Saltar al contenido principal

ISO 27001 Procedimientos y responsabilidades para la gestión del tratamiento de los recursos de la información

Inicio / ISO 27001 Procedimientos y responsabilidades para la gestión del tratamiento de los recursos de la información

Norma ISO 27001

ISO 27001 hace que la seguridad sea un componente primordial en la información y en los activos de una organización.

Tanto a la hora de designar responsabilidades, como en cualquier procedimiento útil para la gestión de los recursos destinados al tratamiento de la información, la seguridad debe ser un elemento presente y notable.

Descarga gratis e-book: La norma ISO 27001

Pero ocurre que ésta se hace vulnerable ante cualquier red de comunicación, es decir es un medio por el que se puede acceder a la información pero también es un medio que puede dañarla.

Ante esto, se hace necesario crear procedimientos documentados para la gestión de los recursos dedicados al tratamiento y comunicación de la información. Esto facilitará el cumplimiento y respeto de los requisitos de seguridad definidos.

Estos documentos son aprobados por la dirección y se difundirán entre los trabajadores implicados e involucrados en cada procedimiento.

ISO-27001 ejerce un control sobre el tratamiento de la información, y cada cambio que suceda en ello deberá estar controlado por uno o varios procedimientos preestablecidos para la gestión de cambios. Este control abarca: identificación y registro de los cambios más relevantes, planificación, pruebas, evaluación de riesgos, aprobación de los cambios, comunicación al personal interesado de los cambios, elaboración de procedimientos para dar vuelta atrás y recuperación del sistema a su posición original en caso de que ocurriera algún problema. Lo ideal sería que todos los sistemas de la organización estuvieran sometidos a este tipo de control.

Una parte muy importante de esta gestión de cambios es la planificación, una organización debe planificar y, sobre todo plantearse si el cambio que se dispone a realizar es necesario para la entidad o no. Por ejemplo, la actualización de un software puede poner en peligro al sistema y a su información y no ser muy imprescindible para continuar con el desarrollo del negocio, ahí habría que pensar si es conveniente correr el riesgo o no.

Una práctica recomendada para reducir riesgos y evitar manipulaciones de la información no autorizadas, consiste en segregar las tareas sobre responsabilidades en la gestión de la información. Esto quiere decir que no es conveniente que solo una persona tenga la responsabilidad de acceder y manipular un sistema sin ningún otro tipo de supervisión. Debe evitarse este habito o al menos intentar que no sea la misma persona la encargada de autorizar y ejecutar la actividad.

Sea cual sea la situación de la organización, ha de utilizarse un registro para una posible supervisión o para futuras auditorías cuando las hubiese.

Como último dato para evitar riesgos a la integridad de la información, es recomendable separar los entornos de desarrollo, pruebas y producción. Ni el entorno de desarrollo debería tener acceso al de producción, ni el de pruebas debería usar los mismos datos que el de producción, aunque sí lo más similar posible.

Cada uno de los usuarios tendrá un identificador privado para establecer responsabilidades y, para aumentar la seguridad, deberían ser distintos para el entorno de desarrollo y para el de pruebas.

En resumen, para consolidar la presencia y funcionamiento de ISO27001 en una organización y crear responsabilidades y procedimientos para la gestión de los recursos de tratamiento de la información es necesario:

  • Mantener y documentar los procedimientos operacionales que aparecen en la política de seguridad.
  • Crear responsabilidades y procedimientos de gestión para poder desarrollar un control satisfactorio de los cambios en software y equipos.
  • Organizar responsabilidades y procedimientos de gestión para que aporte a la organización una respuesta ordenada, rápida y eficaz a las incidencias en materia de seguridad.
  • Instaurar una política de segregación de tareas en cuanto a las responsabilidades en la gestión de la información.
  • Separar entre sí los recursos de desarrollo, pruebas y producción para que la organización no se encuentre con problemas operacionales y cambios no previstos ni deseados.

Sistema de Gestión de Riesgos y Seguridad

Tiene más información sobre los Sistemas de Gestión de Riesgos y Seguridad, como el derivado de ISO 27001, en el siguiente link: https://www.isotools.us/normas/riesgos-y-seguridad/

cta 27

¿Desea saber más?

Entradas relacionadas

Volver arriba