ISO 27001
La seguridad es un aspecto que todas las empresas desean tener, pero que ninguna quiere tener que utilizar. Este punto de vistas puede conllevar muchos problemas. Para lograr la seguridad deseada podemos hacer uso de la norma ISO 27001.
A no ser que el objetivo del sistema tenga algún tipo de relación con la seguridad, los usuarios no suelen prestar atención de cómo se encaja la seguridad en un producto. Ni tampoco de cómo se comprueba para asegurar que el funcionamiento es correcto cuando se vaya a necesitar.
A continuación vamos a analizar la manera en la que ayuda la ISO 27001. Así como también la implementación de un Sistema de Gestión de Seguridad de la Información. Para ello, se debe considerar la especificación de los requisitos junto con la preparación de los procedimientos.
¿Qué es un requisito?
Cuando hablamos de requisito en la ISO 27001 estamos haciendo referencia a cualquier tipo de declaración que facilita la evaluación del resultado.
Con el objetivo de detallar los requisitos se requiere de un gran esfuerzo para poder definirlo y probarlo. En algunos casos se omite este esfuerzo con la intención de no aumentar costes. Lo cual conlleva una clara necesidad de información accesoria para cumplir o verificar la petición.
Especificar los requisitos de seguridad
En el apartado 14.1.1 de la ISO 27001 acerca del análisis de los requisitos de seguridad de la información y especificación se establece que los requisitos de protección de la información deben de ser incluidos en los requisitos para el Sistema de Gestión de Seguridad de la Información.
Podemos basarnos en un ejemplo para entender esto mejor. Por ejemplo, un requisito de protección que controla el acceso de información, de conformidad con el nivel de liquidación.
Para lograr buenas declaraciones de requisitos, la ISO 27001 recomienda:
Adoptar los métodos para identificar los requisitos
Las formas sistemáticas de identificación pueden prevenir algunos aspectos de ser olvidados o pasados por alto.
Resultados de las opiniones de las partes interesadas
Las personas que mejor pueden evaluar los requisitos son los que realmente usan el producto. Se debe escoger a distintas personas que desempeñen diferentes roles en la organización.
Evaluar los requisitos en base al valor de la información para el negocio
Una seguridad correcta refleja el valor de la información para el negocio. Los requisitos deben de priorizarse en relación con los propósitos de negocio que se pretenden proteger.
La integración de los requisitos de gestión en las primeras etapas de un proyecto
El tiempo apremia, y cuanto antes se considere el aspecto de la seguridad, más oportunidades encontraremos de tratar las situaciones de riesgo. Se piensa en las políticas y el propio proceso de desarrollo del proyecto.
Definir los criterios para lograr la aceptación del producto
Debemos conseguir demostrar que todo aquello que se ha propuesto para el sistema se puede alcanzar. Así como que todos aquellos procedimientos previamente establecidos se han seguido correctamente. Una de las recomendaciones principales es proporcionada por el control en la norma ISO 27001. Dicha recomendación dice que debemos definir cada uno de los parámetros de manera clara y que se deben alcanzar los resultados.
Otras recomendaciones
Otros aspectos recogidos en la norma ISO 27001 recomendados, pero no menos importantes, son:
- Establecer ciertas condiciones que requieran la puesta en marcha de una prueba. Los nuevos sistemas ya tienen dicha condición. No obstante debemos tener en cuenta los sistemas actualizados, las nuevas versiones y los componentes. Pues las nuevas funcionalidades pueden traer riesgos para el SGSI o para el medio ambiente.
- Establecer rutinas para el desarrollo de las pruebas sistemáticas. Debemos determinar una rutina de actividades a desarrollar en relación a las entradas y a las salidas. De esta manera podremos garantizar la repetición de la prueba en caso de tener lugar algún tipo de error.
- Usar distintos niveles de pruebas. Las primeras pruebas que se llevan a cabo deben realizarse por el equipo de desarrollo. De esta forma se puede comprobar que los requisitos de funcionamiento son básico. Así como también se pueden corregir rápidamente los errores de código más simples. Para determinar la garantía de seguridad se deben llevar a cabo pruebas independientes.
- Entorno realista para el ensayo. Debe llevarse a cabo de la mejor manera posible para la identificación de las distintas vulnerabilidades y la fiabilidad de la prueba. Este aspecto puede llegar a ser crítico cuando la prueba conlleva el uso de la base de datos. Pues los datos reales de las pruebas pueden suponer riesgos por sí mismos. Y estos riesgos no tiene por qué estar relacionados con el producto.
Software ISO 27001
El Software ISOTools Excellence para la norma ISO 27001 en la cual se basa la Seguridad de la Información, se encuentra compuesto por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las organizaciones no pierda ninguna de sus propiedades principales: disponibilidad, integridad y confidencialidad.
¿Desea saber más?
Entradas relacionadas
31 enero, 2018
Compliance La ley 30424, ha sido modificada por el D. Leg. 1352, que exige la implantación de un…
26 diciembre, 2017
Proveedores Hoy en día pocos fabricantes dan la importancia que tiene a auditar sus proveedores sin darse cuenta…
19 diciembre, 2017
Ley 29783 Durante este artículo hablaremos sobre cómo se puede automatizar los requisitos establecidos en la ley 29783.…
12 diciembre, 2017
Gestión del rendimiento La gestión del rendimiento es uno de los siete subsistemas que componen el Sistema Administrativo…