ISO 27001
La norma ISO 27001 es la que establece la forma en la que se debe tratar la Seguridad de la Información en una empresa u organismo, tratando las personas, los procesos y la tecnología. La primera versión de esta norma fue publicada en 2005, basándose en la norma británica BS 7799-2, y su versión más reciente es la del año 2013.
Esta norma puede ser implementada en cualquier tipo de empresa u organismo, tanto si pertenece al sector privado como al sector público, e independientemente de su tamaño o su finalidad. Su redacción ha sido llevada a cabo por una serie de especialistas en la materia, desarrollando así una metodología para implementar adecuadamente la gestión de la seguridad de la información en una determinada organización.
Para llevar a cabo su certificación se debe contactar con un organismo de certificación independiente, pues la Organización Internacional de Normalización o Estandarización no emite certificados acerca de las propias normas ISO. Esta certificación ratificará que la seguridad de la información se ha implementado en dicha organización según los requisitos establecidos por la ISO 27001.
El Instituto Nacional de Estándares y Tecnología, conocido como NIST, ha considerado a la norma ISO 27001 como una norma de gran relevancia en el ámbito de la ciberseguridad, lo cual concede una gran importancia a las organizaciones con intereses es Estados Unidos y los organismos responsables de la protección crítica de la infraestructura.
El contenido de la norma ISO 27001 requiere una organización donde se puedan llevar a cabo las evaluaciones de riesgos de seguridad de la información. El objetivo es garantizar que los controles de seguridad de la información que se implementan se ajustan al tipo de información que se almacena, procesa o transmite.
Con frecuencia se habla que las actividades cibercriminales están relacionadas con los sistemas de información de infraestructuras más críticas. Por ello, las prácticas de seguridad de los organismos privados empiezan a aplicarse en los organismos del sector público, es decir, comienza la implantación de la norma ISO 27001 en sector público.
Los responsables de la seguridad en el sector público son los encargados de comprobar que las operaciones realizadas realmente minimizan la exposición ante posibles amenazas o ataques cibernéticos.
Es evidente que cada país posee un determinado nivel en relación con el desarrollo de la protección de los activos, que en el caso de verse dañados pueden llegar a afectar a la sociedad de manera directa: por ejemplo en el supuesto de los ataques que dañan los sistemas relacionados con el suministro de la electricidad, el agua, los combustibles, el transporte, etc., los cuales se están realizando contra infraestructuras críticas. No obstante, aparecen similitudes entre las condiciones actuales y los retos o desafíos acerca de la seguridad y la protección tanto en sistemas como en información de los mismos.
Por ello, una de las funciones de los profesionales responsables de la información del sector público es la de comprobar y perfeccionar las operaciones con el objetivo de reducir la exposición de cualquier organismo a todo aquel ataque cibernético o amenaza. Por esto destaca la relevancia de la protección del Sistema de Control Industrial.
De la misma manera se hace referencia a las similitudes de los ataques cibernéticos, pero encontramos marcas características que admiten diferencias entre el sector público y el sector privado, junto con las consecuencias que puede provocar un ataque o amenaza informática tanto para un sector como para otro.
Un ejemplo de ello es el caso de los sistemas de los organismos públicos, pues la disponibilidad suele ser la característica más relevante a proteger, tanto en cuestión de información como de sistemas, y esto se diferencia de otros sectores en los que la confidencialidad puede suponer una cuestión de mayor relevancia.
Otra de las características más importantes es el hecho de trabajar con software que en determinadas ocasiones no cuentan con soportes de sus desarrolladores y sistemas, los cuales se han diseñado de manera concreta, con el objetivo de cumplir con las operaciones.
Por una parte no se pueden actualizar ni recibir parches de seguridad puesto que algunas de estas modificaciones pueden afectar a las operaciones que se llevan a cabo, y por otra parte, por la necesidad de operar con un alto grado de disponibilidad.
Requisitos para el control de acceso
Uno de los aspectos principales sobre esta norma ISO 27001 en sector público es la política para el control de acceso, la cual se utiliza para determinar qué usuarios cuentan con el acceso a las redes y servicios de la organización. Para ello, en primer lugar se tienen que definir las reglas, y con posterioridad permitir a los usuarios la navegación por las redes y los servicios.
La organización de las reglas de acceso se puede llevar a cabo de diferentes formas, pero generalmente se utilizan dos tipos de enfoques. El primer enfoque contempla el establecimiento de cada uno de los perfiles de usuario con su correspondiente nivel de acceso, y el segundo enfoque permite a los responsable encargados de autorizar a los usuarios que necesitan acceder a los activos en un determinado momento.
Software ISO 27001
El Software ISOTools Excellence ofrece respuestas a todas esas preguntas que aparecen a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa u organización bajo la norma ISO 27001.
¿Desea saber más?
Entradas relacionadas
Compliance La ley 30424, ha sido modificada por el D. Leg. 1352, que exige la implantación de un…
Proveedores Hoy en día pocos fabricantes dan la importancia que tiene a auditar sus proveedores sin darse cuenta…
Ley 29783 Durante este artículo hablaremos sobre cómo se puede automatizar los requisitos establecidos en la ley 29783.…
Gestión del rendimiento La gestión del rendimiento es uno de los siete subsistemas que componen el Sistema Administrativo…