¿Cómo implantar un SGSI basado en ISO 27001?
ISO 27001
La norma ISO 27001 implica un proceso continuo que debe revisarse y mantenerse, la gestión de la seguridad de la información constituye un conjunto de engranajes que se encuentran compuestos por diferentes factores y elementos. La planificación, la asignación, la evaluación y la auditoría son solo algunos de los aspectos que se deben considerar durante la implementación del Sistema de Gestión de Seguridad de la Información.
Esto supone diseñar, implantar y mantener una serie de procesos que permitan gestionar de forma eficaz la información, para asegurar su integridad, confidencialidad y disponibilidad. Si bien es posible implantar el alineamiento de la norma ISO 27001, COBIT, NIST o para seguir los estándares confiables y funcionales, también se puede crear un modelo propio de gestión, siempre y cuando se consideren todos los factores esenciales del ciclo para que el sistema sea eficiente. La siguiente infografía detalla cada uno de ellos:
Vemos que no es necesario ser una gran corporación para implantar un buen Sistema de Gestión de Seguridad y Salud en el Trabajo, contrario a lo que se cree en muchos otros casos. En algunas ocasiones, es posible aplicar unos pocos principios en lugar de un Sistema de Gestión de Seguridad de la Información para conseguir las mejoras significativas. Para esto se podrán obviar las formalidades del cumplimiento de una norma, pero sin dejar de seguir con las alineaciones principales.
No solo se protegerá la información digital en forma de bits almacenados en computadores o dispositivos móviles, sino también la que se encuentra impresa en papel y todo lo que constituye un activo importante para la empresa. La clave, entonces, está en definir qué se quiere proteger y proceder a implantar los controles adecuados para hacerlo. Después de revisar de forma constante la aplicación de este conjunto de medidas, realizar auditorías y trabajar en mejoras.
Si entendemos el Sistema de Gestión de Seguridad de la Información con el centro de gestión, tendremos cuatro partes a su alrededor:
- Planear: definir los pasos a seguir, cuáles van a ser los activos a proteger, de qué manera y quienes serán los encargados de llevarlo a cabo.
- Implementar: se debe poner en práctica todos los controles establecidos durante la planificación y gestionar la seguridad de manera cotidiana.
- Monitorear y medir: revisar el correcto funcionamiento de lo que ha sido planificado, además de medir el éxito de la gestión mediante parámetros establecidos de forma previa.
- Mantener y mejorar: una vez hecha la verificación y medición de todos los resultados obtenidos, se debe retroalimentar el proceso con mejoras que deberán ser planificadas, puestas en marcha y revisadas.
Con un buen Sistema de Gestión de Seguridad de la Información implantado, la información de la compañía se encuentra al resguardo día a día, permitiendo que su funcionamiento habitual se lleve a cabo sin preocupaciones.
La norma ISO 27001 es una metodología utilizada para optimizar la seguridad de la información que se genera en el interior de la organización. Se puede implantar en cualquier tipo de organización, no importa su tamaño, si es pública o privada, etc. Sin embargo, resulta obvio que tenga mayor acogida entre las organizaciones que tienen estructuras complejas o con distintos niveles y en las que los flujos de información son mucho más elevados.
La norma ISO 27001 permite que se certifiquen diferentes organizaciones. Su contenido no se queda en el plano de las recomendaciones. Por el contrario, una organización independiente es la que se encarga de confirmar que la seguridad de los datos internos de la organización cumple con los 130 parámetros de seguridad que establece la norma ISO 27001.
El crecimiento de la norma ISO 27001 a nivel mundial ha sido enorme. Según los datos de la propia ISO, en 2007 más de 7500 empresas que habían todos los requisitos de la norma ISO 27001. En el año 2012, ese número se incrementó hasta las 19000 organizaciones.
Pasos para conseguir la implementación de la norma ISO 27001
Existen 8 pasos principales que se deben seguir para conseguirlo:
- Compromiso de los niveles directivos: la certificación en ISO 27001 sobre la seguridad de la información sólo tiene cabida cuando los altos cargos de la organización tiene voluntad y disposición suficiente.
- Participación colectiva: de manera adicional, todos los miembros de la organización tienen que participar en el proceso mediante los canales establecidos. La comunicación interna tiene que ser eficaz.
- Comparar el sistema de seguridad actual con el de la norma ISO 27001.
- Pedir explicaciones a los proveedores los clientes sobre la seguridad de la información. Por la relación que tienen con la organización son una buena fuente de información para el proceso de implementación.
- Definir un equipo de trabajo para adoptar el Sistema de Gestión de Seguridad de la Información bajo los requisitos de la norma ISO 27001. En algunos casos, la empresa recurre a contratar a un consultor. Estos equipos deben tener ciertas funciones, responsabilidades y plazos.
- La implementación por sí solo no basta: cuando el sistema de seguridad local haya sido adaptado a la norma ISO 27001, los altos directivos de la organización deben fomentar la implicación del resto de trabajadores mediante la formación y los incentivos. Solo así se consigue un compromiso general.
- Compartir todos los conocimientos con los empleados, es otra forma de generar una cultura corporativa de seguridad de la información. La idea es que ellos mismos, a su vez, se conviertan en auditores de los procesos internos de este tipo.
- Revisión periódica del Sistema de Gestión de Seguridad de la Información, debe ser un elemento constante, incluso después de haber recibido la certificación de la norma ISO 27001.
Software ISO 27001
El Software ISOTools Excellence para ISO 27001 para la Seguridad de la Información se encuentra compuesta por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las empresas no pierda ninguna de sus propiedades más importantes. Facilita el cumplimiento de las diferentes fases del ciclo de mejora continua.