ISO 27001: Contenido fundamental y beneficios
ISO 27001
Vamos a ver un pequeño resumen sobre el contenido de la norma ISO 27001 que es utilizada para implementar en una organización el Sistema de Gestión de Seguridad de la Información.
La norma ISO27001 se compone de:
Introducción: donde se exponen todas las generalidades y se hace una breve introducción al método PHVA.
Objetivo y campo de aplicación: se especifica el objetivo, el campo de aplicación y el tratamiento que se le deben dar a las exclusiones.
Normas para su consulta: se exponen otras normas que sean de interés y sirvan de referencia.
Términos y definiciones: se describen brevemente todos los términos utilizados durante el desarrollo de la norma, facilitando la comprensión de esta.
Sistema de Gestión de Seguridad de la Información: durante este apartado se explica cómo se debe crear, implementar, operar, supervisar, revisar, mantener y mejorar el SGSI. Se exponen los requisitos de documentación y cómo controlar dicha documentación.
Responsabilidad de la alta dirección: la alta dirección debe conocer el compromiso que debe contraer con Sistema de Gestión de Seguridad de la Información, cómo gestionarlo y los recursos necesarios para que se pueda llevar a cabo de una forma satisfactoria.
Auditorías internas del SGSI: te explica cómo se deben realizar las auditorías internas de control y seguimiento del sistema de gestión.
Revisión del SGSI por parte de la dirección: se debe conocer el periodo de tiempo en que se debe llevar a cabo una revisión de todo el Sistema de Gestión de Seguridad de la Información por parte de gerencia de la organización.
Mejora del Sistema de Gestión de Seguridad de la Información: el principal objetivo del sistema de gestión es la mejora continua y la toma de acciones tanto preventivas como correctivas.
Objetivos de control: es un anexo normativo en que se enumeran todos los objetivos de control que vienen detallados en la norma ISO 27002.
Relación con los principios de la OCDE: es un anexo informativo que guarda la correspondencia entre algunos apartados de la norma ISO-27001 y los principios de la OCDE.
Correspondencia con otras normas: es otro anexo informativo que cuenta con una tabla de correspondencias entre las normas ISO 14001 e ISO 9001.
Bibliografía: son las normas y las publicaciones de referencias.
Implementar un Sistema de Gestión de Seguridad de la Información basado en la norma ISO 27001 genera a la organización una serie de beneficios que vamos a nombrar a continuación:
- Establecer una metodología de gestión de la seguridad clara y concisa.
- Reducir el riesgo de pérdida, robo o corrupción de la información importante de la organización.
- Los clientes tienen acceso a la información mediante medidas de seguridad.
- Los riesgos a los que se encuentran sometidos son continuamente revisados y se realizan controles periódicamente.
- Aumenta la confianza de los clientes y de los socios estratégicos, ya que se incrementa la garantía de calidad y confidencialidad.
- Realizar las auditorías externas ayudan cíclicamente a identificar todas las debilidades que vaya presentando el SGSI y las áreas a mejorar.
- Aumenta la posibilidad de integrarse con otros Sistemas de Gestión como puede ser ISO 9001, ISO 14001, OHSAS 18001, etc.
- Da la posibilidad de continuar con las operaciones necesarias de negocio justo después de incidente grave.
- Cumplir con la legislación vigente sobre información personal, propiedad intelectual y otras.
- Se incrementa la imagen de empresa a nivel internacional, por lo que genera un elemento diferenciador de la competencia.
- Disminuyen los costes y la mejora en los procesos y los servicios ofrecidos por la empresa.
- Aumenta la motivación y satisfacción del personal
- Se incrementa la seguridad en base a la gestión de procesos.
Para adaptase al Sistema de Gestión de Seguridad de la información hay que seguir unos pasos fundamentales:
Arranque del proyecto
Durante el arranque del proyecto es muy importante que la dirección adquiera un gran compromiso con dicho proyecto, ya que representa a un apoyo claro y decidido. La dirección de la organización es la que debe impulsar el cambio de cultura y concienciar a todos sus empleados sobre los beneficios que traerá el proyecto.
Planificación
Se tiene que definir el alcance del Sistema de Gestión de Seguridad de la Información en función a las características del negocio, de la empresa, la localización, los activos y tecnología utilizada. Hay que definir perfectamente el alcance y los límites del SGSI. Se debe elaborar una política de seguridad en la que se incluya el marco general de la organización y los objetivos de seguridad de la información que persigue la empresa. La política ambiental se puede tomar como una “declaración de intenciones” de la dirección de la organización.
Se debe definir el enfoque de evaluación de riesgos, realizar un inventario de activos de seguridad, identificar las amenazas y las vulnerabilidades, identificar los impactos, analizar y evaluar los riesgos, seleccionar controles y confeccionar una Declaración de Aplicabilidad.
Implementación
Se debe definir un plan de tratamiento de riesgos en que se indiquen todas las acciones, recursos y responsabilidades. Implementar un plan de tratamiento de riesgos con el fin de alcanzar todos los objetivos de control identificados. Implementar controles, formar y concienciar a los trabajadores, desarrollar el marco normativo necesario, gestionar las operaciones del SGSI y todos los recursos, implementar procedimientos y controles de detección y respuesta a incidentes de seguridad.
Seguimiento
Se deben ejecutar todos los procedimientos y controles necesarios para llevar a cabo la monitorización y la revisión de los errores en los resultados de procesamiento. Revisar con regularidad la eficacia del Sistema de Gestión de Seguridad de la Información según la norma ISO27001. Medir la eficacia de los controles y revisar cada cierto tiempo la evaluación de riesgos.
Mejora continua
Se realiza la implantación de mejoras continuamente, se utilizan las acciones correctivas y preventivas para corregir y prevenir no conformidades. Se comunican las acciones de mejora a toda la organización y se deben asegurar de que todas las mejoras alcanzan los objetivos pretendidos.
Software para SGSI
El Software ISO-27001 para la Seguridad de la Información se encuentra compuesta por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las empresas no pierda ninguna de sus propiedades más importantes: disponibilidad, integridad y confidencialidad.