ISO 27001: ¿Qué significa la Seguridad de la Información?
Sistema de Gestión de Seguridad de la Información
El Sistema de Gestión de Seguridad de la Información ISO 27001 persigue la protección de la información y de los sistemas de información del acceso, de utilización, divulgación o destrucción no autorizada.
Los términos seguridad de la información, seguridad informática y garantía de la información son utilizados con bastante frecuencia. El significado de dichas palabras es diferente, pero todos persiguen la misma finalidad que es proteger la confidencialidad, la integridad y la disponibilidad de la información sensible de la organización.
Entre dichos términos existen pequeñas diferencias, dichas diferencias proceden del enfoque que le dé, las metodologías usadas y las zonas de concentración.
La Seguridad de la Información, según ISO27001, se refiere a la confidencialidad, la integridad y la disponibilidad de la información y los datos importantes para la organización, independientemente del formato que tengan, estos pueden ser:
- Electrónicos
- En papel
- Audio y vídeo, etc.
Los gobiernos, las instituciones financieras, los hospitales y las organizaciones privadas tienen enormes cantidades de información confidencial sobre sus empleados, productos, investigación, clientes, etc. La mayor parte de esta información es reunida, tratada, almacenada y puesta a disposición de las personas que deseen revisarla.
Si se da el caso de que información confidencial de la organización, de sus clientes, de sus decisiones, de sus cuentas, etc. caen en manos de la competencia, esta se hará pública de una forma no autorizada y esto puede suponer graves consecuencias, ya que se perderá credibilidad de los clientes, se perderán posible negocios, se puede enfrentar a demandas e incluso puede causar la quiebra de la organización.
Es por todo esto que se convierte en una necesidad proteger la información confidencial, ya que es un requisito del negocio, y en muchos casos se convierte en algo ético y una obligación legal.
Para una persona normal, la Seguridad de la Información puede provocar un efecto muy significativo ya que puede tener diferentes consecuencias la violación de su privacidad dependiendo de la cultura del mismo.
La Seguridad de la Información ha crecido mucho en estos últimos tiempos, además ha evolucionado considerablemente. Se ha convertido en una carrera acreditada mundialmente. Dentro del éste área se ofrecen muchas especializaciones que se pueden incluir al realizar la auditoría del Sistema de Gestión de Seguridad de la Información ISO-27001, como pueden ser:
- Planificación de la continuidad de negocio
- Ciencia forense digital
- Administración de Sistemas de Gestión de Seguridad
Realizar correctamente la Gestión de la Seguridad de la Información quiere establecer y mantener los programas, los controles y las políticas de seguridad que tienen la obligación de conservar la confidencialidad, la integridad y la disponibilidad de la información de la empresa.
- Confidencialidad: es la propiedad de prevenir que se divulgue la información a personas o sistemas no autorizados.
- Integridad: es la propiedad que busca proteger que se modifiquen los datos libres de forma no autorizada.
- Disponibilidad: es una característica, cualidad o condición de la información que se encuentra a disposición de quien tiene que acceder a esta, bien sean personas, procesos o aplicaciones.
Seguridad Informática
La Seguridad de la Información consiste en asegurar que los recursos del Sistema de Información de u na empresa se utilicen de la forma que ha sido decidido y el acceso de información se encuentra contenida, así como controlar que la modificación solo sea posible por parte de las personas autorizadas para tal fin y por supuesto, siempre dentro de los límites de la autorización.
Los objetivos de la seguridad informática:
Los activos de información son los elementos que la Seguridad de la Información debe proteger. Por lo que son tres elementos lo que forman los activos:
- Información: es el objeto de mayor valor para la empresa.
- Equipos: suelen ser software, hardware y la propia organización.
- Usuarios: son las personas que usan la tecnología de la organización.
Análisis de riesgos
El activo más importante que tiene la organización la propia información, por lo que tienen que existir técnicas que las mantengan seguras, mucho más allá de la seguridad física que se puede estableces gracias a los equipos con los que cuenta la organización para almacenar dicha información.
La información se blinda con seguridad lógica, es decir, aplicar barreras y procedimientos que resguardan el acceso a todos los datos y restringe el acceso a las personas autorizadas.
Los medios necesarios para conseguirlo son:
- Restricción del acceso: de las personas que forman parte de la organización a los programas y a los archivos más importantes.
- Se debe asegurar de que los operados pueden realizar su trabajo pero que no puedan realizar modificaciones en los programas ni en los archivos que no sea necesario.
- Hay que asegurar la utilización de los datos, archivos y los programas correctos en los procedimientos elegidos.
- Se tiene que asegurar la información transmitida, es decir, que la información transmitida sea la misma que se reciba por el destinatario.
- Asegurarse de que existen diferentes sistemas en caso de emergencia y estos están distribuidos por toda la organización.
- Hay que organizar a todos los trabajadores y otórgales distintas claves, que sean intransferibles.
- Se debe actualizar de forma constante todas las contraseñas de acceso a los sistemas de cómputo.
Para poner en marcha la política de seguridad, lo primero que se debe hacer es asegurar los derechos de acceso a los datos y los recursos con los que cuenta la organización, establecer las herramientas de control con las que se contará y lo mecanismos de identificación. Todos los mecanismos facilitan que los operadores tengan los permisos que se les ofrecieron.
Software para ISO 27001
El Software ISOTools Excellence ISO 27001 para Riesgos y Seguridad de la Información, está capacitado para responder a numerosos controles para el tratamiento de la información gracias a las aplicaciones que contiene y que son totalmente configurables según los requerimientos de cada organización. Además, este software permite la automatización del Sistema de Gestión de Seguridad de la Información.