ISO 27001

La aplicación de norma ISO 27001 tiene como base la Seguridad de la Información, durante este post queremos basarnos en sus dos pilares básicos:

Las normas de seguridad como medio para proteger la información de tu empresa

La norma ISO 27001 es utilizada internacionalmente para administrar la seguridad de la información, lo que conlleva mucha experiencia acumulada por parte de los diferentes expertos en este campo.  La aplicación que tiene que llevarse a cabo según las características, las necesidades y las condiciones de cada organización, uno de los principales pasos que deben seguirse es la familiarización con el documento y los propósitos que persigue la organización.

Por lo que no debemos centrar toda la atención en el contenido de la norma ISO 27001, lo primero que debemos hacer es comenzar el proceso de implementación. La estructura se divide en dos elementos fundamentales:

• Las cláusulas con los requisitos: para la organización es necesario trabajar en línea con el Sistema de Gestión.
• Controles de seguridad: implican utilizar diferentes enfoques de protección.

Directrices a seguir cuando se trabaja con un Sistema de Gestión de Seguridad de la Información

El primer elemento básico de la norma ISO 27001 son las cláusulas que definen todas las actividades necesarias para definir, establecer, implementar, seguir y revisar, también se tiene que mantener y mejorar el Sistema de Gestión de Seguridad de la Información.

La nueva ISO 27001 no considera de manera explícita un modelo de mejora continua, las fases se analizan de forma implícita según el Anexo SL, es decir, sigue una estructura utiliza por las normas ISO para definir algunas cláusulas.

Al supervisar y aplicar todas las actividades que vienen definidas en las cláusulas de la norma ISO 27001, las organizaciones comienzan a dar forma a un marco para ayudar a la administración de seguridad de la información. Para que se realice una alineación con la norma ISO 27001, la organización debe cumplir con las cláusulas 4, 5, 6, 7, 8, 9 y 10.

Los requisitos que se incluyen en los diferentes elementos clave, como puede ser la comprensión de la empresa, las actividades que demuestran el liderazgo de la dirección de la empresa, la planificación, el apoyo, las habilidades y el conocimiento entre las diferentes personas, la operación del Sistema de Gestión de Seguridad de la Información, evaluar su desempeño en las auditorías internas y las revisiones para la dirección.

Definición de los objetivos de control y controles de seguridad

El segundo elemento que compone la estructura de la norma ISO 27001 en los objetivos de control y los controles de seguridad que se encuentran descritos en el Anexo A de la norma.  La norma ISO 27001 define un objetivo de control como una declaración que describe lo que se espera de los diferentes controles de seguridad de la información para conseguir que se controle el riesgo.

Es importante saber que para modificar el riesgo, se deben afectar algunas de sus dos variables:

• La probabilidad de que produzca
• El impacto que puede tener.

En el mejor de los casos, un control modifica ambas variables.

Un control no siempre conduce a obtener los resultados deseados, y puede resultar necesario adaptar el control, reemplazarlo o aplicar controles adicionales. En lo que se puede incluir todos los procesos, las políticas, los dispositivos, las prácticas u otras acciones que modifican todos los riesgos.

Dentro del Anexo A de la norma ISO 27001 se describen 114 controles de seguridad que se agrupan en los 35 objetivos de control, que a su vez se introducen en 14 secciones, en las que se incluyen las políticas de seguridad de la información y de la empresa, la seguridad de los RRHH, la gestión de activos, el control de accesos, la seguridad física, la seguridad de las comunicaciones, etc.

Todas las secciones presentan diferentes enfoques para proteger la información, por lo que también son objetivos de control para realizar el mantenimiento, desarrollo y adquisición de sistemas, existen medidas de seguridad para relaciones con los proveedores, la gestión de incidentes, etc. es muy importante para la empresa.

Próximos pasos para la aplicar de la ISO 27001

La estructura de la norma ISO 27001 tiene dos secciones diferentes:

• Los primero, se encuentran las cláusulas que definen los requisitos para la implementación, operación, revisión y mejorar el SGSI.
• El Anexo A se describe los controles para proteger la información.

Los dos elementos básicos sobre los que se sustenta en la ISO 27001 incorporando diferentes enfoques:

• Medidas de seguridad y todos los controles que se aplican antes de los incidentes
• Proactivas
• Genera una ofensiva de la seguridad
• Genera ciertos enfoques reactivos

No podemos olvidar otra idea muy importante en la ISO 27001 que se relaciona con el proceso de mejora permanente. Como ya hemos mencionado, en realidad, es muy difícil de ignorar todas las amenazas y los ataques que se puedan recibir, pero en el caso de que lleguen a producirse la norma debe corregir estos errores y evitar que se vuelvan a producir, mediante las lecciones aprendidas y las acciones correctivas que se han utilizado.

Software para SGSI

El estándar internacional ISO 27001, junto con todas las normas que componen su familia, generan todos los requisitos necesarios para poder implementar un Sistema de Gestión de Seguridad de la Información de una forma rápida y sencilla, además el Software ISOTools Excellence para la norma 27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa.