ISO 27001

La ISO 27001 establece una serie de Dominios Tecnológicos, para su aplicación en los procesos de las organizaciones, es necesario que todas las áreas participen en el desarrollo del Sistema de Gestión de Seguridad de la Información. Como consecuencia se crea un equipo multidisciplinar que permite la atribución de responsabilidades y se especializan en cada uno de los dominios establecidos en la ISO27001.

Los Dominios de Seguridad de la ISO-27001 incluyen todos los activos de la información que deben proteger y cumplir en su totalidad.

Los objetivos de los dominios contemplados en la ISO 27001 que se deben son:

• Dominio Política de Seguridad: Su objetivo es proporcionar a la entidad el soporte y la gestión necesaria para la seguridad de la información respetando los requerimientos legales. La política de la organización se debe establecer alineada a los objetivos de la organización, lo que garantiza el compromiso con la Seguridad de la Información.

• Dominio Organización de la Seguridad de la Información: El objetivo es establecer un marco de referencia a nivel de la dirección para la implementación y control de la Seguridad de la Información de la organización. La organización será la encargada de establecer la política de seguridad, además de designar el papel de los comités y señalar quien será el encargado de coordinar y revisar el proceso.

• Dominio Gestión de Activos: Tiene como objetivo la protección adecuada de los activos de la organización. Los activos estarán inventariados y contaran con un responsable para mantener los controles apropiados y manejarlos convenientemente.

• Dominio Seguridad de los Recursos Humanos: Este dominio tiene como objetivo el establecimiento de las medidas necesarias para vigilar la Seguridad de la Información en lo que a manejo se refiere por parte de los recursos humanos de la organización.

•  Dominio Seguridad física y del ambiente: Su objetivo es la protección de las instalaciones de las entidades y la información sensible que manejan. Es necesario instaurar barreras de seguridad y controles de entrada que garanticen la Seguridad de la Información.

• Dominio Gestión de las comunicaciones y operaciones: El objetivo de este dominio es la definición de los procedimientos y responsabilidades a nivel de operaciones para avalar que los procesos vinculados a la información se ejecutan correctamente.

• Dominio Control de Acceso: Su objetivo es asegurar el acceso al personal autorizado a los sistemas de información. Se precisa de un conjunto de acciones como la creación de procedimientos formales para controlar el acceso, la implementación de políticas que eviten accesos no autorizados…

• Dominio Adquisición, desarrollo y mantenimiento de los sistemas de información: Este dominio se aplica a las organizaciones que desarrollen un software internamente o también cabe la posibilidad que contraten a tercero para su proceso. Se garantiza la seguridad durante la etapa de desarrollo o implementación del software.

• Dominio Gestión de incidentes en la seguridad de la información: El objetivo es aplicar un proceso de mejora continua para la gestión de incidentes de Seguridad de la Información.

• Dominio Gestión de la Continuidad del Negocio: Su objetivo es el aseguramiento de la continuidad de la organización mediante la aplicación de controles que eviten o minimicen las posibles suspensiones de actividad organizacional que generen impactos.

• Dominio Cumplimiento: El objetivo de este dominio es la garantía de cumplimiento de los requerimientos legales de seguridad que se aplican al diseño, operación, uso y gestión de los sistemas de información.

Estos son los dominios incluidos en la NTP ISO-27001, de los cuales solamente los dominios de  “gestión de activos”, “seguridad física y ambiental”, y “gestión de la continuidad del negocio” se aplican únicamente en procesos de provisión de bienes y servicios. El resto de los dominios se aplican en todos los procesos de la organización.

La Plataforma Tecnológica ISOTools ofrece la implementación de los Sistemas de Gestión de Seguridad de la Información de forma rápida y eficaz.