ISO 27001 ¿Cómo nos ayuda a minimizar los ataques informáticos?
ISO 27001
Durante el año 2017 más de 900 millones de usuarios sufrieron ataques cibernéticos a nivel mundial. Esto nos indica que la norma ISO 27001 tiene un impacto global y puede afectar tanto a personas como a empresas.
Para empezar, es muy importante conocer la diferencia que existe entre seguridad informática y seguridad de la información. Seguridad de la información se refiere a todo aspecto que se encuentre relacionado con la protección de datos que se encuentre en cualquier medio, sea o no digital. Por ejemplo, un contrato, un registro de asistencia, o una copia de seguridad, entre otros.
La seguridad informática abarca la información contenida en medios informáticos y digitales, son los activos de información asociados al mundo digital. Por esto, la seguridad informática se encuentra contenida dentro de la seguridad de la información y abarca todos los procesos. Sin embargo, la seguridad informática abarca sólo los procesos de TI.
El Sistema de Gestión de Seguridad de la Información que permite implantar y gestionar la seguridad de la información en una empresa y cumple con el ciclo PHVA. Se permite proteger tres atributos muy importantes. Confidencialidad, entendiendo que la información solo debe llegar a quien va dirigida. Integridad, ya que los datos no pueden ser alterados o manipulados en el camino. Disponibilidad, para que encontremos la información en el momento que la necesitemos.
¿Dónde surge la ISO 27001?
Es la norma inglesa BS7799 y antes la ISO 17799, dichas normas generaban un listado de controles que se utilizaban para proteger la información en la empresa. En muchas organizaciones a esos controles se les llamaba políticas de seguridad. Por ejemplo, tener los equipos con una contraseña específica, dejar los equipos apagados al salir de la oficina, etc. Siendo algunas de las políticas de seguridad. Pero estos controles se encuentran separados y aislados, muchas veces no se monitorean ni se les realiza seguimiento. De manera adicional, los controles se mantienen en el tiempo y no se les realizaba mejora alguna, de lo contrario a los sistemas de gestión de seguridad que buscan evolucionar y mitigar los riesgos en las empresas. Para poder avanzar en la implementación es necesario que el Sistema de Gestión de Seguridad de la Información tenga una matriz que muestre donde hay mayor impacto.
¿Qué nos permite la norma ISO 27001?
La norma ISO 27001 nos permite certificarnos, no sólo para mostrar que se consiguió, sino como un examen que ayuda a validar conocimientos que tenemos y ver si realizamos bien la tarea encomendada.
Existen distintos estándares que guían la seguridad de la información, pero la norma ISO 27001 es global, integral y se complementa bien con otras normas por su enfoque basado en riesgos, lo que nos facilita realizar las auditorías combinadas.
¿Cuáles son algunos puntos claves de seguridad de la información?
- La norma ISO 27001 no nos dice cómo implantar la seguridad, sino que debo hacer, cuales son los objetivos de seguridad, hacia donde debo ir y para ello tendremos disponible más de 100 controles, claros y precisos para que sean implementados. El cómo lo hagamos depende de cada empresa, de los recursos de los que disponga, etc. Ya que la norma ISO 27001 no exige que sean implantados todos los controles.
- Aunque es necesario que se realice una inversión económica para implantar la norma ISO 27001, la inversión no debe ser necesariamente grande, ya que cada empresa define hasta dónde quiere llegar para cumplir con sus requisitos de seguridad.
- El área de TI puede liderar el proyecto del Sistema de Gestión de Seguridad de la Información, este también lo puede liderar y administrar el área de calidad, de control interno o cualquier área de la empresa que tenga el interés, el compromiso y el liderazgo para hacerlo.
- Un Sistema de Gestión de Seguridad de la Información ayuda a prevenir algunos ataques informáticos, pero estos no se pueden evitar completamente, lo que sí podemos es hacernos menos vulnerables y más resistentes y preparados para responder ante un ataque informático.
- El beneficio de un sistema de gestión de riegos no es solo comercial, el principal beneficio es ayudar a minimizar y mitigar los riesgos, aún más hoy cuando en las empresas se depende tanto de los datos y la información.
¿Qué tener en cuenta para iniciar con la implementación del sistema?
- Hacer un análisis GAP de los requisitos de la norma ISO 27001 vs los que están implementados en la empresa, para darnos cuenta del porcentaje de avance.
- Definir un alcance claro y preciso, en el que esté identificada cuál es la parte crítica.
- Necesitamos un sponsor que lidere el proyecto y lo saque a flote con el apoyo de los líderes de la empresa.
- Identificar los riesgos y tener la matriz donde veamos el impacto que estos tienen para identificar los controles.
- Tener partners, aliados y pares que nos pueden ayudar a ver, de una manera más sencilla, cómo implementar el sistema.
Software ISO 27001
El Software ISOTools Excellence para la norma ISO 27001, se encuentra capacitado para responder a numerosos controles para el tratamiento de la información gracias a las aplicaciones que contiene y que son totalmente configurables según los requerimientos de cada organización. Además, este software permite la automatización del Sistema de Gestión de Seguridad de la Información.