ISO 27001: Establecer los objetivos para la ciberseguridad
Sistema de Gestión de Seguridad de la Información
Otros de los factores que debemos tener en cuenta a la hora de implantar la ciberseguridad en su organización, gracias al Sistema de Gestión de Seguridad de la Información basado en la norma ISO 27001, es invertir nuevos recursos y obtener mejores resultados para su organización.
Lo que se pretende, es conseguir que la inversión realizada en ciberseguridad cobre un mayor sentido, sin embargo por lo contrario es cierto, que si no se alcanzan los objetivos fijados, algo no está bien con su ciberseguridad.
Para tener claro que se consiguen las ventajas comerciales estimadas se debe establecer objetivos claros y fácilmente cuantificables.
Para poder determinar los objetivos de su ciberseguridad, se tendrán que evaluar todos los pasos planificación durante la implementación del Sistema de Gestión de Seguridad de la Información. No es solo esto, sino que cuando pase el tiempo se pueda mirar hacia atrás y obtener conclusiones básicas sobre si todo el esfuerzo empleado ha valido la pena.
Es muy importante para el resto de los integrantes de la organización redactar unos objetivos claros y concisos. Todos los miembros del cuerpo directivo tiene que saber exactamente por qué quieres impulsar dicho proyecto, los niveles gerenciales intermedios y todos los trabajadores que tendrán una visión mucho más clara de lo importante que es realizar dicho esfuerzo.
Si los trabajadores comprenden por qué el proyecto es algo tan importante, el gerente o el impulsor del proyecto tendrá muchas más posibilidades de que dicho proyecto salga a delante y sea conseguido con un enorme éxito. Sin embargo, si los empleados no aceptan la visión sobre ciberseguridad, es muy probable que se trate de evitar todo lo que se encuentre relacionado con el proyecto.
Cuando se quiere pensar en todos los objetivos fijados en ciberseguridad, siempre se tiene que comenzar por los beneficios que se definen en los pasos previos, y cuando se tengan claro dichos beneficios, la definición de los objetivos es mucho más fácil. Si ya se cuenta con un sistema para poder establecer todos los objetivos necesarios y medir su cumplimento, se tienen que incorporar objetivos de ciberseguridad a dicho Sistema de Gestión de Seguridad de la Información ISO27001. Cuantas más actividades de ciberseguridad se incluyan en las actividades diarias de la organización mejor.
Marco referencias para la implementación
Cuando se tiene claro lo que se quiere conseguir, lo siguiente que debemos hacer es definir cómo se va a llevar a cabo y esto conlleva un tiempo, no se puede realizar en una o dos semanas.
En el proyecto se verán involucrados muchas personas que formen parte de la organización, es decir, proveedores, comerciales, trabajadores, clientes, etc. por lo que esto implicará la modificación de procedimientos y responsabilidades laborales vigentes, en conclusión, un enorme trabajo.
Los marcos referenciales a la hora de implementar ciberseguridad en su organización son los siguientes:
ISO 27001
El estándar internacional ISO-27001 es una norma publicada por ISO en la que se define la implementación y la administración de un Sistema de Gestión de Seguridad de la Información. Dicha norma genera una buena base en la que poder construir la ciberseguridad, ya que genera un catálogo de 133 controles de seguridad y la flexibilidad de aplicar solo los que realmente son necesarios para la organización.
Lo más ventajoso es que define el marco de referencia en gestión para poder controlar y abordar los asuntos de seguridad consiguiendo, que la gestión de la seguridad sea parte de la gestión general de la empresa. Es la principal norma en tema de Seguridad de la Información.
COBIT
Es un marco referencial publicado por ISACA (Information Systems Audit and Control Association) se centra en la gestión TI corporativa. Se diferencia porque refleja el rol central que cuenta con la tecnología de la información en las empresas modernas. Como puede suceder en otros tipos de marcos referencias, está basada en el concepto de gestión de riesgos y la mejor características es la que genera una estrecha relación entre los objetivos estratégicos de una organización y la utilización de TI. Muchos de los auditores de Seguridad de la Información y TI se centran más en ejecutar su trabajo de auditoría.
Serie NIST SP 800
Es una serie que presenta unas cien publicaciones que tratan sobre la seguridad de TI y han sido realizadas por el Instituto Nacional de Normas y Tecnología de los EEUU. Es una biblioteca de acceso público considerada como la más completa sobre buenas prácticas y se encuentra orientada a poder establecer temas técnicos de seguridad. La SP 800 no es un documento único sino que es una serie de documentos que no se encuentra demasiado relacionados entre sí, ya que no sería recomendable utilizarla como marco referencial único para llevar a cabo la implementación, aunque las publicación de NIST SP 800 son indispensables para controlar individualmente las áreas de Seguridad de la Información.
PCI DSS
Como la anterior, también es una serie de normas realizadas por el Consejo de Normas de Seguridad de la Industria de Tarjetas de Pago (PCI SSC) lo que hace que mejore la seguridad de los datos alojados en la tarjeta de crédito. Dentro de este marco se controlan las especificaciones, las herramientas, medidas y los recursos necesarios para controlar la seguridad de los datos y la protección de dichos sistemas de pago.
Cumplir con todas las normas es casi obligatorio para cualquier tipo de organización que trabaje con los pagos de tarjeta de crédito y otros tipos de transacciones en línea, además en los EEUU se estimula la implementación de dichas normas. La certificación es diferentes, ya que solo determinadas organizaciones que tengas alguna participación en transacciones de pago con tarjetas de crédito deberán someterse a la evaluación por consultores especializados.
Software para ISO 27001
El Software ISO 27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa. Toda protección es importante, por mínima que sea, pues el mínimo descuido puede ocasionar una violación de los datos de la misma.
