¿Por qué aplicar la norma ISO 27001?
ISO 27001
Existe un ambiente dinámico de los riesgos en seguridad, ya que muestra continuos cambios, nuevas amenazas se desarrollan, se descubren vulnerabilidades e incidentes de seguridad que tienen grandes repercusiones. Es cuestión de tiempo que las organizaciones padezcan las consecuencias de dichas amenazas, por eso deben protegerse con la norma ISO 27001.
Lo más importante es encontrase preparado para atender ciertas incidencias, sin dejar de lado las medidas preventivas y proactivas que minimicen la probabilidad del impacto que pueda generar, además de las acciones correctivas necesarias para solventar los problemas.
Según la RAE, gestionar es realizar diligencias que conduzcan al conseguir un negocio. Con esta definición se quiere proteger la información que es fundamental para conseguir los objetivos de las organización, por lo que en el ámbito de la organización, se convierte en necesidad gestionar la seguridad de la información.
Los incidentes en seguridad se pueden generar por desconocimiento o negligencia de las personas, puede ser que sea de forma accidental o de forma deliberada (lo que supone un ataque), por esto se debe considerar la aplicación de las diferentes perspectivas para incrementar y mejorar la seguridad de la información. Una forma de conseguirlo mediante la alineación de estándares y utilizar mejores prácticas en la materia.
Se puede aplicar la norma ISO 27001 como base a dicho principio, por lo que durante este post conoceremos los dos pilares que conforman dicho documento, además de las ideas básicas plasmadas en el mismo.
El estándar internacional usado durante la gestión de la seguridad de la información es ISO 27001, en ella se representa la experiencia acumulada por los expertos en el tema. Aunque la implantación se debe realizar en función de las características, las necesidades y las condiciones de cada empresa, existen unos primeros pasos con lo que se relacional el conocimiento del documento y sus propósitos.
Queremos conocer el contenido del estándar, es decir, los pasos a seguir para realizar el proceso de implementación. La estructura se reduce a dos elementos básicos: las cláusulas de los requisitos para que una empresa funcione de forma alineada con un Sistema de Gestión, junto con los objetivos de control y los controles de seguridad, lo que establece diferentes puntos de vista en la protección.
Pasos a seguir a la hora de trabajar con un Sistema de Gestión de Seguridad de la Información:
Lo primero que debemos considerar en el estándar son las cláusulas que definen todas las actividades necesarias para poder definir y establecer, implantar y operar, monitorear y revisar, además de mantener y mejorar un Sistema de Gestión de Seguridad de la Información ISO 27001.
La nueva versión de la norma ISO 27001 no se considera de forma explícita como un modelo de mejora constante, de forma implícita se consideran las diferentes fases que concuerdan con el Anexo SL, es decir, la estructura que utilizarán todos los estándares ISO para establecer cláusulas parecidas.
Mediante el seguimiento y la aplicación de las actividades que se definen en las 10 cláusulas, las empresas comienzan por dar forma a su Sistema de Gestión de Seguridad de la Información ISO 27001. Para que se encuentre alineada al estándar, una empresa debe cumplir con las cláusulas 4 a 10.
Para la misma edición, los requisitos comprenden elementos clave, como comprender el contexto de la empresa, las actividades que generan liderazgo de la altar dirección, el planteamiento, el soporte que establece los recursos necesarios, las competencias y la concienciación de las personas, además de operar con el SGSI, evaluar su desempeño gracias a las auditorías y las revisiones por la dirección, de forma final se mejora el sistema de gestión por medio de acciones correctivas.
Definir los objetivos de control y los controles de seguridad
El segundo elemento que conforma la estructura del estándar los objetivos de control y los controles de seguridad que son descritos en el Anexo A de la norma ISO 27001.
El estándar define un objetivo de control como el que se anuncia para describir lo que quiere conseguir, el resultado de la implantación de controles, además del control descrito como una medida que modifica el riesgo. Es importante mencionar que para modificar el riesgo, se deben tener en cuenta dos variables:
- Probabilidad: es la posibilidad de que ocurra algo.
- Impacto: son las consecuencias que pueden representar.
En mejor de los casos, un control modifica ambas variables.
El control no siempre tiene porque generar los resultados esperados, lo que se traduce en adecuarse al mismo, en sustituirlo o aplicarlo según los controles complementarios. Se pueden incluir una serie de procesos, políticas, dispositivos, prácticas u otras acciones que modifican los tipos de riesgos.
El Anexo A del estándar describe un listado de 114 controles de seguridad que se agrupan en 35 objetivos de control, que además se deben considerar 14 dominios, entre los que están las políticas y la organización respecto a la seguridad de la información, seguridad de recursos humanos, gestión de activos, control de procesos, criptografía, seguridad física, seguridad de las operaciones y de las comunicaciones.
Los dominios se consideran mediante diferentes perspectivas para proteger la información, por lo que también se incluyen objetivos de control específicos para realizar el mantenimiento, el desarrollo y la adquisición de sistemas, medidas de seguridad para relaciones con proveedores, gestión de incidencias de seguridad, continuidad de negocio y controles para el cumplimiento.
Podemos concluir con que la norma ISO 27001 presenta la siguiente estructura básica:
- En primer lugar se encuentran todas las clausulas en las que se definen los requisitos para implementar, operar, revisar y mejorar el Sistema de Gestión de Seguridad de la Información.
- En segundo lugar se encuentra el Anexo A, en el que se describen todos los controles para proteger la información.
Muchos elementos de la norma ISO 27001 son considerados con diferentes perspectivas: acciones y controles de seguridad que son aplicadas de forma previa a los incidentes, elementos proactivos como planes en caso de contingencia, seguridad ofensiva y enfoques reactivos.
El contenido que presenta la norma ISO 27001 tiene la intención de gestionar la seguridad, es decir, tomar decisiones que conduzcan hacía el propósito básico de proteger la información más importante de las empresas, al tiempo que conseguir los beneficios de alinearse a los demás estándares ISO.
Sistema de Gestión de Seguridad de la Información
El Software ISOTools Excellence para ISO 27001 para la Seguridad de la Información se encuentra compuesta por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las empresas no pierda ninguna de sus propiedades más importantes. Facilita el cumplimiento de las diferentes fases del ciclo de mejora continua.