La norma ISO/IEC 27001
Norma ISO/IEC 27001
La norma ISO/IEC 27001 para el “Sistema de Gestión de la Seguridad de la Información” es la mejor solución para mejorar de forma continua y evaluar los riesgos físicos (incedios, inundaciones, sabotaje, vandalismos, etc.) y lógicos (virus, ataques, etc), además permite que se establezcan estrategias y controles adecuados para asegurar de forma permanente la protección y salvaguardar la información.
El Sistema de Gestión de la Seguridad de la Información (SGSI) según la norma ISO/IEC 27001, sigue un enfoque basado en proceso que utiliza el ciclo de mejora continua o el ciclo Deming, que consiste en Planificar-Hacer-Verificar-Actuar, más conocido con el acrónimo PHVA. Además, la norma ISO/IEC 27001 se fundamenta en un listado de objetivos de control y controles necesarios para conseguir los objetivos de seguridad de la información.
El sistema por el que se rige la norma ISO/IEC 27001 es el análisis y la gestión de los riesgos que se encuentran basados en los procesos de negocio.
Analizar y gestionar riesgos basados en procesos de negocio de Tecnologías de Información resulta una herramienta muy útil a la hora de evaluar y controlar una empresa con respecto a los riesgos de los sistemas de información. De esta forma los procesos de negocio de TI se fundamentan en los activos de las TIC que ofrecen soporte a los procesos de negocio. Se realiza un análisis y se gestiona los riesgos de los sistemas de información de una forma realista y se orienta a los objetivos de la empresa.
Una vez se realice la evaluación del riesgo y se apliquen los controles adecuados que dispone la ISO/IEC 27002 o de otro estándar en el que nos queda un riesgo residual que la organización aprueba, y que se revisará una vez al año, como mínimo.
Como todo Sistema de Gestión el SG de Seguridad de la Información según la norma ISO/IEC 27001 tiene además del ciclo de Deming otros indicadores y métricas para realizar la medición de la eficiencia de los controles, que aportan realismo día a día a la seguridad.
Modelo de gobierno y gestión para las TIC
La norma ISO/IEC 27001 guarda cierta relación con otras normas que conforman al modelo de gobierno y la gestión de las TIC, basándose en estándares aceptados mundialmente. Se puede decir que, gracias a este modelo, el Centro de Procesamiento de Datos (CPD) y el resto de la empresa comienzan a hablar el mismo lenguaje y a conectarse de forma mucho más naturales y eficiente.
El modelo propone dos certificaciones a un nivel máximo: una para el gobierno corporativo de las TIC y otra para el Sistema de Continuidad de Negocio en las empresas. Dentro de la primera divide a su vez la gestión en dos áreas diferentes: los sistemas de Gestión de los Servicios de TI y los Sistemas de Gestión de la Seguridad de la Información (la norma ISO/IEC 27001).
Con la implementación de los sistemas se consigue gestionar la calidad y seguridad de los servicios de Tecnologías de Información y Comunicación, lo que trae consigo la minimización de los riesgos en la Seguridad de la Información y mejora la seguridad de las TCI en el nivel de servicio de éstas.
La otra área de gestión es donde se agrupan las actividades de desarrollo de programas, dirigido a la calidad del proceso de ingeniería del software, con el modelo de evaluación, mejora y hace que el software madure.
El modelo significa un cambio cultural que impacta en el mundo empresarial y en las administraciones públicas en relación con las TIC, lo que ha supuesto el primer paso hacia la consolidación y optimización de las TIC en nuestro país.
La norma ISO/IEC 27001 es un sistema activo, se integra en la organización y presenta proyección de futuro. Es muy importante resaltar que cada vez que se incorpora una nueva herramienta a nuestra organización se tiene que actualizar el análisis de riesgos para mitigar de forma responsable los riesgos, y por supuesto, se debe considerar la regla básica de los riesgos.
Los certificados respaldan el cumplimiento de las normas, en este caso la norma ISO/IEC 27001. En una economía cada vez más globalizada, en la que los productores españoles de bienes y servicios tienen que competir, ya que los certificados son como pasaportes de calidad que abren puertas a otros mercados e incrementa la garantía de confianza entre empresas y consumidores de todo el mundo.
En este momento actual, más de 350 empresas que han certificado con la norma ISO/IEC 27001, lo que contribuye a fomentar las actividades de protección de la información en las entidades públicas o privadas, se mejora la seguridad de la información, la imagen y genera confianza frente a terceros.
Existen factores intrínsecos que hacen que se expone la voluntad de cumplir con la legislación vigente y garantizar la continuidad del negocio.
La norma ISO/IEC 27001 se encuentra en plena actualidad y expansión, siendo considerada una gran herramienta en el siglo XXI, ya que supone la mejora continua para el Sistema de Gestión de la Información según la norma ISO/IEC 27001.
Supone un referente para sistemas como pueden ser el Esquema Nacional de Seguridad durante los procesos industriales.
Software para ISO 27001
El Software ISOTools Excellence para ISO/IEC 27001 para la Seguridad de la Información se encuentra compuesta por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las empresas no pierda ninguna de sus propiedades más importantes: disponibilidad, integridad y confidencialidad.