¿Cuáles son los beneficios ISO 27001?
Beneficios ISO 27001
DFARS 7012 es un ejemplo sobre cómo las preocupaciones de los clientes pueden proteger la información bajo la custodia de proveedores y servicios contratados. El incremento en las demandas de cumplimiento del cliente también ha incrementado los desafíos para los proveedores al integrarlos en sus procesos de negocio. Es necesario conocer cuáles son los beneficios ISO 27001 para las organizaciones.
Si no se realiza un enfoque adecuado, los problemas de cumplimiento de requisitos pueden variar. Los contratos pueden ser cancelados y pueden surgir acciones legales. Es necesario tener un método estructurado para asegurar la integración de los procesos y el cumplimiento de los requisitos del cliente, que se convierte en un requisito fundamental para el negocio.
Durante este post queremos realizar un caso práctico para que los proveedores que han implantado la norma ISO 27001 puedan utilizar su Sistema de Gestión de Seguridad de la Información para apoyar la integración y el cumplimiento de los requisitos de sus clientes.
FAR y DFARS 7012
El Reglamento Federal de Adquisiciones (FAR) es el conjunto de normas de los Estados Unidos que rigen el proceso de adquisición utilizado por las agencias ejecutivas para adquirir bienes y servicios contratados, estableciendo políticas y procedimientos comunes para asegurar que las adquisiciones satisfagan las necesidades de los organismos en términos de costo, calidad y oportunidad, además de otros objetivos públicos.
Por regla general, FAR es complementario a otra documentación que ha sido emitida por las mismas agencias cuando se necesita aplicar restricciones o requisitos adicionales a los contratistas. Uno de los suplementos es DFARS, utilizado por el Departamento de Defensa de los Estados Unidos.
El número 7012 es una abreviatura, requiere de la protección de información de defensa etiquetada como información no clasificada, mediante la implantación de NIST SP 800-171 “Protección de Información no Clasificada Controlada en Sistemas y Organizaciones de Información No Férrea”. Para obtener más información puede leer ISO 27005: ¿Cómo identificar los riesgos?.
¿Quién debe cumplir con DFARS 7012?
DFARS 7012 se utiliza en todas las solicitudes y controles del departamento de defensa de los Estados Unidos y deberá ser seguido por todos los contratistas y subcontratistas cuyos sistemas de información procesen, almacene o transmitan información de defensa de manera encubierta.
El incumplimiento de DFARS puede hacer que los contratistas se sometan a sanciones por parte del gobierno de los estados unidos y por personas u organizaciones privadas que afectan a las fallas relacionadas.
NIST SP 800-171
La publicación especial del Instituto Nacional de Estándares y Tecnología establece 109 controles, que se derivan del NIST SP 800-53. Se utiliza para tratar diferentes deficiencias con respecto a la administración y la protección de la información no clasificada, como pueden ser las marcas inconsistentes, salvaguardias inadecuadas y restricciones innecesarias.
Los controles se encuentran organizados en 14 familias, de la siguiente forma:
- Control de acceso
- Concienciación y capacitación
- Auditoría y rendición de cuentas
- Gestión de la configuración
- Identificar y autentificar
- Respuesta al incidente
- Mantenimiento
- Protección de medios
- Seguridad del personal
- Protección física
- Evaluación de riesgos
- Evaluación de seguridad
- Protección de sistemas y comunicaciones
- Integridad de sistemas e información
Su aplicabilidad se define por la utilización del marco de Gestión del Riesgo del NIST, un conjunto de publicaciones utilizadas para categorizar los sistemas de información y definir controles aplicables.
Beneficios ISO 27001 durante la implementación del NIST SP 800-171
DFARS define los requisitos que se deben cumplir. Las empresas pueden utilizar el Marco de Gestión de Riesgo de NIST, ¿Cuáles son los beneficios ISO 27001? Esta pregunta se puede responder con dos argumentos:
- Como una norma internacional, si una empresa implanta ISO 27001 será mucho más atractiva para otros clientes potenciales en todo el mundo, mientras sigue siendo capaz de trabajar con las agencias gubernamentales.
- La compatibilidad con otras normas ISO facilita la integración en un contexto de gestión de toda la empresa.
¿Cómo se puede utilizar los beneficios ISO 27001? Al igual que el NIST SP-800-53, el NIST SP 800-171 también tiene un apéndice con tablas de mapeo que relacionan sus controles con los del Anexo A de ISO 27001. El control NIST SP 800-171 AC-2 ofrece los siguientes controles:
- 9.2.1 – Registro y cancelación de registro del usuario
- 9.2.2 – Provisión de acceso de usuario
- 9.2.3 – Gestión de los derechos de acceso privilegiados
- 9.2.5 – Revisión de los usuarios derechos de acceso
- 9.2.6 – Eliminación o ajuste de los derechos de acceso
Una empresa puede seguir los mismos pasos que se utilizan para identificar e implantar los controles del Anexo A para identificar e implantar los controles NIST SP 800-171 pero algunas consideraciones deben ser célebres.
Software ISO 27001
El Software ISOTools Excellence para ISO 27001 para la Seguridad de la Información se encuentra compuesto por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las organizaciones no pierda ninguna de sus propiedades más importantes. Facilita el cumplimiento de los requisitos legales que les repercuten.