La ISO 27001, una de las normas más populares de ISO para gestionar la seguridad de la información
Seguridad de la información
La norma ISO 27001 es el mejor estándar para gestionar la seguridad de la información en una empresa. Por este motivo es una de las normas más populares de ISO, además reúne todos los lineamientos en materia de gestión de seguridad de la información. Es certificable y cuenta con 10 pilares básicos que son los siguientes:
Aspectos administrativos
Este dominio se refiere a la asignación de responsabilidades relativas a la seguridad de la información. Se encuentra en un proceso de autorización de recursos para el tratamiento de información, los acuerdos de confidencialidad, manejar grupos de interés y revisar de forma independiente de la seguridad de la información. Los aspectos que se deben tener en cuenta con el manejo de terceros como la identificación de los riesgos derivados del acceso de terceros y seguridad en contratos con terceros.
Gestión de activos
Este dominio contempla los lineamientos para la gestión de activos, incluyendo el inventario y las declaraciones de uso de los mismos. Como parte de esta gestión los activos son detallados según las directrices de la clasificación de la información.
Los recursos humanos y la seguridad de la información
El recurso humano es una de las principales fuentes de riesgo para la seguridad de la información, por lo tanto en este dominio se tratan los aspectos que se deben tener en cuenta antes, durante y después de la relación laboral. Se incluye en este apartado los diferentes términos y condiciones de contratación, los programas de concienciación, formación y capacitación, los procesos disciplinarios y los puntos a tener en cuenta en caso de cese de la relación laboral o cambio de puesto de trabajo como puede ser la devolución de activos y la suspensión de las credenciales de acceso.
Seguridad física
Este dominio trata dos aspectos diferentes:
- Áreas seguras: en los que se incluye la definición de perímetros de seguridad física y los controles físicos a la entrada
- Seguridad de los equipos: donde se relaciona, entre la seguridad del cableado, el mantenimiento y la seguridad de los equipos fuera de la compañía
Gestión de comunicaciones
Es mucho más amplio, se tratan todas las responsabilidades y procedimientos de operación, la gestión de los servicios con terceros, la protección contra código malicioso, las copias de seguridad, la seguridad de redes, el intercambio de información, etc.
Control de acceso
Como parte de este dominio se desarrolla los lineamientos para la política de control de acceso, la gestión de los accesos de usuarios, los controles de acceso a la red, el sistema operativo, las aplicaciones y la información. Además incluye todas las consideraciones para el manejo de ordenadores portátiles y de teletrabajo.
Gestión de sistemas de información
Se llevan cabo requisitos de seguridad de sistemas de información, tratar de forma correcta las aplicaciones, los controles criptográficos, la seguridad de los procesos de desarrollo y soporte, además de la gestión de las vulnerabilidades.
Gestión de incidentes
Se tratan recomendaciones alrededor de la notificación de eventos y puntos débiles de seguridad de la información y los procedimientos, además de las responsabilidades que se deben asignar para la gestión de incidentes y mejoras de seguridad de la información.
Continuidad del negocio
Se mencionan todos los aspectos de seguridad que se deben tener en cuenta en la gestión de la continuidad del negocio, ya que al ser una etapa donde la información puede estar expuestas a desarrollar e implementar los planes de continuidad que incluyen la seguridad de la información.
Requisitos legales
En este apartado se incluyen todos los aspectos que se deben observar para cumplir con los diferentes requisitos legales, la política y las normas de seguridad y cumplimiento técnico.
Una buena gestión de la seguridad de la información, es la que se desarrolle de forma metódica, documentada y basada en unos objetivos claros de seguridad y una evaluación de los riesgos y el estándar de la norma ISO 27001 que provee de un marco de trabajo para que se pueda conseguir.
Software ISO 27001
El estándar internacional ISO 27001, junto con todas las normas que componen su familia, generan todos los requisitos necesarios para poder implementar un Sistema de Gestión de Seguridad de la Información de una forma rápida y sencilla, además el Software ISOTools Excellence para ISO 27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa.