ISO 27001 ¿Cuáles son los requisitos de seguridad?
Requisitos de seguridad
La seguridad es algo que todas las empresas deben tener, pero ninguna suele utilizar. Pensar de esta manera puede traer muchos problemas, para obtener dicha seguridad se puede utilizar la norma ISO 27001.
A menos que el propósito del sistema esté relacionado con la seguridad, los usuarios prestan poca atención sobre cómo encaja la seguridad en un producto, y cómo se garantiza que funcione de manera correcta cuando sea necesario. A los sistemas críticos de un avión o un coche se acceden mediante los sistemas de entretenimiento, ya que la mala interpretación de seguridad y verificación, son claros ejemplos. Podéis leer el siguiente artículo para conocer más sobre la norma ISO 27001: Los aspectos básicos en la ciberseguridad.
Durante este artículo queremos ayudarte con la norma ISO 27001. Es necesario aclararse las ideas sobre la implementación de un Sistema de Gestión de Seguridad de la Información, utilizando la propia empresa o facilitando a los clientes algún servicio, se debe tener en cuenta la especificación de todos los requisitos y la preparación de los procedimientos.
¿Qué es un requisito?
Los requisitos de la norma ISO 27001 son declaraciones que se elaboran para hacer posible la evaluación de los resultados. Cuando usted quiere algo concreto ofrecerá más información para que los resultados sean los más próximos posible a lo que está buscando.
Se debe detallar los requisitos que establecen un mayor esfuerzo para definirlo y probarlo. Además en algún momento se descuida este esfuerzo para evitar el incremento de los costos que resulta en una falta de información necesaria para cumplir o verificar la petición.
Especificar los requisitos de seguridad
Dentro del apartado 1.4.1.1 de la norma ISO 27001 sobre el análisis de los requisitos de seguridad de la información y especificación, establece que los requisitos para proteger la información tienen que incluirse en los requisitos para el Sistema de Gestión de Seguridad de la Información.
Podemos poner el siguiente ejemplo, un requisito de protección que controla el acceso de información según el nivel de liquidación.
Para conseguir buenas declaraciones de requisitos, la norma ISO 27001 recomienda:
Adoptar los métodos para identificar los requisitos
Las formas sistemáticas de identificación pueden prevenir algunos aspectos de ser olvidado o pasado por alto. Los ejemplos de métodos de evaluación de las políticas y reglamentos. Modelar las amenazas o realizar revisiones de incidentes.
Resultados de las opiniones de las partes interesadas
Las personas que mejor pueden evaluar los requisitos son los que utilizan el producto. Se debe elegir a diferentes personas que tienen diferentes roles en la organización.
Evaluar los requisitos según el valor de la información para el negocio
La seguridad adecuada refleja el valor de la información para la organización. Todos los requisitos deben priorizarse según con los propósitos de negocio que se encuentran destinados a protegerse.
La integración de los requisitos de gestión en las primeras etapas de un proyecto
Cuanto antes se tenga en consideración la seguridad, más opciones existen de tratar las situaciones de riesgo. Se piensa en las políticas y el propio proceso de desarrollo del proyecto.
Definir los criterios para que se produzca la aceptación del producto
En algún momento se debe demostrar que lo que se propone para el sistema realmente se puede conseguir, y que los procedimientos establecidos fueron seguidos de una manera correcta. La principal recomendación es proporcionada por el control en la norma ISO 27001. Se tiene que definir todos los parámetros de una manera clara y los resultados se deben cumplir. Estas son las bases para el desarrollo de los procedimientos de prueba y las rutinas, que se detallan en la siguiente sección.
Realizando una clara definición de lo que se debe esperar como resultado, usted tiene que considerar cómo asegurar su Sistema de Gestión de Seguridad de la Información que cumple con los requisitos. La norma ISO 27001, puede utilizar el Art. 14.2.8 para llevar a cabo las pruebas de seguridad del Sistema de Gestión de Seguridad de la Información, para elaborar las actividades sistemáticas para garantizar el cumplimiento de los criterios de aceptación definidos de manera previa. Más detalles que se pueden encontrar en la norma ISO 27001 son:
Establecer ciertas condiciones que desencadenen en la necesidad de realizar una prueba
Los nuevos sistemas tienen dicha condición. Se deben considerar los sistemas actualizados, las nuevas versiones y los componentes. Las nuevas funcionalidades pueden tener riesgos para el Sistema de Gestión de Seguridad de la Información o para el medio ambiente.
Establecer rutinas para realizar las pruebas sistemáticas
Se tiene que establecer una rutina de actividades que se tienen que realizar con respecto a todas las entradas y las salidas. De esta manera usted puede asegurarse que la prueba se repite si sucede algún error.
Utilizar diferentes niveles de prueba
Las primeras pruebas que se llevan a cabo por el equipo de desarrollo son para comprobar que los requisitos de funcionamiento son básicos. Se deben corregir de forma rápida todos los errores de código más simples. Se tiene que establecer la garantía de seguridad realizando pruebas independientes.
Entorno realista para el ensayo
Se tiene que llevar a cabo la mejor identificación de las distintas vulnerabilidades y la fiabilidad de dichas pruebas. Este punto puede ser crítico cuando la prueba supone la utilización de las bases de datos, ya que los datos reales de las pruebas pueden suponer riesgos para sí mismos y que no estén relacionados con el producto. Hay que minimizar esto, se deben considerar las recomendaciones para el control, evitando la utilización de la información personal o la utilización de controles específicos en el proceso de desarrollo controlando de forma estricta el acceso a dichas bases de datos.
Software ISO 27001
El estándar internacional ISO 27001, junto con todas las normas que componen su familia, generan todos los requisitos necesarios para poder implementar un Sistema de Gestión de Seguridad de la Información de una forma rápida y sencilla, además el Software ISOTools Excellence para ISO 27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa.