ISO 27001. Seguridad de la información en la entrega de servicios y planificación del sistema

ISO 27001

ISO 27001 y el resto de normas de la familia ISO 27000 se preocupan de muchos aspectos relacionados con la Seguridad de la Información, y entre esas preocupaciones nos encontramos el cómo gestionar la entrega del servicio por terceras partes, y la planificación y aceptación del sistema.

Son temas que mantienen alerta a numerosas PYMEs, y que de no llevar a cabo una buena ejecución podrían poner en peligro gran parte de la información que en ellas se maneja.

Gestión de la entrega del servicio por terceros

Las organizaciones deben llevar un elevado control de que los servicios entregados cumplen con los requisitos acordados previamente.

Si una organización tiene acuerdos firmados con terceros para realizar la entrega de servicios, es necesario que se establezcan controles de seguridad apropiados y que apoyen a ISO-27001, según la evaluación de riesgos pertinentes, para asegurar que se cumple con los niveles del servicio de entrega del sistema acordados por dicha tercera parte.

Si hubiera que ceder información sensible a terceros, la PYME habrá tenido que previamente definir unos requisitos para asegurar que no se pondrá en peligro ni la confidencialidad, ni la integridad ni la disponibilidad de la información.

Para mayor seguridad, si la entidad lo establece así, se le realizarán auditorías internas. De este modo, la organización se asegura que los terceros contratados están gestionando adecuadamente los incidentes de seguridad y que cuentan con un plan de continuidad de negocio adecuado y siguen los requisitos marcados por el Sistema de Gestión de Seguridad de la Información ISO27001.

Por último, cuando la organización efectúe cualquier tipo de cambio, como por ejemplo en la evaluación de riesgos o en las políticas y procedimientos de la empresa, que vaya a afectar a los servicios que presta la tercera parte, se deberá supervisar su implantación.

Sea cual sea el servicio que una empresa externalice, ésta debe panificar las transferencias de información que vayan a ser requeridas para garantizar que la tercera parte mantiene los niveles de seguridad necesarios.

Planificación y aceptación

Una planificación previa que garantice la disponibilidad y capacidad del sistema es necesaria para que éste funcione correctamente.

En ella hay que considerar tanto los requisitos futuros de capacidad de los sistemas como los requisitos operacionales de los nuevos sistemas.

Cada actividad requiere unos recursos, y éstos deben estar controlados y ajustados a las necesidades identificadas. Por este motivo es esencial prever los requisitos que el sistema necesita para asegurar el comportamiento que se espera de él, y por otro lado tener en cuenta las posibles nuevas actividades que puedan aparecer o actualizaciones de los sistemas ya existentes.

Los nuevos sistemas o las actualizaciones de los ya existentes no deberían ponerse en marcha sin antes haber sido aceptados formalmente. Para aceptarlos debe verificarse que se cumplen:

• Los requisitos de funcionamiento.
• Los procedimientos de recuperación y contingencia.
• El éxito de las pruebas acordadas.
• Los requisitos de seguridad.

Además, hay que tener en cuenta el efecto de instalar un nuevo sistema en el resto de sistemas y en el conjunto global de la seguridad.

Es decir, sea cual sea el sistema nuevo que se instale, la organización ha de asegurarse que no ocasionará repercusiones negativas sobre los ya existentes.

 Software para ISO 27001

El Software ISO para la Seguridad de la Información se compone de una serie de aplicaciones que, en su conjunto, trabajan para que la información que una organización maneja no pierda ninguna de sus propiedades más importantes: disponibilidad, integridad y confidencialidad.