ISO 27001

El estándar internacional ISO 27001 establece todos los requisitos necesarios para implantar un Sistema de Gestión de Seguridad de la Información, lo que hace que sea mucho más fácil mantener, de forma segura la información importante de la organización ante cualquier tipo de amenaza. La norma NTP-ISO/IEC 17799 es su homóloga en Perú, ayuda a la implementación de medidas de seguridad en las empresas, incrementando su rendimiento y generándole un valor añadido antes las demás compañías de sector.

El objetivo perseguido por la norma ISO27001 es dirigir y ofrecer soporte a la gestión de la Seguridad de la Información en correspondencia a los requisitos de la empresa, la legislación vigente y las regulaciones.

La alta dirección debe establecer cuáles serán las líneas que va a seguir la política de seguridad y manifestar el apoyo y compromiso respecto a la Seguridad de la Información, realizando publicaciones periódicas y manteniendo la política de seguridad en toda la organización.

Documentos

La alta dirección de la empresa debe aprobar, publicar y comunicar a todas las personas que integran la organización de una forma adecuada, el documento de la política de seguridad que ha sido establecido.

Se genera un compromiso muy fuerte entre la alta dirección y el enfoque de la organización para poder gestionar la Seguridad de la Información. La política de seguridad debe ofrecer como mínimo la siguiente información:

• Definir lo que es la Seguridad de la Información y los objetivos globales, cuál será el alcance de la seguridad y la importancia que tiene que se comparta la información.
• Establecer cuáles son los objetivos de la alta dirección y los principios de la Seguridad de la Información según la ISO-27001.
• Se tiene que generar un marco en el que establecer todos los objetivos de control, en los que se tiene que incorporar la estructura de evaluación de riesgo y la gestión del riesgo.
• Dar una pequeña explicación de las políticas, los principios, las normas y los principales requisitos necesarios más importantes para la organización. Como puede ser la conformidad con los requisitos legales, los requisitos necesarios para la formación de los empleados, la gestión de la continuidad de negocio y saber cuáles serían las consecuencias del incumplimiento de la política de seguridad.
• Definir la responsabilidad general y específica en la Gestión de la Seguridad de la Información, en la que se debe incluir la comunicación de las incidencias de seguridad.
• Realizar referencias a los documentos que sustenten la política de seguridad y los procedimientos más detallados del Sistema de Gestión de Seguridad de la Información según ISO 27001.

La política tiene que distribuirse por toda la organización, siendo asequible para todos los destinatarios de una forma apropiada, entendible y accesible para los usuarios.

La política de seguridad tiene que ser parte de un documento más general de la política empresarial. Se tiene que tener especial cuidado a la hora de distribuir la política de seguridad fuera de la empresa con el principal fin de no compartir la información confidencial.

Revisión y evaluación

La política de seguridad se tiene que revisar dentro de un plazo de tiempo predefinido, y si se establecen cambios significativos se generan de una forma continua, adecuada y eficiente.

La política de seguridad debe tener un responsable que se haga cargo de su desarrollo, su revisión y su evaluación. Dicha revisión se tiene que incluir en todas las oportunidades de evaluación en la que mejorar la política de seguridad de la organización y generar un acercamiento a la gestión de la seguridad de la información dando una respuesta a los cambios que se produce en la organización por las circunstancias, las condiciones legales, etc.

La revisión de la política de seguridad de la información debe tener en cuenta todos los resultados obtenido de las revisiones en la gestión. Deben existir diferentes procedimientos para la gestión durante la revisión, en la que se incluya un calendario o un periodo de revisión.

En la revisión de la gestión se debe incluir información de:

• Feedback, gracias a información ofrecida por terceras personas.
• Obtención de los resultados de las revisiones independientes.
• El estado de las acciones preventivas y correctoras.
• Conocer los resultados de las revisiones anteriores.
• Desarrollar procesos para el cumplimiento de la política de seguridad.
• Cambios que afectan al alcance de la empresa en la gestión de la Seguridad de la Información, donde se incluyen todos los cambios sucedidos en la empresa, las circunstancias reales de negocio, la disponibilidad de los recursos, las condiciones contractuales y legales.
• Conocer las tendencias que siguen las amenazas.
• Conocer los incidentes más frecuentes.
• Tener un listado con las recomendaciones facilitadas por las autoridades relevantes.

Las mejoras que se obtienen de forma colateral son:

• Mejoras en el alcance de la organización a la hora de gestionar la Seguridad de la Información y sus procesos.
• Mejorar todos los objetivos y sus controles.
• Aumentar la asignación de recursos y responsabilidades.

Software ISO 27001

El Software ISO27001 facilita la implementación de un Sistema de Seguridad de la Información en las organizaciones comprometidas con la seguridad de sus activos. Desde ISOTools queremos facilitar la ardua labor que supone la implementación, mantenimiento y mejora continua que supone dicho sistema de gestión. Además se encuentra compuesta por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las empresas no pierda ninguna de sus propiedades más importantes: disponibilidad, integridad y confidencialidad.