ISO 27001: Evaluación de los riesgos e implementación de las medidas de protección
Sistema de Gestión de Seguridad de la Información
Todos los detalles del proyecto de implantación de un Sistema de Gestión de Seguridad de la Información ISO 27001 dependen de los objetivos marcados por la organización. Sin tener en cuenta los enfoques que adopte, se tendrá que basar la organización en gestionar los riesgos con la Seguridad de la Información.
El objetivo de la gestión de riesgos
Debemos conocer porque es importante evaluar y tratar los riesgos en un Sistema de Gestión de Seguridad de Seguridad de la Información, para ello podemos poner el siguiente ejemplo:
Si usted deja el ordenador personal, sin supervisión, en el asiento trasero de su vehículo es muy probable, que antes o después, se lo roben. Para evitar esta situación debe establecer un procedimiento que diga que los ordenadores personales no se pueden dejar sin supervisión en el vehículo, y si realiza dicho gesto sería necesario que el vehículo se encuentre estacionado en una zona en la que exista vigilancia personal. Si finalmente le substraen el ordenador lo que puede hacer es proteger la información que contiene dicho equipo configurando una clave segura y encriptando todos los datos. Además, puede hacerles firmar a los trabajadores una declaración en la que se hagan legalmente responsables por el daño que pueda causarse. Aunque ninguna de estas medidas tendrán resultado si no se les explica a los trabajadores mediante una capacitación.
Las conclusiones obtenidas son que la Seguridad de la Información nunca es un único control de seguridad. Esto genera que sea necesario utilizar una combinación de medidas de protección que no se encuentren relacionadas de forma única con TI, sino que también se deben contemplar cuestiones de tipo organizacional, gestión de recursos humanos, seguridad física y protección legal.
En el ejemplo que hemos puesto anteriormente sólo se tiene en cuenta como una amenaza externa, es decir, no se cuenta con la posibilidad de que se realicen amenazas internas. Ahora tenemos que pensar que lo importante es proteger la información de la organización y ésta se encuentra archivada no sólo en los ordenador de la organización, sino que también se guarda en servidores, en cajones de escritorios, en teléfonos móviles, en USB y por su puesto en la memoria de los trabajadores, por lo que tenemos que plantearnos la cuestión de que un empleado no se encuentre conforme con la organización.
Poder asegurar toda esta información parece una misión imposible. En realidad puede ser muy difícil pero la respuesta se encuentra en evaluar y tratar los riesgos de una forma sistemática.
Elementos de la gestión de riesgos
Las diferentes metodologías para realizar la gestión de riesgos tienen en común encontrar las situaciones no deseables que puedan sucederle a la información de la organización. Tratar el riesgo es conseguir, de las mejores formas, mitigar los riesgos más importantes.
Evaluar y tratar el riesgo es la pieza central de la Seguridad de la Información en un Sistema de Gestión de Seguridad de la Información ISO27001 y todas las medidas utilizadas para proteger la información tienen que ser implantadas en función de la gestión del riesgo. De otro modo, se pueden encontrar invirtiendo enormes cantidades de dinero en medidas de protección que no sean necesarias, mientras que otros riesgos mucho más importantes quedan totalmente desatendidos.
No se puede confiar en el instinto para tomar consciencia en torno a los riesgos. Las personas que trabajan en TI son totalmente conscientes de solo el 40% de los riesgos que suceden, mientras que la parte comercial de la empresa solo se conoce un 25% del total de los riesgos.
Implementar las medidas de protección
Una vez finalizada la evaluación y el tratamiento de riesgos, se debe realizar un plan de acción. En este plan de acción se debe especificar los procesos a implementar, los plazos, los responsables, el presupuesto y quién es la persona encargada de informar acerca de la implementación. En el plan de acción se tiene que incorporar al plan del proyecto general.
Implementar un Sistema de Gestión de Seguridad de la Información basado en la norma ISO-27001, se suele realizar de la siguiente forma:
- Definir nuevas reglas: todas las reglas se encuentran documentadas gracias a la política de seguridad, los procedimientos, las instrucciones, etc. aunque no sea necesario documentar algunos de los procesos que no son tan complejos. Es muy importante adaptar la documentación a las necesidades reales.
- Implementar nueva tecnología: es necesario estudiar muy bien la compra de nuevos sistemas que necesiten de una gran inversión, ya que seguramente cuente con alternativas igualmente efectivas y mucho más económicas.
- Cambiar la estructura de la organización: en muchos casos será necesario introducir un nuevo cargo o modificar las responsabilidades de un puesto existente. Por ejemplo, la creación de un puesto de Jefe de Seguridad de la Información que retransmita la información directamente a la alta dirección de la organización.
El gerente de la organización tiene que verificar que las medidas de protección se han implementado con éxito y, lo más importante, que consiguieron el objetivo fijado.
Para realizar el seguimiento de las medidas de protección es necesario solicitar tres cosas al equipo encargado de realizar el proyecto:
- Definir los objetivos cuantificables por cada medida de protección implantada.
- Establecer el método con el que la organización mide, de forma periódica, la obtención de resultados.
- Definir las responsabilidades para poder medir y enviar los resultados.
Los objetivos y las mediciones de los que hemos hablado durante todo el post se refieren a todos los necesarios para conseguir establecer la seguridad del proyecto completo.
Software ISO 27001
El Software ISO 27001 genera una solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en su organización. Toda protección es importante, por mínima que sea, pues el mínimo descuido puede ocasionar una violación de los datos de la misma.