ISO 27001 Establecer los requisitos de seguridad de la información
ISO 27001
La seguridad es algo que todas las organizaciones debe tener, pero que nadie quiere utilizar. Y este pensamiento puede traer muchos problemas.
El propósito que persigue el Sistema de Gestión de Seguridad de la Información ISO 27001, es que los usuarios prestan poca atención a cómo la seguridad se incorpora en un producto y cómo se analiza para garantizar que funciona de forma correcta cuando es necesario.
Hoy en día, se puede utilizar la norma ISO 27001 para ayudar a conseguir la seguridad de la organización, utiliza sus propios clientes como un servicio de la empresa. Se debe tener en cuenta durante la especificación de los requisitos y la preparación de los procedimientos de prueba.
¿Qué es un requisito? ¿Y por qué debería preocuparme por ello?
Un requisito puede ser cualquier declaración elaborada de forma que hace que sea posible su utilización al evaluar los resultados. Cuando se pide “agua helada” usted indica la sustancia y la temperatura que desea. Cuanto más detallado sea el requisito, más fácil será de verificar los resultados obtenidos.
Cuanto más detallados sean los requisitos, se necesita mucho más esfuerzo para definirlo y probarlo. Si en algún momento se descuida este esfuerzo para evitar el aumento de los costos. Una falta de información no permite cumplir con la petición.
Si faltan detalles de lo que se ha solicitado, esto puede disminuir el rendimiento o reducir la seguridad del producto.
Cómo especificar los requisitos de seguridad
Dentro del apartado 14.1.1 “Análisis de los requisitos de Seguridad de la Información y Especificación” en la norma ISO 27001, nos ofrece todos los requisitos necesarios para proteger la información. Un requisito de protección controla el acceso a la información, según el nivel de liquidación.
Para conseguir unos buenos requisitos, la norma ISO 27002 recomienda:
La adopción de métodos para identificar requisitos
Las formas sistemáticas de identificación pueden prevenir los aspectos de ser olvidados o pasado por algo. Los métodos de evaluación de las políticas y regulaciones.
Resultado de la opinión de las partes interesadas
Se debe ajustar mejor a la hora de realizar la evaluación de los requisitos documentados. Deberá elegir a las diferentes personas que se encontrarán involucradas.
Evaluación de los requisitos según el valor de la información para el negocio
Si la seguridad es adecuada esto se refleja en el valor que obtiene la información para el negocio. Los requisitos deben ser priorizados según los documentos que el negocio quiera proteger.
La integración de los requisitos de gestión en las primeras etapas de un proyecto
Cuanto antes se considera la seguridad, muchas más opciones existen para tratar el riesgo. Deberá tener en cuenta las políticas y los procesos de desarrollo del proyecto.
Definir criterios para la aceptación del producto
En algún momento deberá demostrar que lo que se propuso al implementar el Sistema de Gestión de Seguridad de la Información lo ha logrado. Deberá demostrar que cuenta con los procedimientos establecidos de forma correcta. La principal recomendación de la norma ISO 27002 es realizar pruebas de aceptación, definir parámetros y obtener resultados claros.
Requisitos de pruebas
Si realizamos una clara definición de los resultados que queremos obtener, se deberá considerar la manera de asegurar que el sistema cumple con todos los requisitos. La norma ISO 27001, puede utilizar el apartado A.14.2.8 para elaborar actividades sistemáticas para garantizar el cumplimiento de los criterios de aceptación definidos de forma previa.
Más detalles que se pueden encontrar en la norma ISO 27002, que recomienda:
Establecer qué condiciones desencadena la necesidad de una prueba
Se deben considerar la actualización de los sistemas y las nuevas versiones. Las nuevas funciones o las modificadas pueden entrañar un riesgo para la calidad o el medio ambiente.
Establecer rutinas de pruebas sistemáticas
Se debe considerar una rutina de actividades que se deben realizar. De esta forma se puede garantizar que los errores serán fácilmente localizables.
Utilizar los niveles de prueba
Las primeras pruebas deben ser llevadas a cabo por el equipo de desarrollo. Se tienen que comprobar todos los requisitos más básicos y corregir de forma rápida los errores de código simples. Para obtener la garantía de seguridad, se deberán realizar pruebas independientes.
Entorno realista de prueba
Lo mejor para la identificación de las vulnerabilidades y la fiabilidad de la pruebas es realizarlas en un entorno vivo.
Software ISO 27001
El estándar internacional ISO 27001, junto con todas las normas que componen su familia, generan todos los requisitos necesarios para poder implementar un Sistema de Gestión de Seguridad de la Información de una forma rápida y sencilla, además el Software ISOTools Excellence para ISO 27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa.