ISO 27001 y el modelo EFQM
Sistema de Gestión de Seguridad de la Información
La norma ISO 27001 establece el Sistema de Gestión de Seguridad de la Información, pero no solo controlar la seguridad es importante sino que se debe tener en cuenta la calidad de dicho control de la seguridad.
La Fundación Europea para la Gestión de la Calidad (EFQM) nace para reforzar la posición de las organizaciones en el mercado mundial impulsando la calidad como un factor estratégico clave para conseguir una ventaja competitiva. El reconocimiento de los logros es una de las características que presenta el modelo EFQM.
En el año 1992 se presentó el Premio Europeo a la Calidad. Para que este premio sea otorgado se utilizan criterios del Modelo de Excelencia Empresarial divididos en dos grupos diferentes: Criterios Agentes y Criterios de Resultados.
Dentro de estos dos criterios existen nueve más, éstos son:
- Liderazgo: gestión de la calidad total para que la organización realice la mejora continua.
- Estrategia y Planificación: se refleja la calidad en la estrategia y los objetivos de la empresa.
- Gestión del personal: la liberación del potencial de los trabajadores de la empresa.
- Recursos: Gestión de forma eficaz de todos los recursos de la empresa apoyando la estrategia.
- Sistema de Calidad y procesos: cómo se adecuan todos los procesos para garantizar la mejora continua en la organización.
- Satisfacción del cliente: conocer cómo perciben los clientes de la organización la calidad de los productos y servicios.
- Satisfacción del personal: de qué forma perciben los trabajadores la empresa en la que trabajan.
- Impacto de la sociedad: percepción por parte de la sociedad el papel que realiza la organización.
- Resultado del negocio: como la organización alcanza los objetivos en cuanto al rendimiento económico previsto.
Una de las ventajas de la definición del modelo europeo de excelencia es la utilización de la autoevaluación, siendo un proceso que puede utilizar cualquier organización para comparar los criterios del modelo que establece la situación actual y define los objetivos de mejora.
Criterios para evaluar la calidad del software
Poder conocer la calidad que tiene un software que sirve para proteger la información sensible de nuestra organización es un factor muy importante, es por esto que se debe tener en cuenta otros factores aparte de la norma ISO 27001.
Hoy día, existe un concepto de calidad de software que requiere que se crea en los requisitos y las características que posee el producto para conseguir la satisfacción del usuario. Existen componentes de calidad como pueden ser:
- Confianza
- Soporte logístico
- Agilidad en la respuesta
- Flexibilidad
- Facilitad de adaptación
- Integridad
- Consistencia
- Diseño y producto
- Sencillez…
La norma ISO 27001 nos dice que se requiere tener productos portables, fáciles de manejar y mantener, sencillo de comprender, que tenga una validación accesible, que sea compatible con otros Sistemas de Gestión, etc.
Si se consiguen mantener los niveles de calidad el esfuerzo de mantenimiento será mínimo, requiere de apoyo en la tasa de desarrollo y se puede realizar la producción entre tres y diez más rápida que antes.
Seguridad
El Sistema de Gestión en Seguridad de la Información ISO 27001 genera confianza en el software que afronta la protección de la información sensible y hace que la información almacenada no se altere y no sea accesible durante el tiempo que el dueño de dicha información quiera.
La norma ISO 27001 quiere consolidad la confidencialidad, integridad, autenticidad y disponibilidad de la información. La Seguridad de la Información quiere mantener y conservar la operatividad de la organización y el sistema mediante el cual se resguardan todos los recursos necesarios.
Confidencialidad: es un sistema que no permite que la información que contiene sea accesible a nadie que no tenga la autorización necesaria.
Integridad y Autenticidad: es un sistema que no puede permitir que se realicen modificaciones en los activos si no se cuenta con autorización. Aquí podemos incluir cualquier tipo de modificaciones:
- Errores de hardware o software
- Causada por persona de forma intencionada
- Causada por persona de forma accidental
Autenticidad: utiliza las telecomunicaciones, lo que supone disponer de un medio que verifique quién envía la información, además debe comprobar los datos no fueron modificados durante la transferencia.
Disponibilidad: La información puede encontrarse sana y salva en el sistema, pero no sirve si los usuarios no tienen acceso a ésta. La disponibilidad es que los recursos del sistema se mantienen en funcionamiento de forma eficiente, y que los usuarios puedan utilizarla en el momento en que lo necesiten. También debe ser capaz de ser recuperada de forma rápida si llegara a suceder un problema.
Objetivos de las medidas de seguridad
Se pueden ver diferentes niveles de control, es decir, si falla un nivel otro debe tomar posición y ocupar su lugar para continuar con la operación del sistema, de forma que el impacto general que pueda suponer se reduzca al mínimo. Los objetivos son:
- Disuadir: la meta será prevenir cualquier amenaza o desastre.
- Detectar: se pretende disuadir de forma total, aunque es prácticamente imposible, por lo que el nivel se establezcan métodos de monitoreo y vigilancia que reporten los riesgos que encuentren facilitando la toma de decisiones.
- Minimización de impactos: si ocurre un accidente se pueden establecer procedimientos que ayuden a reducir la pérdida de información sensible.
- Investigar: la pérdida ocurre, puede llevarse a cabo una investigación que facilite la determinación de lo que pasó. La información que se obtenga de dicha investigación puede ser utilizada para futuras acciones de seguridad.
- Recuperar: las medidas de seguridad implican que se tiene que hacer un plan de acción con el que se recuperen en caso de que se produzca un accidente o desastre y hacerlo de la forma más rápida posible.
Software para ISO 27001
El Software ISOTools Excellence para la Seguridad de la Información se encuentra compuesta por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las organizaciones no pierda ninguna de sus propiedades más importantes. Facilita el cumplimiento de los requisitos legales que les repercuten.