¿Por qué aplicar la norma ISO 27001?
Norma ISO 27001
El ambiente en el que se encuentran los riesgos es muy dinámico, ya que ofrece continuos cambios porque las amenazas se desarrollan, adquieren vulnerabilidades nuevas y además ocurren incidentes de seguridad que presentan grandes repercusiones para la organización y para los trabajadores. El enfoque se centra en la idea de que ante este escenario, sólo es cuestión de tiempo que seamos víctimas de las consecuencias que traen consigo las amenazas, por esto, en el ambito de la seguridad de la información, debemos utilizar la norma ISO 27001.
Lo más importante será estar preparados para atender todos los incidentes que se produzcan, sin dejar de lado las medidas preventivas y proactivas que contribuyen a minimizar la probabilidad de su ocurrencia y/o el impacto que puedan generar, además de las acciones correctivas que se necesitan para solventar todos los problemas.
Gestionar lo podemos definir como: “la realización de las diligencias oportunas para obtener un logro en el negocio”. Partiendo de esta definición, se entiende que el propósito principal de la gestión es proteger la información que resulta fundamental para conseguir los objetivos de las organizaciones, por lo que en el ámbito de la empresa, se ha convertido en una enorme necesidad para la gestión de la seguridad de la información con la norma ISO 27001.
Todos los incidentes de seguridad se pueden presentar por desconocimiento o por negligencia de los trabajadores, de forma accidental e incluso puede ser de forma deliberada, por lo que esta idea considera la aplicación de diferentes perspectivas para incrementar y mejorar la seguridad de la información. De forma que se pueda conseguir mediante la alineación de estándares y mejorar las prácticas en esta materia.
La aplicación de la norma ISO 27001 tiene como base dicho principio, por lo que debemos conocer los dos pilares fundamentales en los que se basa el documento, así tendremos todas las ideas básicas claras.
La norma ISO 27001 ha sido utilizada para gestionar la seguridad de la información, lo que supone una gran experiencia acumulada para los expertos en el tema. Y aunque la implementación se tiene que realizar en función de todas las características, necesidades y condiciones de cada empresa, uno de los primeros pasos que se deben realizar es aplicar la relación entre el documento y sus propósitos.
Nos debemos centrar en conocer el contenido de la norma ISO 27001, como paso siguiente al proceso de implantación. La estructura se distribuye entre dos elementos básicos: las cláusulas de requisitos para que una empresa funcione de forma alineada con el Sistema de Gestión de Seguridad de la Información, junto con todos los objetivos de control y los controles de seguridad, que se pueden considerar con diferentes puntos de protección.
Pautas para operar con un Sistema de Gestión de Seguridad de la Información
El primer elemento base que considera el estándar deben ser las cláusulas que definen las actividades necesarias para establecer, implantar y mejorara un Sistema de Gestión de Seguridad de la Información basado en la norma ISO 27001.
La nueva versión de la norma ISO 27001 no se considera de forma explícita un modelo de mejora continua, implícitamente sí que se consideran todas las fases que concuerdan con el Anexo SL, es decir la estructura que se utiliza por los estándares ISO para definir todas las cláusulas.
Mediante el seguimiento y la aplicación de las actividades que se definen en las 10 cláusulas, las empresas empiezan a dar forma a un proyecto que contribuye a la gestión de la seguridad de la información. Para que se encuentra alineado con la norma ISO 27001, la empresa tiene que cumplir con las cláusulas de la 4 a la 10.
Los requisitos que comprenden los diferentes puntos clave son, entender el contexto de la empresa, las actividades que demuestran el liderazgo de la alta dirección, la planeación, el soporte que involucra a los recursos necesarios, competencias y concienciación de las personas que trabajan en la organización, la operación del Sistema de Gestión de Seguridad de la Información, evaluar el desempeño mediante las auditorías internas y las revisiones de la dirección, además de mejorar el sistema de gestión por medio de acciones correctivas.
Definición de objetivos de control y controles de seguridad
El segundo elemento que conforma la estructura de la norma ISO 27001 son todos los objetivos de control y los controles de seguridad que se describen en el Anexo A del documento. Todos estos elementos se encuentran agrupados en 14 dominios para la versión 2013.
Debemos recordar que la norma ISO 27001 define un objetivo de control, es el resultado de la implementación de los controles, mientras que el control descrito es una medida que modifica el riesgo. Es muy importante mencionar que para modificar el riesgo, se tiene que afectar alguna de sus dos variables: la probabilidad de que ocurra algo o el impacto que puede generar si llega a ocurrir. En el mejor de los casos, un control modifica ambas variables.
Un control no siempre genera todos los resultados esperados, lo que se traduce en adecuaciones del mismo, la sustitución o la aplicación de controles complementarios. Estos se pueden incluir en los procesos, las políticas, los dispositivos, las prácticas y las otras acciones que modifican todos los riesgos.
El Anexo A describe una lista de 114 controles de seguridad que se agrupan en 35 objetivos de control, que a su vez se encuentran dentro de 14 dominios, entre los que están las políticas y las empresas de seguridad de la información, seguridad física, seguridad de operaciones, etc.
Todos los dominios se consideran desde diferentes perspectivas para proteger la información por lo que también se introducen objetivos de control y controles muy específicos para el mantenimiento, desarrollo y adquisición de sistemas, medidas de seguridad para la relación con los proveedores, gestionar los incidentes de seguridad, la continuidad de negocio y los controles para cumplir con la norma ISO 27001.
Software ISO 27001
El Software ISOTools Excellence para ISO 27001 para Riesgos y Seguridad de la Información, está capacitado para responder a numerosos controles para el tratamiento de la información gracias a las aplicaciones que contiene y que son totalmente configurables según los requerimientos de cada organización.