Norma ISO 27001

¿Qué son las normas ISO?
Son un conjunto normas creados por el Organismo Internacional de Normalización, usados a nivel internacional. Brindan estándares y guías relacionados con sistemas y herramientas  relacionadas con la gestión de que ayudan a mejorar el desarrollo de cualquier tipo de empresa.
 Norma ISO 27001: El Sistema de Gestión de Seguridad de la Información (SGSI)

¿Qué  permite la norma?

Esta norma se crea para ayudar a las empresas a proteger su información, a través de la creación de un Sistema de Gestión que le ayude a evaluar todo tipo de riesgos o amenazas que afecten a los datos o información que tengan, ya sea propia o los de terceros. Una vez que se evalúen podrá identificarlos y así la empresa podrá establecer controles y estrategias para poder prevenir o eliminar daños hacia la información.

Ejes centrales

Esta norma se trata de proteger:
  • Confidencialidad: que la información no se pone a disposición ni se revela a individuos, entidades o procesos no autorizados. 
  • Integridad: es el mantenimiento de la información exacta y completa así como de sus métodos de proceso. 
  • Disponibilidad: es el acceso y utilización de la información y los sistemas de tratamiento de la misma por parte de los individuos, entidades o procesos autorizados cuando lo requieran.
Beneficios
  • Ayuda a mantener los niveles de competitividad
  • Mejora la rentabilidad y asegura beneficios económicos
  • La empresa cumplirá las normativas legales
  • Mejor imagen empresarial
  • Logro de los objetivos
¿Por qué se crea esta norma?

Esta norma se crea debido a los grandes riesgos que corre la información, debido a varias causas como:
  • Diversas formas de fraude
  • Espionaje empresarial
  • Sabotaje
  • Vandalismo
  • Virus informáticos
  • Incidentes de seguridad causados voluntaria
  • Caso fortuito o fuerza mayor


Aplicación del SGSI

Todas las normas ISO aplican el ciclo de Deming o de mejora continua, por lo mismo el contenido de esta norma se adecuara al ciclo de mejora continua, siendo el siguiente:

                                                         Definir la política de seguridad
                                                         Establecer al alcance del SGSI
                                                         Realizar el análisis de riesgo                                


          Planear                                   Seleccionar los controles
                                                         Definir competencias
                                                         Establecer un mapa de procesos
                                                         Definir autoridades y responsabilidades

                                                         Implantar el plan de gestión de riesgos
          Hacer                                     Implantar el SGSI
                                                         Implantar los controles

                                                         Revisar internamente el SGSI
         Controlar                                Realizar auditorías internas del SGSI
                                                         Poner en marcha indicadores y métricas
                                                         Hacer una revisión por parte de la Dirección
           
                                                         Adoptar acciones correctivas
         Actuar                                     Adoptar acciones de mejora

Fases del SGSI

1. Análisis y evaluación de riesgos.

Se realiza la identificación y análisis de las principales amenazas (evento que puede afectaar los activos de información) y así evaluarlas y planificar los riesgos.

      Ejemplos de riesgos

  • Ataques informáticos
  • Infecciones con malware
  • Inundación
  • Incendio
  • Cortes eléctricos

     Metodología

      1. Recogida y preparación de la información.
     2. Identificación, clasificación y valoración los grupos de activos.
     3. Identificación y clasificación de las amenazas.
     4. Identificación y estimación de las vulnerabilidades.
     5. Identificación y valoración de impacto: identificar, tipificar y valorar los impactos.
     6. Evaluación y análisis del riesgo.

     Tipos de riesgo

  • Riesgo aceptable:  Se trata de reducir su posibilidad de ocurrencia y minimizar las consecuencias
  • Riesgo residual: Se trata del riesgo que permanece y subsiste después de haber implementado los debidos controles

2. Implementación de controles

La norma ISO 27001 establece en su última versión: ISO/IEC 27001:2013 hasta 113 puntos de control. Los 113 controles están divididos por grandes objetivos:

  • Políticas de seguridad de la información.
  • Controles operacionales.

Cada empresa, según su parecer, puede añadir más puntos de control si lo considera conveniente, así como personalizarlos para adaptarlos a su propio Plan de Control Operacional, pero siempre deben estar alineados a lo que pide la norma.

3. Definición de un plan de tratamiento de los riesgos o esquema de mejora

Para ello debe tener en cuenta las distintas consecuencias potenciales de esos riesgos, estableciendo una criticidad para cada uno de ellos y así poder evaluar con objetividad las diferentes amenazas.

     Formas de afrontar el riesgo

  • Eliminar el riego: Si el riesgo es muy crítico, hasta el punto de que pueda poner en peligro la propia continuidad de la organización.
  • Mitigarlo:  Cuando es imposible técnicamente eliminarlo o bien porque la empresa decida que no es un riesgo suficientemente crítico.
  • Trasladarlo: Esta opción está relacionada con la contratación de algún tipo de seguro que compense las consecuencias económicas de una pérdida o deterioro de la información.

4. Alcance de la gestión
Se debe definir para la implementación del sistema en una organización.Teniendo en cuenta que existen organizaciones que difieren en:

  • Tamaño por el número de empleados
  • Volumen de información manejada
  • Número de clientes
  • Volúmenes de activos físicos y lógicos
  • Número de sedes u oficinas
  • Entre otros elementos

5. Contexto de organización

 Se debe analizar ya que nos permite determinar los problemas internos y externos de la organización, así como sus debilidades, amenazas, fortalezas y oportunidades que nos puedan afectar.

6. Partes interesadas
Su análisis ayuda a comprender sus necesidades y expectativas, y son:

  • Proveedores de servicios de información y de equipamientos de Tecnologías de la Información (TICs).
  • Clientes, poniendo especial cuidado en la gestión de datos de protección personal.
  • Fuerzas de seguridad de cada estado y autoridades jurídicas para tratar los aspectos legales. 
  • Participación en foros profesionales. 
  • La sociedad en general.

7. Fijación y medición de objetivos

Es necesario fijar unos objetivos para la gestión de riegos, los cuales deben:

  • Poder ser medibles, aunque no es necesario que sean cuantificables
  • Ser eficientemente comunicados al conjunto de los empleados de la empresa
  • Poseer las competencias necesarias en materia de seguridad de la información
  • Estar asociado a unos indicadores que permitan realizar un seguimiento del cumplimiento de las actividades.

8. Proceso documental
Esta cuestión es fundamental para la obtención de la certificación. La documentación puede ser presentada en diversos formatos:

  • Documentos en papel, archivos de texto
  • Hojas de cálculo
  • Archivos de vídeo o audio, etc. 

Pero en cualquier caso constituye un marco de referencia fundamental y debe estar lista en todo momento para que pueda ser consultada.

9. Auditorías internas y externas

Para garantizar el correcto funcionamiento y mantenimiento de un SGSI basado en la norma ISO 27001, se hace necesario llevar a cabo auditorías internas cada cierto tiempo para poder comprobar que el sistema se encuentra en un estado idóneo. Y a través de una externa se les da la certificación.

Tipos de auditoría interna

  • Gestión: Donde se supervisa el liderazgo, el contexto, etc.
  • Controles: En este caso se auditan los 113 controles, normalmente se realiza por personal más experto y puede realizarse en años distintos.

Referencias

ISO. (2013). ISO 27001 Sistema de Gestión de la Seguridad de la Información. Obtenido de http://www.iso27000.es/download/doc_sgsi_all.pdf
ISOTools. (2013). ISO 27001 Aspectos clave de su diseño e implantación. Obtenido de https://www.isotools.org/pdfs-pro/iso-27001-sistema-gestion-seguridad-informacion.pdf



Comentarios

Publicar un comentario

Entradas populares de este blog

"Solo una cosa vuelve un sueño imposible: el miedo a fracasar" - Paulo Coelho

Imagen
Mi nombre es Yolanda Pallo y soy estudiante de la Escuela Superior Politécnica de Chimborazo. Es un gusto para mí poder ayudarlos en temas relacionados con la auditoría de sistemas informáticos. C omo introducción, lo que esta  auditoría busca, es evaluar que los sistemas informáticos de la empresa se gestionen con eficiencia y eficacia, cumpliendo con las normativas legales y de la organización, de forma que ayuden a la empresa en la consecución de sus objetivos. Espero que el contenido sirva para aprender o mejorar juntos nuestros conocimientos.
Leer más