¿En que se basa un Sistema de Gestión de Seguridad de la Información según la norma ISO 27001?
Sistema de Gestión de Seguridad de la Información
Si tu organización ha comenzado la aplicación de los requisitos de la norma ISO 27001, seguramente habrás escuchado el término Sistema de Gestión de Seguridad de la Información. El Sistema de Gestión de Seguridad de la Información es el producto de la norma ISO 27001 de principal aplicación.
La norma ISO 27001 básicamente describe como desarrollar un Sistema de Gestión de Seguridad de la Información, se puede considerar que dicho sistema de gestión tiene un enfoque sistemático para la gestión y protección de la información de una organización. El Sistema de Gestión de Seguridad de la Información representa un conjunto de políticas, procedimientos y otros mecanismos de control que establecen las reglas de seguridad de la información en una empresa.
Se necesitan varios controles para cada riesgo
Puede que utilice su ordenador portátil con frecuencia en su coche, por lo que es muy probable que, tarde o temprano, el ordenador sea robado. Por lo tanto ¿Qué puedes hacer para disminuir el riesgo de que roben su información? Deberá aplicar cierto tipo de controles. En primer lugar, se puede escribir un procedimiento que define que no se puede dejar el ordenador portátil en el coche, deberás proteger tu ordenador por una contraseña, se pueden cifrar sus discos para incrementar la protección de la información, también se puede pedir a sus trabajadores que firmen una declaración en la que se obliga a pagar todos los daños que se puedan producir si un incidente de este tipo sucede, pero también deben ser conscientes de que existen diferentes riesgos si transportan el portátil en su coche.
La protección del ordenador portátil puede parecer simple, pero el problema es cuando usted tiene cientos de ordenadores portátiles, docenas de servidores, una multitud de bases de datos, muchos de los trabajadores, etc. ya que cuenta con mucha información sensible en muchos activos diferentes, muy rápidamente cuando obtiene un gran número de garantías que no se relacionan, y por lo tanto sería muy difícil de manejar.
La gestión de los sistemas de seguridad
La única forma de manejar todas las medidas de seguridad es establecer procesos de seguridad y responsabilidades claras. Esto se llama un enfoque basado en procesos en los estándares de gestión ISO 27001. Si tomamos la norma ISO 9001 como una norma parecida, la idea es la siguiente: no se puede esperar que para producir un coche de alta calidad solo se necesite la realización de un control de calidad al final de la línea de producción, lo que se necesita para diseñar un proceso de producción comprende desde la selección de ofertas de alta calidad, a la formación de los trabajadores, para hacer frente a la eficacia de los productos no conformes.
De la misma forma, un enfoque basado en procesos es crucial para establecer una conexión entre las responsabilidades y los controles técnicos. Sólo si se sabe quién, que y cuando se tiene que hacer podrán tener una base para permitir que los controles de seguridad trabajen.
En primer lugar, los controles de seguridad de la información no son sólo técnicas, controles relacionados con la TI. Son una combinación de diferentes tipos de controles, la documentación de un procedimiento es un control de la empresa, la implantación de una herramienta de software es un control de TI y la formación de las personas es un control de los recursos humanos.
En segundo lugar, sin algún tipo de marco, la seguridad de la información se convierte en inmanejable, ya que cuando se construye un Sistema de Gestión de Seguridad de la Información, se desarrolla un conjunto de reglas de seguridad de la información, responsabilidades y controles.
Por último, un Sistema de Gestión de Seguridad y Salud en el Trabajo se trata de diferentes procesos de seguridad que se encuentran implicados en conjunto, se definen estos procesos y lo mejor es que estos procesos se encuentran relacionados entre sí.
Software ISO 27001
El Software ISOTools Excellence ISO 27001 para Riesgos y Seguridad de la Información, está capacitado para responder a numerosos controles para el tratamiento de la información gracias a las aplicaciones que contiene y que son totalmente configurables según los requerimientos de cada organización.