ISO-27001

ISO 27001: Qué medios se requieren para garantizar la Seguridad de la Información

ISO-27001

Norma ISO 27001

En el momento de implementar un Sistema de Gestión de Seguridad de la Información según la norma ISO 27001 en una entidad, ésta se enfrenta a varias cuestiones como son:

  • ¿Qué seguridad necesito?
  • ¿Cuánto me cuesta esta seguridad?

Para contestar a la primera de las preguntas se tiene que realizar un trabajo de análisis a través del cual la entidad puede reflexionar en base a la importancia de sus activos de información y así evaluar los requisitos de seguridad que tiene que satisfacer.

En cuanto a la segunda cuestión se responde identificando los medios de los que la empresa dispone para alcanzar con los requisitos de seguridad y realizando una evaluación de costos.

La enorme dificultad a la que se enfrenta una empresa es a la hora de desarrollar un Sistema de Gestión de Seguridad de la Información en cuanto a la disposición de una referencia que le posibilite medir la seguridad que requiera y evaluar los costos asociados.

Actualmente es posible identificar dos modelos de referencias significativos, estos son:

  • Modelos basados en buenas prácticas o controles generales.
  • Modelos basados en análisis y gestión de riesgos.

El primer modelo basado en buenas prácticas, se funda en clasificar los activos de información por niveles de seguridad y determinar los controles de seguridad que se tienen que aplicar a cada nivel. Dichos modelos minimizan la complejidad del tratamiento de los requisitos de seguridad y determinan un modelo de gestión muy simple.

Por otro lado, el segundo modelo basado en análisis y gestión de riesgos,  se encuentra basado en la definición del concepto de riesgo como medida de seguridad. En los modelos basados en el análisis y gestión de riesgos, la información de la empresa se encuentra sometida a un conjunto de amenazas que pueden ser internas o externas y que pueden utilizar las vulnerabilidades del sistema para producir incidentes de seguridad. Estos incidentes producen una degeneración en la información y por consiguiente, en los procesos y servicios del negocio.

Con el fin de poder eludir estos incidentes, la organización tiene que utilizar un conjunto de controles de seguridad de la información.

El riesgo lo podemos conceptualizar como una función de los activos, las vulnerabilidades, las amenazas y los posibles impactos en los procesos y servicios de negocio.

El modelo de análisis y gestión de riesgos se posiciona como la alternativa más sólida para la gestión de la seguridad de la información de la organización. Su transcendencia se encuentra avalada por el desarrollo de muchos estándares nacionales e internacionales, como es la norma ISO27001, además de desarrollar muchas metodologías y mecanismos que los complementan.

El modelo de análisis y gestión de riesgo propuesto por los estándares internacionales, como puede ser la norma ISO 27001, se puede concretar en los siguientes pasos:

  • Determinar el alcance el análisis e identificar los activos de información que tienen que ser contemplados.
  • Identificar riegos, vulnerabilidades y amenazas que se encuentren sostenidas por la información de la empresa.
  • Analizar y valorar los riesgos identificados en función de la probabilidad de que ocurra un incidente o impacto asociado.
  • Evaluar los riegos a partir del análisis de riegos, la empresa tiene que evaluar los mismos y decidir si pueden ser asumidos o no.
  • Tratar los riesgos, esto es, se deben tomar medidas de seguridad que mitiguen los riesgos.

El objetivo perseguido por la Estrategia de Seguridad de la Información es conservar la información de la empresa. Y el motivo para ellos es la dependencia que hay entre los servicios y los procesos de la entidad.

Actualmente, toda actividad, servicio o proceso llevado a cabo por una entidad depende, mayor o menormente, de la información y de los medios utilizados para su procesamiento, almacenamiento o transmisión. Toda incursión en estos últimos puede suponer un gran impacto para la entidad, además de enormes pérdidas económicas por el tiempo perdido y por el valor de la información.

Como hemos mencionado anteriormente, el modelo de análisis y gestión de riesgos intenta identificar la totalidad de los riesgos a los que se pueden enfrentar la información, por lo que la entidad tiene que priorizarlos y adoptar las medidas oportunas.

Lo principal que una empresa tiene que tener claro es que información tiene y cómo sus servicios y procesos de negocio se apoyan en esta.

La organización tiene que abordar un proceso de inventariado de la información. El proceso tiene que identificar, primeramente, los servicios proporcionados por la empresa. En segundo lugar, se tiene que identificar los procesos de negocio implicados en la identificación de la información que suministra el soporte de los procesos. La empresa dispondrá de un inventario con el que desarrollar el siguiente análisis de riesgos.

Además de interesar la disposición de servicios, procesos y activos, también resulta interesante conocer cualquier relación y dependencia que hay entre ellos.

Se considera importante añadir un inventario de servicios y procesos de organización porque el modelo de análisis y gestión de riesgos es capaz de identificar las amenazas y vulnerabilidades a las que se encuentra sometida la información.

En el caso de que llegara a materializarse una amenaza en forma de incidente de seguridad de la información, el impacto tendrá dos vertientes:

  • En primer lugar afecta a la propia información, produciendo una degradación o pérdida de la misma.
  • En segundo lugar, esta degradación o pérdida de un activo afectarán a los procesos de negocio que lo utilizan y a los servicios proporcionados por la empresa.

Las amenazas se materializan, explotando las vulnerabilidades que encontramos en los activos de la información, el impacto afecta a los servicios y procesos de negocio.

El enfoque alternativo que podemos pensar es que los activos de información tienen asociado un valor determinado. El valor del activo va a depender fundamentalmente de su importancia desde la perspectiva de los servicios y los procesos de negocio de la empresa. Por lo que un activo de escasa relevancia desde dicha perspectiva tendrá muy escaso valor para la entidad.

¿Desea saber más?

Entradas relacionadas

Compliance
Perú exige la implantación de un programa compliance para evitar sanciones
31 enero, 2018

Compliance La ley 30424, ha sido modificada por el D. Leg. 1352, que exige la implantación de un…

Ver más
Proveedores
¿Por qué se debe auditar a los proveedores para la fabricación de alimentos?
26 diciembre, 2017

Proveedores Hoy en día pocos fabricantes dan la importancia que tiene a auditar sus proveedores sin darse cuenta…

Ver más
Ley 29783
Ley 29783: Automatización de la Ley Peruana de Seguridad y Salud en el Trabajo
19 diciembre, 2017

Ley 29783 Durante este artículo hablaremos sobre cómo se puede automatizar los requisitos establecidos en la ley 29783.…

Ver más
Gestión Del Rendimiento
Gobierno del Perú: Preguntas frecuentes sobre la gestión del rendimiento
12 diciembre, 2017

Gestión del rendimiento La gestión del rendimiento es uno de los siete subsistemas que componen el Sistema Administrativo…

Ver más
Volver arriba