| 25 años generando CONFIANZA
La importancia de los activos de información
En la actualidad, los activos de información de las empresas, uno de sus valores más importantes, se encuentran en peligros constantes procedentes de focos diversos. La norma ISO 27001 plantea una solución para preservar la seguridad de la información de una organización mediante el desarrollo de un Sistema de Gestión de Seguridad de la Información (SGSI).
Puesta en funcionamiento de un SGSI
La norma 27001 establece las siguientes fases para garantizar la seguridad de la información:
- Análisis del riesgo de los activos de información.
- Definición de un plan de tratamiento de los riesgos o esquema de mejora.
- Establecimiento de puntos de control.
- Determinación del alcance del sistema de gestión.
- Establecimiento del liderazgo y asignación de competencias y funciones.
Análisis del riesgo
Un SGSI basado en la norma ISO 27001 se fundamenta principalmente en la identificación y análisis de las principales amenazas para, a partir de este punto de partida, poder establecer una evaluación y planificación de dichos riesgos.
Esquema de mejora
En esta fase se tienen que valorar las distintas consecuencias potenciales de cada riesgo para, en base a ello, poder afrontar el riesgo básicamente de tres formas diferentes: eliminarlo, mitigarlo o trasladarlo.
Establecimiento de controles
Los puntos de control constituyen el eje fundamental de la seguridad de la información. La norma ISO 27001 establece en su última versión, la ISO/IEC 27001:2013, hasta 113 puntos de control. Aunque cada empresa, según su criterio, puede añadir más puntos de control si lo considera conveniente.
Los controles establecidos por la norma se dividen (respetando la numeración que se les asigna en el Anexo A de dicha norma) de la siguiente forma:
- A.10 Administración de las comunicaciones y operaciones. Este grupo de controles tiene como objetivo asegurar la correcta y segura operación de la información, haciendo especial hincapié en documentar todos los procedimientos.
- A.11 Control de accesos. El control de acceso debe regular que el usuario acceda únicamente a los recursos sobre los cuales tenga derecho y a ningún otro. El control de acceso es una de las actividades más importantes de la arquitectura de seguridad de un SGSI.
- A.12 Adquisición de sistemas de información, desarrollo y mantenimiento. En este grupo se incluyen diversos tipos de controles como: requerimientos de seguridad de los sistemas de información, procesamiento correcto en aplicaciones, controles criptográficos o seguridad de los sistemas de archivo, seguridad en el desarrollo y soporte de procesos y administración técnica de vulnerabilidades.
- A.13 Administración de los incidentes de seguridad. Este punto de la norma se subdivide en: reportes de eventos de seguridad de la información y debilidades y administración de incidentes de seguridad de la información y mejoras. En el primer grupo se define el desarrollo de una metodología eficiente, mientras que el segundo es un procedimiento que describe claramente los pasos, acciones, responsabilidades, funciones y medidas concretas en la gestión de incidentes.
- A.14 Administración de la continuidad de negocio. Este grupo de controles tienen como objetivo contemplar todas las medidas enfocadas a que los sistemas no hagan sufrir interrupciones sobre la actividad que realiza la empresa.
- A.15 Marco legal y buenas prácticas. Aquí se recoge no solamente el cumplimiento de los requerimientos legales de cada país o sector, sino también el cumplimento de buenas prácticas en materia de política de seguridad y consideraciones diversas sobre auditorías de sistemas de información.
Alcance de la gestión
Por ejemplo, si una empresa tiene dos líneas de negocio: una de asesoramiento contable y otro fiscal, es posible que decida priorizar la primera actividad, la contabilidad, por considerarla más vulnerable en materia de seguridad.
Liderazgo y asignación de funciones
En esta fase se identifican los “dueños del riesgo”, segregando tareas y estableciendo roles y responsabilidades. La norma ISO 27001 otorga un peso cualitativo muy importante a la Alta Dirección de la empresa, exigiéndole la máxima implicación y adoptar un rol de líder de todo el proceso.
La Plataforma ISOTools facilita la automatización de la ISO 27001
La Plataforma Tecnológica ISOTools permite implantar y automatizar fácilmente la norma ISO 27001 y aplicar también los requisitos de otras normas de Seguridad de la Información, como por el ejemplo el PMG SSI de los Servicios Públicos de Chile.
¿Desea saber más?
Entradas relacionadas
En el mundo empresarial actual, donde la integridad y la transparencia son esenciales para construir confianza, las organizaciones…
La gestión de investigaciones internas en las empresas es clave para proteger la integridad empresarial, prevenir los riesgos y fortalecer la...
La estructura de ISO 42001 es la acostumbrada por ISO para sus estándares certificables, y con posibilidad de…