperar la actividad, evaluar los daños, etc.
Hoy día todos estos aspectos de seguridad se encuentran estandarizados gracias a la norma ISO27001 de Seguridad de la Información. Se debe tener en cuenta el aspecto humano que ocasiona gran parte de los incidentes, bien sea de forma accidental o intencionada. La prevención efectiva de ser útil si no se contemplan las acciones de formación y la sensibilización que ha sido dirigida a los usuarios de las TIC.
Las políticas y los planes de seguridad derivan en actividades que realizan las medidas de control oportunas, la supervisión, la atención a los usuarios, etc. esto es responsabilidad de la administración de seguridad de la empresa o en su defecto de los administradores del sistema propiamente dicho.
Existen diferentes productos en el mercado para llevar a cabo las actividades, los hay dedicados a realizar la detección de diferentes vulnerabilidades y los que realizan todo tipo de auditorías preventivas y después de que se produzca cualquier tipo de incidente en la seguridad.
Existen otro tipo de equipos como son la seguridad perimetral y la protección del puesto del trabajo que tiene asociados diferentes mecanismo particulares para poder realizar su gestión. Además también conocemos los servicios de seguridad gestionada que son relativos a la temática de las diferentes publicaciones.
Para poder realizar la gestión de la seguridad, la norma ISO-27001 nos dice que son necesarios ciertos productos de las siguientes categorías:
- Auditoría técnica y forense
- Contingencia y continuidad
- Controlar el tráfico de red
- Cumplir con la legalidad y la normativa
- Gestionar los eventos
- Gestionar la identidad
Las herramientas hacen posible que se ponga en práctica el Sistema de Gestión de Seguridad de la Información ISO 27001, tanto por la parte técnica como por la parte organizativa.
Todas las categorías de los servicios que tienen alguna relación con la gestión de la seguridad son las siguientes:
- Auditoría técnica
- Contingencia y continuidad de negocio
- Formación
- Gestión de incidentes y accidentes
- Implementación y certificación de normativa
Estar certificado bajo la norma ISO27001 hace que se cumplan todos los requisitos de seguridad que establezca la organización y la legislación. En el mercado en el que nos encontramos, cada día más globalizado, en el que las empresas tienen que competir en mercados que abastecen a todos el mundo.
Cada día son más las organizaciones que se encuentran certificadas bajo la ISO-27001, lo que hace que se fomenten todas las actividades de protección en la información de las empresas, incrementándose la seguridad de la información, la imagen de la organización y la confianza de los clientes.
España es el segundo país de Europa y el sexto del mundo en número de certificados en Seguridad de la Información ISO 27001.
Software ISO 27001
El Software ISOTools Excellence ISO27001 facilita la implementación de un Sistema de Seguridad de la Información en las organizaciones comprometidas con la seguridad de sus activos. Desde ISOTools queremos facilitar la ardua labor que supone la implementación, mantenimiento y mejora continua que supone dicho sistema de gestión. Además se encuentra compuesta por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las empresas no pierda ninguna de sus propiedades más importantes: disponibilidad, integridad y confidencialidad.