¿Cómo se debe aplicar la norma ISO 27001?
Seguridad de la información
El ambiente dinámico que presentan los riesgos de seguridad nos ofrecen cambios continuos, donde las amenazas son constantes, las vulnerabilidades son descubiertas y los incidentes de seguridad se presentan con repercusiones importantes, ya sea para las organizaciones o para las personas.
Lo más importante es encontrarse preparados para atender las incidencias, sin dejar de lado las medidas preventivas y proactivas que contribuyen a minimizar todas las posibilidades de que ocurra y minimiza el impacto que puede generar, además de las acciones correctivas que son necesarias para solventar los problemas.
Gestionar significa llevar a cabo diligencias que conducen a conseguir un negocio. Si partimos de esta definición, se entiende que el propósito principal de la gestión es proteger la información que resulta fundamental para conseguir los objetivos en las organizaciones, por lo que en el ámbito organizacional, se ha convertido en una necesidad el gestionar la seguridad de la información.
Los incidentes de seguridad pueden presentarse por desconocimiento o por negligencia de las personas, de forma accidental o de forma deliberada, por lo que la idea considera la aplicación de diferentes perspectivas para incrementar y mejorar la seguridad de la información. Una forma de conseguirlo es mediante la alineación del estándar y mejorando las prácticas.
La aplicación de la norma ISO 27001 tiene como base este principio, por lo que durante la publicación queremos conocer los dos pilares que conforman este documento, además de las ideas plasmadas en el mismo.
Estándares de seguridad como medio para proteger la información y el negocio
El estándar que se utiliza de forma internacional para gestionar la seguridad de la información es la norma ISO 27001, que representa la experiencia acumulada de expertos en el tema. Y aunque la implantación tiene que llevarse a cabo en función de las características, necesidades y condiciones de cada empresa, unos de los principales pasos para su aplicación se encuentran relacionados para conocer los documentos y sus propósitos.
En esta publicación nos enfocamos en comprender el contenido de la norma ISO 27001, además el siguiente paso sería realizar la implementación. La estructura se reduce a dos elementos básicos:
- Las cláusulas de requisitos para que una empresa funcione de forma alineada con un sistema de gestión, además de los objetivos de control.
- Los controles de seguridad para considerar diferentes enfoques de protección.
Pautas para operar con un sistema de gestión de seguridad de la información
El primer elemento base que considera el estándar son las cláusulas que definen todas las actividades necesarias para definir y establecer, implantar y operar, además de monitorear y revisar, mantener y mejorar el Sistema de Gestión de Seguridad de la Información.
La nueva versión de este documento no considera de forma explícita un modelo de mejora constante, de forma implícita se consideran estas fases en concordancia con el Anexo SL, la estructura utilizada por los estándares ISO para establecer todas las cláusulas.
El seguimiento y la aplicación de las actividades se encuentran definidas en las 10 cláusulas, las empresas comienzan a dar forma al marco de referencia que contribuye a gestionar la seguridad de la información. Para que se encuentre alineada con el estándar, una empresa tiene que cumplir con la cláusulas de la 4 a la 10.
En esta misma edición, los requisitos comprenden diferentes elementos clave, como entender el contexto de la organización, actividades que demuestran el liderazgo de la alta dirección, la planificación, el soporte que involucra a los recursos necesarios, competencias y concientización de las personas:
- La operación del Sistema de Gestión de Seguridad de la Información
- Evaluación del desempeño mediante auditorías internas y revisiones de la dirección
- Finalmente la mejora del sistema de gestión mediante las acciones correctivas
Definición de objetivos de control y controles de seguridad
El segundo elemento que conforma la estructura central del estándar son los objetivos de control y los controles de seguridad que son descritos en el Anexo A del documento. Los elementos se encuentran agrupados en 14 dominios para la versión de 2013. Es necesario que recordemos que el estándar define un objetivo de control con el enunciado que describe lo que se quiere conseguir, el resultado de la implantación de los controles. El control descrito como una medida que modifica el riesgo. Es muy importante mencionar que para modificar un riesgo, es necesario afectar alguna de sus dos variables, la probabilidad de ocurrencia o el impacto que puede representar. En el mejor de los casos, un control modifica ambas variables. Sin embargo, un control no siempre genera los resultados esperados, lo que se traduce en las adecuaciones del mismo, sustitución o aplicación de controles complementarios. Estos pueden incluir procesos, políticas, dispositivos, prácticas u otras acciones que modifican todos los riesgos.
Software ISO 27001
La Plataforma Tecnológica ISOTools agiliza y facilita a las organizaciones el proceso de implementación y mantenimiento de los Sistemas de Gestión de Seguridad de la Información.