ISO 27001: Clasificación de la información
Sistema de Gestión de Seguridad de la Información
La norma ISO 27001 asegura un alto nivel de protección a los activos de información. La información tiene que clasificarse para indicar el grado de necesidad, de prioridad y de protección. La información tiene diferentes grados que varían según la sensibilidad y la criticidad. Existen diferentes elementos de información que necesitan un nivel más elevado de protección. Se tiene que utilizar un sistema de clasificación de dicha información para definir los niveles de protección adecuados y comunicar la necesidad para tomar las medidas oportunas.
Guía de clasificación
Según la norma ISO27001 la información se puede clasificar según su valor, los requisitos legales, la sensibilidad y la criticidad de la empresa.
La clasificación de la información que se encuentra asociada a la cuenta de negocio necesita restringir la información, además de todos los impactos en la organización que se asociación a las necesidades de éstas.
La guía de clasificación tiene que incluir una clasificación inicial y una reclasificación, que se realizará a través del tiempo, encontrándose en concordancia con las políticas de control determinadas por la organización en su Sistema de Gestión de Seguridad de la Información.
La definición de la clasificación de los activos de información tiene que ser realizada por el responsable de dicho activo. La clasificación tiene que ser revisada cada cierto tiempo para controlar que se encuentra actualizado al nivel de seguridad oportuno.
Se debe tener en consideración el número de categorías de clasificación y los beneficios que se pueden obtener de su utilización. Existen esquemas muy complejos que pueden resultar incomodos y poco rentables a la hora de utilizarlos. Hay que poner especial cuidado a la hora de interpretar las etiquetas de clasificación en los diferentes documentos de dichas organización, ya que pueden contar con diferentes definiciones para nombrar las etiquetas que son iguales.
El nivel de protección se puede determinar utilizando la confidencialidad, la integridad y la disponibilidad que la información considera oportuna.
La norma ISO-27001 determina que la información de forma continua deja de ser sensible, una vez ha pasado el tiempo necesario. Todos estos aspectos tienen que ser tomados en cuenta, ya que la sobrecualificación puede suponer que se tomen controles que no son necesarios y por consiguiente, se incremente el gasto económico.
Resulta de suma importancia definir un conjunto adecuado de procedimientos para marcar la información de acuerdo con el esquema de clasificación que ha adoptado la empresa.
Los procedimientos utilizados para definir la información que cubre a los activos deben estar en formato físico y electrónico.
El Sistema de Gestión de Seguridad de la Información debe estar clasificada como sensible o crítica y debe tener una etiqueta de clasificación adecuada. En la etiqueta debe aparecer la clasificación de acuerdo con las reglas establecidas con la norma ISO 27001.
Para cada nivel de clasificación, en los procedimientos de manipulación se incluyen los procesamientos, las copias, el almacenamiento, la transmisión, clasificación y la destrucción que deben estar definidos.
Acuerdos con otras organizaciones que tengan información parecida que se puedan incluir en sus procedimientos para identificar la clasificación de una forma más sencilla.
Marcar y manipular de una forma segura la información que ha sido clasificada será un requisito clave para llegar a acuerdos para compartir información entre organizaciones. Las etiquetas físicas son una forma común de marcar la información.
Seguridad en Recursos Humanos
La norma ISO27001 establece que se debe asegurar que los trabajadores, subcontratas y terceras personas que tengan relación con la organización sepan cuáles son sus responsabilidades, con esto se puede reducir el riesgo de hurto, fraude o mal utilización de las instalaciones de la empresa.
Las responsabilidades de seguridad se tienen que tratar antes realizar el trabajo y debe tener perfectamente descritos los términos y condiciones de dicho trabajo.
Los diferentes candidatos al puesto de trabajo, las subcontratas y terceras personas tienen que estar adecuadamente seleccionados y para poder utilizar las instalaciones deben firmar un acuerdo de confidencialidad.
Las funciones y las responsabilidades que tienen los trabajadores tienen que estar definidos y documentadas de forma lineal con la política de seguridad establecida por la ISO-27001.
Las funciones de seguridad y las responsabilidades tienen que encontrase incluidas en los siguientes requisitos:
- Implementadas y realizas según la política de seguridad que establece la norma ISO27001.
- Tienen que proteger los diferentes activos de información de una intrusión no autorizada, modificación, destrucción, etc.
- Realizar procesos particulares
- Asegurar que la responsabilidad se asigna al individuo por tomar decisiones.
- Enviar eventos de seguridad para incrementar la concienciación.
Las funciones de seguridad y la responsabilidad tienen que estar definidas y ser comunicadas de forma clara a los posibles trabajadores durante el proceso de selección.
Las descripciones de trabajo pueden ser utilizadas para documentar las diferentes funciones de seguridad y los responsables. Todas las funciones de seguridad y los responsables que no se encuentran relacionados con el proceso de selección de la empresa, como pueden ser los que están contratados por la organización y son externo, también tienen que tener perfectamente definidas y comunicadas las funciones de seguridad.
Software para ISO 27001
El Software ISOTools Excellence para ISO 27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa. Toda protección es importante, por mínima que sea, pues el mínimo descuido puede ocasionar una violación de los datos de la misma.