¿Cómo se utiliza la norma ISO 27001 en el sector público?
ISO 27001 en el sector público
El estándar ISO 27001 en el sector público es cada día más aplicado como referente para obtener la certificación del Sistema de Gestión de Seguridad de la Información por todos los beneficios que genera en la organización.
La implantación del Sistema de Gestión de la Seguridad de la Información según ISO 27001 en el sector público requiere que se realice, en primer lugar, un análisis de riesgos existentes. Para proceder a la identificación de las potenciales amenazas y vulnerabilidades a las que se enfrenta la institución en cuestión. Es interesante leer este artículo ISO 27001: ¿Qué significa la Seguridad de la Información?.
Amenazas y vulnerabilidades en ISO 27001 en el Sector Público
Cuando se habla de amenazas, nos referimos a la situación que puede generar un incidente en cuanto a la seguridad de la información. Las amenazas a las que las empresas púbicas deben hacer frente son muy diferentes. Dichos desastres pueden ser desastres naturales, siniestros, agresiones, accidentes, etc.
El organismo público que se encuentra en un proceso de implementación de la norma ISO 27001 deberá establecer un listado de todas las amenazas que se hubieran detectado. Una vez esté disponible la lista debemos proceder a evaluar la probabilidad de que tal amenaza suceda sobre los activos de la información que estén presentes en los activos de información presentes en la entidad.
Para poder calcular la probabilidad, necesitamos ser conscientes sobre que activo en concreto es sobre el que recae la amenaza, es vulnerable o no a la misma.
Es necesario resaltar que existen diferentes amenazas que harán que todos los activos de información sean vulnerables ante los mismos. Existen otras amenazas, frente a las cuales, con los adecuados controles con lo que cuente la institución, permita frenarlas impidiendo que los activos sean vulnerables.
Mediante el término de riesgo se puede medir el grado de seguridad con el que cuenta una institución sobre su información. Para lo cual se realiza la evaluación y valoración. Esto permite que la entidad pueda diseñar la estrategia necesaria para actuar frente a tales riesgos y amenazas.
Mediante los controles de seguridad que han sido establecidos, el organismo puede actuar contra los riesgos, disminuyendo las vulnerabilidades y eliminando la probabilidad de que acabe ocurriendo o al menos, disminuyendo el impacto que dicha amenaza podría ocasionar sobre el activo de la información concreto.
Plan de Gestión de Riesgos
Mediante la definición y aplicación de un plan de gestión de riesgos, la entidad consigue un nivel de seguridad de la información calificado como óptimo. Este nivel de seguridad de la información viene medido por el llamado riesgo residual.
Cuando hablamos de riesgo residual, realmente estamos haciendo mención al conjunto de riesgos que el organismo público en concreto define como soportable. La decisión del nivel de riesgo que se considera como asumible guarda una estrecha relación con el nivel de prevención que se define en la institución concreta del sector público.
Según los riesgos, la empresa pública debe realizar un seguimiento de forma continuada, puesto que el entorno cambiante obliga a la misma a estar en continua cambio para que se pueda adaptar y esto está generando cierta modificación en los riesgos a los que se expone y en consecuencia también será necesario realizar una adaptación en cuanto a las estrategias de seguridad de la información con la que cuente la empresa.
Es importante tener en consideración el hecho, de que a medida que el organismo incrementa su tamaño, el problema de gestión de riesgos se complica, puesto que hay implicados en un mayor número de activos de información, la responsabilidades sobre los mismos, divididos en diferentes departamentos.
Además, todos los requisitos relativos a la seguridad de la información varían en función del sector en el que estemos trabajando.
Uno de los aspectos de mayor relevancia en la cuantificación del riesgo, es la propia valoración del activo de la información.
Software ISO 27001
Con el Software de ISOTools Excellece es posible automatizar el Sistema de Gestión de la Seguridad de la Información. Esta plataforma dispone de un conjunto de aplicaciones con el objetivo de garantizar la seguridad de la información de las organizaciones privadas y públicas, haciendo más ágil y eficiente la gestión del mismo.