ISO 27001

En las organizaciones, para poder gestionar la Seguridad de la Información, es necesario tomar medidas complejas, ya a parte del cumplimiento de la norma ISO 27001, es necesario cumplir con la normativa que concierne a este tema.

Es necesario, para poder tomar estas medidas, acudir a especialistas en seguridad y realizar un proyecto mucho más detallado en el que se lleve a cabo un análisis de gestión de riesgos, en el cual se establezcan todas las necesidades y la rentabilidad del proyecto, además de determinar la manera de llevarlo a cabo.

Proceso de gestión global de seguridad

La gestión global de seguridad en un Sistema de Gestión de Seguridad de la Información según la norma ISO-27001 requiere de tomar medidas de manera permanente, cíclica y recurrente que se descompone en fases sucesivas. El ciclo de fases es el que exponemos a continuación:

1. Análisis y gestión de riesgos, es una fase nuclear de “medición” en la cual se calcula la seguridad. Para llevar a cabo esta seguridad hay métodos como el Magerit con técnicas de proceso especiales.
2. Objetivos, estrategia y política de los Sistemas de Gestión de Seguridad de la Información se nutre a sí misma y nutre a su vez la fase de análisis y gestión de riesgos.
3. Fase de establecimiento de planificación de los Sistemas de Gestión de Seguridad de la Información, según la ISO27001, viene de la fase de análisis y gestión de riesgos como su consecuencia funcional más inmediata, usando las técnicas generales de planificación adaptadas al ámbito de la seguridad.
4. La fase de determinación de la empresa en los SGSI proviene de la fase de análisis y gestión de riesgos como consecuencia orgánica más inmediata. Se usan técnicas generales de entidad adaptadas al ámbito de la seguridad.
5. La fase de implantación de salvaguardas y otras medidas de seguridad para los SGSI proviene de las fases de planificación y organización.
6. A lo largo de la fase de aprendizaje la participación de todos los miembros de la organización en la seguridad de los Sistemas de Gestión de Seguridad de la Información proviene de las fases de planificación y organización, incluso tiene un papel fundamental en el recurso humano interno.
7. En la fase de reacción a eventos, manejo y registros de incidencias y recuperación de estados de seguridad se utiliza las técnicas más generales de gestión de la seguridad y atención ante emergencias.
8. Finalmente, a lo largo de la fase de monitorización y gestión de la configuración y los cambios en el SGSI toma un carácter de mantenimiento, con todas las técnicas adaptadas al ámbito de la seguridad.

Sistemas y proyectos de complejidad media y alta

Los proyectos de seguridad más difíciles requieren de un ciclo de gestión global mucho mayor que el anterior:

A lo largo de la primera aplicación del ciclo de gestión se introduce todo el sistema de estudio: empieza en la fase de análisis y gestión de riesgos y posibilita clasificar en dos bloques los componentes de sistema:

• La totalidad de los componentes que implican menores riesgos serán necesarios para aplicar el segundo escalón de medidas básicas de seguridad, produciéndose una guía de aproximación.
• A cada uno de los componentes que asumen algún riesgo mayor será necesario aplicar un novedoso análisis y gestión de riesgos más detallado.

A lo largo de la primera aplicación se produce una nueva visión sintética de la seguridad con ayuda de las otras fases del ciclo de gestión de seguridad, esto es:

• Planifica desde un inicio la seguridad de la información.
• Determina de manera global los objetivos, la estrategia y la política de seguridad.
• La implantación supone la defensa básica de todos los componentes que puedan producir riesgos de bajo nivel.
• Se considera necesario enseñar a cualquier persona que trabaja en la empresa a participar en la seguridad de los componentes de bajo riesgo.
• La primera determinación de la organización necesaria para la seguridad.
• Se tienen que preparar ante la reacción que proporciona cada evento, al manejo y registro de todas las incidencias, además de la recuperación de estados aceptables de seguridad conectados a los componentes de bajo riesgo.

Las aplicaciones siguientes del ciclo de gestión de seguridad a los componentes retenidos por sus riesgos mayores arrancan desde una nueva aplicación de la fase de análisis y gestión de riesgos, focalizada con un detalle proporcional al riesgo detectado.

Los clientes, compradores y fabricantes relacionados con los Sistemas de Gestión de Seguridad de la Información fundamentado en la norma ISO 27001, están experimentando una creciente confianza en el funcionamiento de unos productos que ya son parte central del funcionamiento de la sociedad.

Cada día es más complicada la Seguridad de la Información en las organizaciones, por ello aparecen dos niveles superiores, 4 y 5.

• En el nivel 4, se encuentra adecuadamente definidos los productos que pueden ser interpretados como “caja negra” ya que genera mucha defensa contra las amenazas.
• El nivel 5,  es el que un sistema compuesto de productos o componentes seguros se pueden denominar “caja blanca” en la que se analiza la seguridad de las conexiones de dichos componentes de una manera mucho más relevante, con lo que se consigue determinar el nivel deseado de seguridad.

Se debe definir el papel de los participantes en estas evaluaciones, limitando de hecho el papel de los evaluadores, como terceros entre compradores y desarrolladores.

Software para los Sistemas de Gestión de la Seguridad de la Información

El Software ISO para los Sistemas de Gestión de la Seguridad de la Información está compuesto por distintas aplicaciones que, al conectarlas, trabajan para que la información que manejan las organizaciones no pierda ninguna de sus propiedades más importantes: disponibilidad, integridad y confidencialidad.