Sistema de Seguridad de la Información

La Norma Técnica Peruana ISO/IEC 17799, homóloga del estándar ISO 27001, establece un proceso a través del cual es posible la gestión de cada nuevo recurso que sea necesario realizar para tratar la información.

Para establecer una guía de implantación se deben tener en consideración los siguientes controles:

• Los nuevos medios tienen que aprobarse por parte de la gerencia. Se debe obtener la aprobación por parte de las personas que conforman la gerencia de la empresa, ya que ellos tienen la responsabilidad de mantener el Sistema de Gestión de Seguridad de la Información. De forma segura se cumple todas las políticas y los requisitos de seguridad que sean necesarios.
• Se debe realizar la comprobación del software y el hardware para verificar la compatibilidad con los dispositivos del Sistema de Gestión de Seguridad de la Información según la ISO 27001.
• Se debe autorizar y evaluar la utilización de medios informáticos personales, que pueden ser aparatos móviles que tratan la información de la organización y los controles que necesitan para evitar que se produzcan nuevas vulnerabilidades.

Acuerdos de confidencialidad

Los requisitos de confidencialidad se reflejan gracias a la necesidad que tiene la empresa de proteger la información que disponen de las personas que trabajan para ellos, por lo que se deben identificar y revisar cada cierto tiempo.

En la guía de implantación de la confidencialidad se tiene que adjuntar muchos requisitos necesarios para proteger la información confidencial, usando los términos ejecutables según la legislación. Para realizar una identificación de los requisitos de confidencialidad se deben considerar los diferentes elementos:

• Definición de la información que se debe proteger.
• Establecer la duración mediante un acuerdo, ya que se incluyen todos los casos de confidencialidad que deben ser mantenidos cada cierto tiempo.
• Realizar acciones que requieren de un acuerdo.
• Saber quiénes son los responsables y las acciones que  deben realizar las partes interesadas evitando el acceso no autorizado a la información.
• Conocer de quien es la información, la propiedad intelectual y los secretos del comercio, y relacionarlo con la protección de la información sensible.
• Existen permisos necesarios para usar la información sensible y los derechos que tienen las partes interesadas para usar la información.
• El derecho de auditar y monitorear las actividades que impiden conseguir la información sensible.
• Existen procesos que notifican los accesos no autorizados en los contenidos de la información.
• Los pasos a seguir cuando se desea destruir la información cuando ha finalizado el acuerdo de confidencialidad.
• Las acciones que se deben tener en cuenta en caso de que se rompa el acuerdo.

Los requisitos en Seguridad de la Información de la organización son necesarios para llegar a acuerdos de confidencialidad. Dichos acuerdos de confidencialidad deben encontrarse en la legislación de forma jurídica se pueda aplicar.

Los requisitos necesarios que realizan un acuerdo de confidencialidad se debe revisar cada tiempo para comprobar si existen cambios que influyen en los requisitos.

Los acuerdos de confidencialidad usan información de la empresa para informar a las partes interesadas sobre los activos que son protegidos, usados para conocer cómo acceder a la información por parte de los responsables y las personas autorizadas. Es necesario que una organización utilice de forma diferente los acuerdos de confidencialidad en función de las circunstancias.

Contacto con autoridades

Se debe mantener contacto con todas las autoridades relevantes por parte de la organización.

Las organizaciones tienen que establecer procedimientos en lo que se indique por qué y cuándo las autoridades tienen que requerir que se reporten incidentes producidos en el Sistema de Gestión de la Información si se sospecha que se ha violado el contrato.

Las organizaciones que se encuentran con el ataque continuo de internet, debe contar con terceras personas que tomen acciones necesarias frente a dicho ataque.

Es imprescindible mantener los contactos, ya que es uno de los requisitos a la hora de realizar la gestión de los incidentes de Seguridad de la Información o la continuidad de negocio y la contingencia del planeamiento.

Mantener el contacto con los diferentes sistemas que regulan es necesario para anticiparse y prepararse a los cambios que se den en la legislación, ya que dicha legislación tiene que revisarse por la propia empresa.

Contacto con grupos de interés especial

Además, se debe mantener contacto con los grupos de interés de los distintos foros de seguridad y asociaciones de profesionales.

Las ventajas que se obtienen de mantener este tipo de contacto con los foros de seguridad y las asociaciones de profesionales son:

• Mejorar el conocimiento de las prácticas y encontrar actualizado con información para mantener la seguridad.
• Asegurar que se entiende el ambiente de Seguridad de la Información de forma completa.
• Recibir todas las alertas para la detección temprana y advertencias que sirven para solucionar las vulnerabilidades.
• Acceder a los consejos de especialistas en Seguridad de la Información.
• Compartir información sobre las nuevas tecnologías, vulnerabilidades, amenazas o productos.
• Se deben prever cuales son los puntos de enlace que convienen cuando se consigue obtener información sobre los incidentes de seguridad.

Será necesario establecer acuerdos para llegar a compartir información, esto mejora la cooperación entre los distintos temas de seguridad de la información. Los acuerdos identifican los requisitos necesarios para proteger la información sensible.

Software para ISO 27001

El Software ISOTools Excellence para ISO 27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa. Toda protección es importante, por mínima que sea, pues el mínimo descuido puede ocasionar una violación de los datos de la misma.