ISO 27001 Responsabilidades y procedimientos para cumplir con los requisitos de seguridad
Sistemas de Gestión de Seguridad de la Información
ISO 27001 pretende que la seguridad sea un elemento que resalte en la información y en sus activos dentro de cualquier organización.
La seguridad, debe estar presente a la hora de designar responsabilidades, y en cualquier procedimiento para la gestión de recursos en el tratamiento de la información.
Cualquier red de comunicación es un medio para acceder a la información, pero a su vez es un medio que la hace vulnerable.
A raíz de esto, para cumplir y respetar los requisitos de seguridad que estén definidos, es esencial instaurar procedimientos documentados de gestión de recursos para el tratamiento y comunicación de la información.
Se trata de unos documentos que serán aprobados por la dirección y que deben difundirse entre los empleados implicados en el procedimiento pertinente. Muy importante es también que cada procedimiento explique con detalle cada tarea.
ISO-27001 controla el tratamiento de la información, y cada cambio que haya en ello debe estar controlado por un procedimiento establecido referente a la gestión de cambios. Todos los sistemas de la organización se deberían someter a este control, y éste a su vez debería contemplar: identificación y registro de los cambios más significativos, planificación y pruebas de los mismos, evaluación de riesgos asociados a ellos, aprobación del cambio, comunicación a las personas interesadas del cambio, preparación de procedimientos para dar vuelta atrás y recuperación del sistema original en caso de que hubiese algún problema.
Un aspecto relevante a tener en cuenta en la gestión de los cambios es su planificación, y siempre plantearse si el cambio es necesario o no para el desarrollo del negocio, pues por ejemplo la actualización a la última versión de un software puede no ser muy necesaria para la organización y sin embargo puede poner en peligro al sistema.
Una buena recomendación para reducir el riesgo o evitar manipulaciones no autorizadas, es segregar las tareas de responsabilidad en la gestión de la información, es decir, no es aconsejable que una única persona sea la responsable de acceder y manipular un sistema sin ningún tipo de supervisión. Debe intentarse que esto se haga así o que por lo menos no sea la misma persona la encargada de autorizar y llevar a cabo la actividad.
Sea cual sea la situación, se debe utilizar un registro para una posible supervisión o para futuras auditorías.
Como último consejo para disminuir el riesgo de acceso o cambio no autorizado a la información, se debería separar los entornos de desarrollo, pruebas y producción. Ni los desarrolladores deberían tener acceso a producción, ni el entorno de pruebas debería usar los mismos datos de producción, aunque sí lo más parecido posible.
Cada usuario contará con su identificador privado para establecer responsabilidades y deberían ser distintos para el entorno de desarrollo y para el de pruebas.
En resumen para establecer responsabilidades y procedimientos para la gestión de los recursos de tratamiento de la información y afianzar las labores de ISO27001, se debe considerar:
- Documentar y mantener los procedimientos operacionales reflejados en la política de seguridad.
- Instaurar responsabilidades y procedimientos de gestión para posibilitar un control satisfactorio de los cambios en equipos y software.
- Constituir responsabilidades y procedimientos de gestión para poder aportar una respuesta rápida, eficaz y ordenada a las incidencias de seguridad.
- Establecer una política de segregación de tareas en materia de responsabilidades en la gestión de la información.
- Separar los recursos de desarrollo, pruebas y producción para impedir que ocurran problemas operacionales y cambios no deseados.
Software para ISO 27001
La Plataforma Tecnológica ISOTools está diseñada para implantar un Sistema de Gestión de Seguridad de la Información en cualquier tipo de organizaciones y, entre otros aspectos, trabajar para que la comunicación de la información sea lo más segura posible.
