ISO 27001: Gestión de Seguridad de la Información mediante el modelo de pirámide

ISO 27001

La abreviación de SGSI corresponde al Sistema de Gestión de Seguridad de la Información ISO 27001. Entendemos como información a todo el conjunto de datos de suma importancia que están organizados y salvaguardados por la organización, independientemente de la forma en la que la entidad guarde o transmita la información, el origen de la misma y la fecha de elaboración.

La Seguridad de la Información basada en la norma ISO27001 se fundamenta en la preservación de su confidencialidad, disponibilidad e integridad, además de todos los sistemas incluidos en su tratamiento, dentro de la organización. Además, podemos contar con los siguientes términos que constituyen la base sobre la que se fundamenta todo el Sistema de Gestión de Seguridad de la Información:

• Confidencialidad: la información no está a disposición ni debe ser revelada a ciertos individuos, entidades o procesos que no se encuentren autorizados.
• Integridad: especificar la exactitud y la complejidad de la información.
• Disponibilidad: el acceso y la utilización de la información y de los sistemas de tratamiento de la misma por parte de los individuos,  entidades o procesos que se encuentren autorizados.

Garantizar la seguridad de la información supone gestionarla correctamente, hacer una utilización del proceso sistemático, documentado y conocido por toda la organización desde un enfoque de riesgo empresarial. Este proceso es el que constituye un Sistema de Gestión de Seguridad de la Información basada en la norma ISO-27001.

La información, los procesos y los sistemas que hacen uso del Sistema de Gestión de Seguridad de la Información, son unos activos muy importantes de la empresa. La confidencialidad, integridad y disponibilidad de la información son esenciales para mantener a un alto nivel la rentabilidad, competitividad, conformidad legal e imagen empresarial necesarios para alcanzar los fines marcados por la entidad y asegurar el beneficio económico.

La empresa y sus Sistemas de Gestión de Seguridad de la Información están expuestos continuamente a un elevado número de amenazas. Aprovechándose alguna de estas vulnerabilidades, la empresa puede sufrir violaciones de la información mediante espionaje, fraude, sabotaje o vandalismo.

Algunos ejemplos de estos casos son: los virus informáticos, el “hacking” o los ataques de denegación de servicio, pero también consideramos riesgos el hecho de sufrir incidentes de seguridad de la información causados voluntaria o involuntariamente por parte de la propia organización.

La adaptación dinámica y puntual de las variaciones en las condiciones del entorno, cumplir con la legalidad, la protección de los objetivos de negocio con el que poder asegurar el máximo beneficio o el aprovechamiento de nuevas oportunidades de negocio,  son algunos de los aspectos fundamentales del Sistema de Gestión de Seguridad de la Información según la norma ISO 27001 que son de gran ayuda durante la gestión de las empresas.

Qué es el modelo de pirámide en ISO 27001

La seguridad alcanzada mediante los medios técnicos es insuficiente e ilimitada por sí misma. La gestión de la seguridad tiene que contar con la presencia y participación de toda la organización, la alta dirección debe estar al frente del proyecto teniendo en cuenta a los clientes y a los proveedores de bienes y servicios. En el modelo de gestión de la seguridad de la información se deben contemplar unos recursos adecuados y la implementación y la planificación de controles de seguridad basada en una evaluación de riesgos y la medición de la eficiencia de los mismos.

El Sistema de Gestión de Seguridad de la Información basado en la norma ISO 27001 establece todos los procedimientos y las políticas en relación con los objetivos de negocio de la organización con el fin de mantener a la organización en el mínimo nivel de riesgo de exposición.

En este sentido, en el SGSI, la organización conoce todos los riesgos a los que se encuentra sometida su información, las debe asumir e intentar reducir los riesgos, manteniendo y controlando la sistemática definida, documentada y conocida por todos los componentes de la empresa. Además, se debe revisar y mejorar continuamente.

Los niveles del modelo de pirámide en ISO 27001

Podemos trasladar el modelo de pirámide de cuatro niveles desde el ámbito de la Gestión de la Calidad, según la norma ISO 9001, al modelo de Seguridad de la Información basado en la norma ISO 27001 de la siguiente forma:

Nivel 1: Manual de Seguridad

Se trata del documento que sugiere y dirige todo el sistema, el que expone y determina todas las interacciones, el alcance, las responsabilidades, las políticas, los objetivos y directrices principales, etc. del Sistema de Gestión de Seguridad de la Información.

Nivel 2: Procedimientos

Son documentos a nivel operativo que aseguran que se lleve a cabo eficazmente la planificación, operación y el control de todos los procesos de seguridad de la información.

Nivel 3: Instrucciones, Checklists y Formularios

Hablamos de documentos que describen cómo se realizan las tareas y las actividades específicas relacionadas con la seguridad de la información.

Nivel 4: Registros

Son los documentos que proporcionan una evidencia objetiva del cumplimiento de los requisitos del Sistema de Gestión de Seguridad de la Información, ya que se encuentran relacionados con los documentos de los tres niveles anteriores.

Algunos conceptos básicos que debemos conocer:

• Alcance del SGSI: en torno de la empresa que queda sometido al Sistema de Gestión de Seguridad de la Información, en que se incluye la identificación de todas las dependencias, límites y relaciones que existen entre el alcance y aquellas partes que no se hayan tenido en cuenta.
• Política y objetivos de seguridad de la información: hablamos de un documento con el contenido genérico que establece el compromiso de la dirección y el enfoque de la empresa en la gestión de la Seguridad de la Información.
• Procedimientos y mecanismos de control que soportan el SGSI: son procedimientos que regulan el propio funcionamiento del SGSI.
• Enfoque de evaluación de riesgos: se describe la metodología que se va a emplear.
• Informe de evaluación de riesgos: estudio proporcionado de la aplicación de la metodología de evaluación anteriormente mencionada a los activos de información  de la empresa.
• Plan de tratamiento de riesgos: se trata del documento en el que se identifican las acciones que tiene que llevar a cabo la dirección, los RR. HH. los responsables y las prioridades para gestionar los riesgos.

Cómo garantiza ISO 27001 la confidencialidad, integridad y disponibilidad

ISO 27001 se basa en un enfoque sistemático para proteger la información en todas sus formas, asegurando la confidencialidad (que solo personas autorizadas accedan a la información), la integridad (que la información sea precisa y confiable), y la disponibilidad (que la información esté accesible cuando se necesite). A través de su metodología de gestión basada en el ciclo PHVA (Planificar, Hacer, Verificar, Actuar), esta norma asegura la implementación de controles que identifican, evalúan y mitigan riesgos relacionados con la seguridad de la información.

Los controles de ISO 27001 están diseñados para proteger tanto la infraestructura tecnológica como los procesos y personas, alineando la seguridad con los objetivos estratégicos de la organización. De esta manera, la norma garantiza la protección contra amenazas externas y minimiza riesgos internos.

Implementación del modelo de pirámide en el SGSI

El modelo de pirámide es una herramienta útil para estructurar e implementar un Sistema de Gestión de Seguridad de la Información bajo los requisitos de ISO 27001. Este modelo organiza los componentes del SGSI en niveles jerárquicos, facilitando su comprensión y aplicación.

• Base de la pirámide: representa la política de seguridad de la información, que establece el marco general de objetivos y directrices.
• Niveles intermedios: incluyen los procedimientos y procesos operativos que se deben implementar para cumplir con los controles definidos en la norma.
• Cima de la pirámide: se enfoca en la mejora continua, basada en la evaluación de métricas, auditorías internas y revisiones de la dirección.

Al usar este enfoque, las organizaciones pueden visualizar la estructura del SGSI de manera clara y lógica, asegurando que cada nivel contribuya a la eficacia global del sistema.

Ventajas de aplicar el modelo de pirámide en ISO 27001 

Estructura clara y organizada

El modelo de pirámide proporciona una visión jerárquica que ayuda a definir responsabilidades y priorizar acciones en la gestión de seguridad de la información. Gracias a esta estructura, las organizaciones pueden garantizar que todas las capas, desde políticas hasta operaciones, estén alineadas y sean coherentes entre sí.

Mejora en la gestión de seguridad

El enfoque escalonado del modelo permite identificar y abordar las áreas críticas de seguridad con mayor precisión. Esto optimiza la asignación de recursos y facilita la implementación de controles efectivos para prevenir incidentes y garantizar la protección de activos de información.

Cumplimiento normativo

Implementar el modelo de pirámide facilita el cumplimiento de los requisitos de ISO 27001, al estructurar el SGSI de manera sistemática y organizada. Este modelo asegura que todos los aspectos necesarios para la certificación estén cubiertos, desde la documentación de políticas hasta la ejecución de auditorías internas y la mejora continua.

Sistema de Gestión de Seguridad de la Información

Toda protección es importante, por mínima que sea, pues el mínimo descuido puede ocasionar una violación de los datos de las organizaciones. Por ello, los Sistemas de Gestión de Seguridad de la Información basados en la ISO 27001 son una buena garantía de seguridad. Para saber más sobre sistemas de gestión de riesgos y seguridad puedes visitar: https://www.isotools.us/normas/riesgos-y-seguridad/