ISO 27001: ¿Qué requisitos de seguridad se deben tener en cuenta cuando tratamos con los clientes?
ISO 27001
Según la norma NTP-ISO/IEC 17799 todos los requisitos identificados con respecto a la Seguridad de la Información deben encontrarse junto a los requisitos de la norma a la hora de ofrecerles a los clientes el acceso a los activos de información, algo parecido pasa con la norma ISO 27001.
Procedemos a realizar un listado con los términos que deben ser anexados antes de ofrecer al cliente el acceso a los activos de información:
- Protección de activos, en los que se incluyen: procedimientos para proteger los activos de la empresa, incluyendo la información y el software. Procedimientos para establecer si se ha incrementado el riesgo de los activos. Implementar medidas de integridad. Crear restricciones a la hora de realizar una copia de la información.
- Describir el producto o servicio que se encuentra disponible.
- Diferenciar las razones, requisitos y beneficios del acceso del cliente a la información.
- Establecer acuerdos de accesos en los que se deben incluir: los métodos de acceso que están permitidos. Los procedimientos a seguir para autorizar el acceso y los privilegios de los que disfrutan los usuarios. Una declaración de que todo acceso que no está autorizado es prohibido. Proceso mediante el cual se revoca el derecho de acceso o la interrupción de la conexión al sistema.
- Posibles arreglos que se deban notificar e investigar respecto a inexactitudes en la información, incidentes y aberturas en la Seguridad de la Información.
- Generar una descripción de cada servicio que se encuentra disponible.
- Establecer cuál será el nivel del servicio.
- La organización tiene derecho a controlar y anular cualquier actividad que se encuentre relacionada con los activos de información de la organización.
- La organización y los clientes deben tener ciertas responsabilidades.
- Las responsabilidades en materia de legislación corren a cargo de la organización.
- La organización tiene los derechos de propiedad intelectual, protección contra copias y protección en tareas de colaboración.
Los requisitos de seguridad que se encuentran relacionados con el acceso a los activos de información de la organización por parte de los clientes pueden variar de forma considerable dependiendo del tipo de instalación que procese la información y el tipo de información a la que se pretende acceder. Los requisitos en seguridad se pueden encontrar anexados al acuerdo al que se ha llegado con el cliente, y éste contiene todos los riesgos perfectamente identificados y los requisitos de seguridad.
Los acuerdos a los que se llegan mediante terceras personas pueden implicar a otras partes. En dichos acuerdos se tiene que garantizar que el acceso que tienen terceras personas se encuentra bajo permiso expreso de la organización, estableciendo las condiciones de acceso.
Según la norma ISO/IEC 17799 los acuerdos que se realizan con terceras partes implican el acceso, el proceso, comunicación o gestión de la información de la empresa o las instalaciones de procesamiento de información, además de adicionar productos que deben cubrir los requisitos de seguridad más relevantes.
El acuerdo al que lleguen debe asegurar que no exista abandono entre la organización y las terceras partes.
Se establecer ciertas condiciones a la hora de establecer un acuerdo definiendo los requisitos necesarios que satisfacen la seguridad de la información:
- La política de Seguridad de la Información.
- Los controles que aseguran la protección del activo.
- Capacitar los métodos, procedimientos y seguridad tanto para el usuario como para el administrador.
- Asegurar el conocimiento del usuario en temas y responsabilidades de Seguridad de la Información.
- Disposición para trasferir personal, cuando se apropiado.
- Las responsabilidades con respecto a la instalación y el mantenimiento del software.
- Genera una clara estructura y formatos.
- Especificar procesos de cambio en la gestión.
- Política de control de acceso.
- Arreglar reportes, notificar e investigar los diferentes accidentes sobre Seguridad de la Información.
- Describir el producto que ha sido provisto y generar una descripción de la información que se encuentra disponible con la clasificación de seguridad realizada por la organización.
- Obtener el objetivo de nivel de servicio y los niveles que no son aceptables.
- Definir el criterio de comprobación de funcionamiento, control y reporte.
- Se debe tener derecho de controlar y anular cualquier actividad que se encuentre relacionada con los activos de información de la empresa.
- Derecho a auditar las responsabilidades definidas en el acuerdo, para que estas auditorías sean realizadas por terceras personas.
- Establecer el proceso necesario para resolver todos los problemas lo más rápido posible.
- Requisitos continuos de servicios, en el que se incluyen las medidas de disponibilidad y la confiabilidad.
- Establecer todas las responsabilidades de las diferentes partes del acuerdo.
- Determinar cuáles son las responsabilidades con respecto a temas legales y asegurarse de que los requerimientos legales sean conocidos.
- Definir cuáles son los derechos de propiedad intelectual y la asignación del copyright, además de cualquier tipo de protección.
- Implicar a los subcontratados en los controles de seguridad.
- Generar condiciones para renegociar los acuerdos.
Software Sistema de Gestión de Seguridad de la Información
El Software ISOTools Excellence para Riesgos y Seguridad de la Información, está capacitado para responder a numerosos controles para el tratamiento de la información gracias a las aplicaciones que contiene y que son totalmente configurables según los requerimientos de cada organización. Además, este software permite la automatización del Sistema de Gestión de Seguridad de la Información.