Con el incremento en el uso de las tecnologías de la información, el personal que labora en una empresa u organización debe estar preparado para manejar con seguridad la información en general.
Es por ello que se diseñó la norma ISO 27001, que establece los requisitos mínimos de un sistema de gestión para controlar la seguridad de la información.
Hoy en día la información se considera como un activo de las empresas y, por lo mismo, debe ser protegida adecuadamente. Puede dividirse en dos grandes rubros: la seguridad de la información y la seguridad informática.
Los riesgos en la seguridad de la información son eventos potenciales de que una amenaza determinada explote las vulnerabilidades de los activos o grupos de activos causando así daño a la organización.
Y un Sistema de Gestión de la Seguridad de la información (SGSI) es el marco de trabajo de los procesos y procedimientos que asegura que una organización desarrolle las tareas necesarias para alcanzar sus objetivos de seguridad de la información
En el taller preparado e impartido por BICERT a sus clientes y amigos por parte del auditor líder e instructor José Luis Almanza, se observan las siete cláusulas que caracterizan a un sistema de gestión, como puede apreciarse en la siguiente figura (cláusula 4 a la 10):
Contexto de la organización.- en donde se establecen las bases del Sistema de Gestión de Seguridad de la Información, tanto en el contexto interno como en el externo.
Liderazgo.- en esta cláusula, se busca la participación activa de la Alta Dirección de la Organización, estableciendo la Política de Seguridad, así como los roles, responsabilidades y autoridades.
Planificación.- en esta norma se prioriza la gestión del riesgo como foco principal del propio sistema, por lo cual se debe realizar una evaluación de riesgos y oportunidades, así como un tratamiento de los mismos.
Soporte.- se requiere la definición y el otorgamiento de recursos para la competencia del personal, la toma de conciencia, comunicación ü y la información documentada en procesos y procedimientos.
Operación.- En esta cláusula es en donde se requiere contar con un control adecuado de los activos; a través de la evaluación de riesgos de la seguridad de la información, como con su tratamiento.
Evaluación del desempeño.- El Sistema de Gestión de Seguridad de la Información debe verificarse para determinar su desempeño, a través del seguimiento, medición, análisis y evaluación, las auditorías internas, y la revisión por la dirección.
Mejora.- como todo sistema de gestión, debe mejorarse atendiendo las no conformidades, acciones correctivas y análisis de causas.
El propósito central de un SGSI, consiste en proporcionar protección a la información sensible o de valor. La información sensible incluye información sobre los empleados, clientes y proveedores. La información de valor incluye propiedad intelectual, datos financieros, registros legales datos comerciales y datos operativos.
Los tipos de riesgos que la información sensible y de valor sufren pueden agruparse en tres categorías (confidencialidad, integridad y disponibilidad):
De ahí que el nombre por el que se conocen estos riesgos es el de "CID",
y generalmente surgen debido a la presencia de amenazas para los activos que procesan, almacenan, mantienen, protegen o controlan el acceso a la información, lo que da lugar a incidentes.
Los activos en este contexto suelen ser personas, equipos, sistemas o infraestructura. La información es el conjunto de datos que una organización desea proteger, como registros de empleados, de clientes, datos financieros, de diseño, de prueba, etc.
Los incidentes son eventos no deseados que resultan en una pérdida de confidencialidad (violación de datos), integridad (corrupción de datos) o disponibilidad (fallo del sistema).
Mientras que las amenazas son las que causan incidentes y pueden ser maliciosas (por ejemplo, un robo), accidentales (por ejemplo, un error tipográfico) o un acto de la naturaleza (por ejemplo, una inundación o un temblor)
La vulnerabilidad, como las ventanas abiertas de la oficina, los errores del código fuente o la ubicación junto a los ríos, aumentan la probabilidad de que la amenaza provoque un incidente no deseado y costoso. En seguridad de la información, el riesgo se gestiona mediante el diseño, implementación y mantenimiento de controles como ventanas bloqueadas, pruebas de software o la ubicación de equipos vulnerables por encima de la planta baja.
Un SGSI que cumple con la ISO 27001 tiene un conjunto interrelacionado de procesos que facilitan y respaldan el diseño, la implementación y el mantenimiento de los controles.
Los procesos que forman parte del SGSI suelen ser una combinación de procesos comerciales centrales existentes (por ejemplo, reclutamiento, inducción, capacitación, compras, diseño de productos, mantenimiento de equipos, prestación de servicios) y aquellos específicos para mantener y mejorar la seguridad de la información (por ejemplo, gestión de cambios, respaldo de información, control de acceso, gestión de incidentes, clasificación de la información).
En el anexo A de la norma, se establecen los controles de seguridad en la información y se muestran a continuación:
¿Qué beneficios se obtienen?
1. El enfoque de la ISO 27001 fomenta el desarrollo de una cultura interna que esté alerta a los riesgos de seguridad de la información y tenga un enfoque coherente para enfrentarlos. Esta coherencia de enfoque conduce a controles que son más robustos en el manejo de amenazas. El costo de implementarlos y mantenerlos también se minimiza, y en caso de que fallen, las consecuencias se reducen y se mitigarán de manera más efectiva.
2. Tener el respaldo por parte de un tercero independiente puede proporcionar a la organización una ventaja competitiva con sus competidores. Los clientes que están expuestos a riesgos importantes de seguridad de la información, están logrando cada vez más que la certificación ISO 27001 sea un requisito en la presentación de ofertas. Si su cliente está certificado en ISO 27001, elegirá trabajar sólo con proveedores cuyos controles de seguridad de la información sean confiables y tengan la capacidad de cumplir con los requisitos contractuales. Para las organizaciones que desean trabajar con este tipo de clientes, contar con un SG acorde a la ISO 27001 es un requisito clave para mantener y aumentar los ingresos comerciales.
3. Muchas organizaciones tienen información crítica y vital para sus operaciones, así como para mantener su ventaja competitiva; o que es inherente a su valor financiero. Contar con un SG sólido y efectivo permite a a la gerencia administrar los riesgos y contar con más tranquilidad, sabiendo que no están expuestos a un riesgo de multa, interrupción del negocio o un impacto significativo en su reputación. La economía se basa en el conocimiento, y casi todas las organizaciones dependen de la seguridad de la información. La implementación de un SG proporciona dicha seguridad. La ISO 27001 es un marco reconocido internacionalmente para una mejor práctica del SG y su cumplimiento se puede verificar de forma independiente para mejorar la imagen de una organización y dar confianza a sus clientes.
Lo invitamos a responder la siguiente encuesta y/o contactarnos para mayor información:
Comentários