ISO 27001 ¿Cómo ayuda a cumplir con la legislación?

SGSI

La norma ISO 27001 incluye todas las  herramientas que facilitan el cumplimiento de la legislación en materia de protección de datos de carácter personal y comercio electrónico, además de toda la normativa que se refiere a la gestión de riegos y el Sistema de Gestión de Seguridad de la Información.

La norma ISO27001 facilita la gestión y el control para la conformidad con la legislación de obligado cumplimiento que se aplican a la Seguridad de la Información. Se utiliza para apoyar administrativamente a la implementación de políticas de seguridad, valora activos, realiza análisis, implementar medidas de seguridad y verificar el cumplimiento de la política de seguridad. Se facilita la gestión de los diferentes registros que se asocian al cumplimiento, que se deben utilizar las indicaciones de los niveles de cumplimiento y adecuación.

Las herramientas que ofrece la norma ISO-27001 facilitan la clasificación de las siguientes categorías:

• Cumplimiento de la legislación: existen herramientas que se destinan a facilitar el cumplimiento de la legislación en materia de Seguridad de la Información que son de obligado cumplimiento dependiendo de la actividad que realiza cada organización. Por ejemplo, la Lay Orgánica de Protección de Datos, la Ley de Servicios de la Sociedad de la Información, la Ley de Propiedad Intelectual, etc. Todas estas herramientas facilitan la gestión, la automatización, el control y el seguimiento de las obligaciones legales, además de utilizar guías y método de buenas prácticas.
• Cumplimiento normativo: es la herramienta que se destina a facilitar el cumplimiento de la implementación de la normativa en materia de Seguridad de la información en las empresas. La gran mayor facilitan la adaptación a las normativas de los Sistemas de Gestión de Seguridad de la Información, que viene establecida por la norma ISO 27001. Las normas cuyo cumplimiento supervisan y gestionan otros productos son relativas a la administración y al estándar para realizar pagos mediante tarjetas de crédito. Todas estas herramientas facilitan la gestión, el seguimiento y el control del cumplimiento de la norma ISO27001.

Todos estos productos se encuentran indicados para las empresas que se encuentren obligadas a adecuarse a la legislación vigente en materia de Seguridad de la Información o bien implementar un Sistema de Gestión de Seguridad de la Información basado en gestión de riesgos que pueda aplicarse a su actividad.

La norma ISO-27001 se puede considerar que es una herramienta de prevención, mitigación, análisis, detección y aplicación de medidas para la Seguridad de la Información. Todos los productos de las categorías se utilizan para realizar un seguimiento y organizar las actuaciones en caso de incidentes de seguridad.

Se realizan informes con los datos que han sido obtenidos de los registro de actividad de los dispositivos de seguridad que se encuentran instalados en la red del área local, es decir, routers, switches, cortafuegos, etc.

La norma ISO 27001 establece el proceso de Gestión de la Seguridad en eventos organizados por la empresa, siempre que sigan los procedimientos para poder resolver los incidentes en el menor tiempo posible y con las menos consecuencias para la empresa.

Todas las herramientas de gestión se pueden clasificar según la función que realiza:

• Gestión de la Información de Seguridad (SIM): es un sistema de supervisión que persigue la función de recolección, correlación y análisis de la información de seguridad, por lo que se generan documentos que están adjuntos a los datos que se han obtenido de los dispositivos supervisados. Dichos documentos facilitan la generación de informes obteniendo una visión general de la seguridad en el entorno, facilita la detección de riesgos, revisa el cumplimiento normativo y permite la actuación en consecuencia. Facilita la gestión del ciclo de vida de la información, protegiéndola ofreciendo una mejora seguridad durante su vida útil, además garantiza la destrucción de la información una vez deja de ser útil.
• Gestión de Eventos de Seguridad (SEM): se realiza la monitorización y la gestión de eventos a tiempo real. Recoge información de todos los sistemas y los equipos a tiempo real. Mediante un monitor se puede visualizar, monitorizar y gestionar los eventos utilizando reglas para detectar situaciones anómalas.
• Gestión de Información y Eventos de Seguridad (SIEM): es un sistema que ofrece una funcionalidad añadida a SIM y SEM, es decir, recoge los registro de actividad de todos los dispositivos a largo plazo y agregan en tiempo real toda la información que ha sido recibida para facilitar la detección y actuación sobre los eventos, generando alertas, respuestas automáticas, informes, etc.

Si hablamos de la forma de distribución que tienen se suelen encontrar formados por:

• Elementos software para realizar el envío de la información desde los dispositivos monitorizados.
• Servidores dedicados a la realización de análisis y generación de informes.
• Unidades de almacenamiento.

Las organizaciones que tengan infraestructuras complejas y realicen actividades críticas para el negocio deben estar soportadas por sistemas TIC, que tiene que usar de todos estos productos para realizar una mejor supervisión de dichos sistemas, además permite una rápida actuación en caso de realizar eventos de seguridad.

La implementación de un Sistema de Gestión de Seguridad de la Información ISO27001 es muy recomendable para las empresas, que por su actividad, necesiten cumplir con ciertas normativas de seguridad. Es muy útil para verificar que se cumplan las políticas y las normativas. Además resultan útiles a la hora de generar informes que ayudan a tomar decisiones en caso de eventos de seguridad.

Software ISO 27001

El Software ISOTools Excellence para ISO 27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa. Toda protección es importante, por pequeña que sea, pues el mínimo descuido puede ocasionar una violación de los datos de la misma.