ISO 27001

ISO 27001: Selección de servicios para gestionar el SGSI

ISO 27001

SGSI

La norma ISO 27001 establece una selección de servicios para gestionar la seguridad en la organización, del catálogo de servicios se extraen las siguientes categorías:

  • Auditoría técnica
  • Contingencia y continuidad de negocio
  • Formación
  • Gestión de incidentes
  • Implementación y certificación de la norma ISO 27001

Para realizar una mejor selección de todos los servicios será necesario establecer unas recomendaciones de seguridad como medidas básicas que se deben implantar en una organización según el grado en el que el negocio soporte las TIC.

En el catálogo de productos y servicios se incluye un campo en el que se indica el tamaño de la organización al que se dirigen:

  • Micro PYME
  • Pequeña empresa
  • Mediana empresa
  • Gran empresa

Alcance de los servicios

Se puede definir el alcance de todos los servicios ofrecidos por la empresa para saber a quién van dirigidos. Podemos definir los siguientes alcances:

  • Personas
  • Empresa
  • Infraestructura
  • Información
  • Negocio

Las categorías de los servicios seleccionados para realizar la gestión de la seguridad engloban a todos los alcances, desde las personas, hasta el negocio utilizando la contingencia y continuidad de negocio, pasando por la organización con la implementación y certificación de la norma ISO 14001 y el alcance de la infraestructura y la información dentro de la categoría de auditoría técnica y gestión de incidentes.

Auditoría técnica

Las auditorías de seguridad que analizan el nivel de seguridad que existe en las diferentes infraestructuras que soportan la información y las comunicaciones en las empresas.

La información que se obtiene según las auditorías es necesaria para detectar las vulnerabilidades y las brechas de seguridad en todos los sistemas que soportan el negocio de la empresa. Toda la información disponible a la hora de tomar decisiones, diseñar planes de seguridad y actuar de forma preventiva para evitar que se produzcan incidentes en la seguridad.

Cuando se han descubierto todos los fallos en seguridad deben ser explotados por terceras personas, será necesario contar con servicios que se actualicen de forma sistemática y automatizar los sistemas y las aplicaciones para mitigar vulnerabilidades y otras muchas posibles roturas en la seguridad. Además de todos los servicios que se destinan a las auditorias, la prevención debe estar dentro de esta categoría para los servicios destinados para realizar las auditorías posteriores a un evento con lo que se establecen todas las causas que lo originaron.

Todas las subcategorías se integran en la categoría de servicios:

  • Realizar la auditoría de vulnerabilidades para servicios específicos que revisan la configuración de sistemas, infraestructuras o aplicaciones que sirvan para identificar, evaluar y solucionar todas las vulnerabilidades existentes. Se pueden realizar desde el exterior o interior de la organización. Se realiza el análisis de todas las debilidades que existen en la organización. El resultado que se ofrezca es el análisis de vulnerabilidades que se han encontrado y se clasifican según su criticidad y la forma de eliminarlas.
  • Gestionar los parches y las vulnerabilidades, son servicio que se destinan a automatizar las actualizaciones necesarias de los Sistemas de Gestión de Seguridad de la Información para evitar que se den las vulnerabilidades conocidas y existe solución.
  • Test de intrusión o PenTest, son servicios que ofrecen una simulación de ataque externos con el objeto de detectar las posibles vías de intrusión a las TIC de la empresa. En los test se detecta de forma progresiva la estructura de la red, los sistemas operativos usados, puertos y servicios abiertos, fallos en la configuración, etc. Como resultado se obtiene un informe con el que se detectan los problemas, el nivel de peligrosidad y las recomendaciones necearías para eliminarlos.
  • Hacking ético, son auditorías en las que se realizan técnicas de hackers como herramientas para realizar un análisis de seguridad en las empresas, realizando un análisis denominado caja negra. Es test parecido al test de intrusión, aunque en este caso no se conocen los detalles de las infraestructuras TIC de la organización. Con esta técnica se intenta detecta fallos en la administración de sistemas, de programación o debilidades en las comunicaciones.
  • Test de rendimiento, son servicios que se centran en comprobar la disponibilidad de las redes y los servidores web desde el punto de vista de rendimiento y fiabilidad.
  • Auditoría forense, es una auditoría muy especializada, se realiza después de que se produzca el accidente y se pretende conocer las causas que han generado dicho problema. Los resultados se pueden utilizar como pruebas judiciales.

Todos estos servicios se pueden llevar a cabo en organizaciones que tengan implementado un Sistema de Gestión de Seguridad de la Información ISO 27001 que quieran conocer todos los riesgos de seguridad en los que están expuestos como primer paso para establecer planes de mejora.

Se pueden realizar en todas las empresas que tengan una infraestructura TIC compleja como soporte del negocio.

Todos estos servicios suponen el punto de partida para subsanar los posibles agujeros o fallos de seguridad conocidos que se pueden dar en las aplicaciones, equipos, sistemas e infraestructuras TIC.

Si se produce un incidente grave los servicios de auditoría forense son necesarios para determinar que ocurrió y salvaguardar las pruebas periciales.

Software para ISO 27001

El Software ISOTools Excellence para la Seguridad de la Información se encuentra compuesta por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las empresas no pierda ninguna de sus propiedades más importantes: disponibilidad, integridad y confidencialidad.

Descargue el e-book fundamentos de gestión de Seguridad de la Información
Recibe Nuestra Newsletter
New Call-to-action
Nueva llamada a la acción
Volver arriba