| 25 años generando CONFIANZA
ISO 27001
ISO 27001 tiene como objetivo proteger los activos de la información de cualquier organización. Toda organización posee información importante que desea proteger frente a cualquier situación que suponga un riesgo o amenaza. Esta información que resulta fundamental para la organización es lo que se denomina activo.
Los activos de información pueden ser ficheros y bases de datos, contratos y acuerdos, documentación del sistema, manuales de los usuarios, aplicaciones, software del sistema, etc.
Uno de los primeros pasos que se debe realizar es un inventario de los activos para reconocerlos e identificarlos dentro de la organización. En este inventario hay que clasificarlos y obtener toda la información posible como, por ejemplo, tipo de activo, valor, localización, formato, etc.
Dentro del SGSI de ISO-27001, para cada activo, se debe establecer un propietario que defina el grado de seguridad que hay que aplicarle al mismo, aunque no necesariamente será la que gestione el día a día del mismo.
Por ejemplo, puede existir un activo que sea la base de clientes, cuyo propietario sea el Director Comercial, sin embargo serán los comerciales de la empresa los usuarios del mismo y el responsable de sistemas el delegado del mantenimiento de la base de datos.
Pero el propietario decide quién accede y quién no a la información, si es necesario aplicarle alguna medida de seguridad o existe algún riesgo que deba ser tenido en cuenta, si deben implantarse las medidas de seguridad exigidas por la Ley, etc.
El inventario deberá recoger los activos que realmente tengan un peso específico y sean reveladores para la organización, agrupando aquellos que, por ser similares, tenga sentido hacerlo.
En algunos casos, la complejidad de la organización, de sus procesos o de su contexto, puede hacer necesario el desarrollar un árbol de dependencias entre activos. El concepto es que ciertos activos dependen de otros, en uno o más parámetros de seguridad.
Identificar y documentar estas dependencias constituye un árbol de dependencias, que dará una idea más exacta del valor de cada activo. Por ejemplo, una aplicación alojada en un servidor, depende de este servidor para ejecutarse, para estar disponible. Si el servidor tiene una avería o un error de configuración, la aplicación podría llegar a ver afectada su disponibilidad. Por lo tanto el valor del servidor puede considerarse que sea no sólo el que tiene en sí mismo, sino también el que tiene por permitir el correcto funcionamiento de la aplicación.
Una vez identificados los activos, el siguiente paso, dentro del SGSI de ISO27001, a realizar es valorarlos. Es decir, hay que estimar el valor que tienen para la organización, cuál es su importancia para la misma.
Para calcular este valor, se considera cual puede ser el daño que puede suponer para la organización que un activo resulte dañado en cuanto a su disponibilidad, integridad y confidencialidad.
Esta valoración debe ser lo más objetiva posible y se hará de acuerdo con una escala que puede ser cuantitativa o cualitativa. Si es posible valorar económicamente los activos, se utiliza la escala cuantitativa. En la mayoría de los casos, no es posible o va a suponer un esfuerzo excesivo, por lo que utilizan escalas cualitativas como puede ser: bajo, medio, alto o bien un rango numérico, por ejemplo de 0 a 10.
[/div][/sociallocker]La Plataforma Tecnológica ISOTools es capaz de proteger cada uno de los activos de la organización según las disposiciones de ISO 27001, alcanzando una mejora en la eficiencia y eficacia en la gestión de la seguridad de la información.
¿Desea saber más?
Entradas relacionadas
En el mundo empresarial actual, donde la integridad y la transparencia son esenciales para construir confianza, las organizaciones…
La gestión de investigaciones internas en las empresas es clave para proteger la integridad empresarial, prevenir los riesgos y fortalecer la...
La estructura de ISO 42001 es la acostumbrada por ISO para sus estándares certificables, y con posibilidad de…