NCh-ISO 27001: Plan de auditorías y activos de información

Un blog editado por ISOTools Excellence

SGSI

Blog especializado en Sistemas de Gestión
de Seguridad de la Información

cerrojo

NCh-ISO 27001: Plan de auditorías y activos de información

NCh-ISO 27001: Plan de auditorías y activos de información

ISO 27001

ISO 27001

El objetivo que presenta un plan de auditorías en Seguridad de la Información según el estándar internacional ISO 27001 es generar recomendaciones para las instituciones dentro del campo de las auditorías.

Dentro de la etapa 4 del PMG SSI se deben realizar revisiones del Sistema de Seguridad de la Información, aunque no tienen por qué ser obligatoriamente auditorías si es muy recomendable planificar diferentes auditorías internas a lo largo del tiempo.

Un plan de auditorías puede ser descrito con las siguientes fases:

  • La planificación del programa de auditorías.
  • La implantación del programa de auditorías.
  • La selección de los diferentes equipos que realizan las auditorías.
  • El seguimiento y revisión de dichas auditorías.
  • Mejorar el programa de auditorías.

En el siguiente grafico podemos ver como son las etapas del proceso de gestión de las auditorías:

Para poder realizar una auditoría de forma correcta se deben realizar las siguientes actividades:

  1. En primer lugar se debe definir lo que es la auditoría en sí.
  2. En segundo lugar se tiene que hacer una revisión completa de toda la documentación de la que dispone el Sistema de Seguridad de la Información.
  3. En tercer lugar hay que preparar las actividades que se van a realizar durante la auditoría in situ.
  4. Una vez finalizada la auditoría se tiene que realizar las actividades oportunas para poder realizar el seguimiento de la auditoría.

Activos de información y normativa NCh-ISO27001

Los activos de información son todos los elementos más relevantes durante la producción, el procesamiento, la emisión, el almacenaje, la comunicación, la visualización y la recuperación de la información que tenga un elevado valor para la organización.

Por todo esto debemos distinguir entre tres niveles básicos de activos de información:

  • La información propiamente dicha, que puede presentarse en diferentes formatos bien sea papel, digital, imagen, audio, etc.
  • Todos los equipos, sistemas e infraestructuras que son los que soportan la información del Sistema de Seguridad de la Información.
  • Las personas que usan la información y tienen el suficiente conocimiento para realizar los procesos necesarios.

Como los activos de información poseen un gran valor para las organizaciones es necesario que sean protegidos contra cualquier tipo de amenaza que los ponga en peligro, y que se encuentren adecuadamente protegidos es misión de las personas que integran la organización. Los requisitos que ofrece la norma ISO27001 pueden facilitar mucho la labor de proteger esta información sensible.

Para poder identificar los riesgos asociados a cada activo de información, detectar vulnerabilidades y establecer todos los controles de seguridad que sean precisos para poder mitigarlos, es necesario conocer muy bien todo lo que rodea a la esta información y las personas que la manejan.

El Sistema de Seguridad de la Información (SSI) establece ciertos controles a nivel de gestión, como pueden ser las tecnologías de la información, con el principal objetivo de garantizar que los activos de información cumplan con los requisitos necesarios para preservar las siguientes situaciones:

  • La integridad: cuando los activos de información están completos, actualizados, tienen veracidad, además no se han modificados inapropiadamente.
  • La confidencialidad: cuando los activos de información están perfectamente protegidos de usuarios que no se encuentran autorizados para revisarlos.
  • La disponibilidad: cuando todos los usuarios autorizados pueden acceder a los activos de información en el momento en que lo precisen, siendo utilizados de una forma apropiada a la hora de desempeñar sus funciones.

Todas las nuevas tecnologías que facilitan el desarrollo del conocimiento, las comunicaciones y la posibilidad de acceder libremente a muchos dispositivos, requieren de un buen sistema que permita la gestión de la Seguridad de la Información. Esto consiste en realizar las tareas necesarias para garantizar que todos los niveles exigibles en la empresa, siempre dentro del ámbito de la protección, la integridad, la confidencialidad y la disponibilidad de los activos de información.

La norma chilena NCh-ISO-27001, además de otras normas presentes en el Sistema de Seguridad de la Información (SSI), las exigencias y las recomendaciones presentan desafíos a la hora de garantizar los estándares mínimos de seguridad en la utilización, almacenamiento, acceso y distribución de dicha información, es necesario que la organización cumpla con todas las normativas que le repercuten mediante la implementación del Sistema de Seguridad de la Información (SSI).

Existe un decreto que genera un marco regulatorio en el que incorporar los mayores niveles de seguridad de la información de los servicios públicos, aunque el principal objetivo se centra en el documento electrónico para facilitar la operatividad de la organización. Como dicho documento electrónico constituye una sola parte de toda la información relevante que se tienen que proteger, el Sistema de Seguridad de la Información se puede implementar progresivamente en todos los activos de información que se encuentran asociados a los procesos de la organización, valiéndose de los requisitos que marca la NCh-ISO27001.

Software Sistema de Seguridad de la Información

El Software ISO27001 para la Seguridad de la Información se encuentra compuesta por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las organizaciones no pierda ninguna de sus propiedades más importantes. Facilita el cumplimiento de los requisitos legales que  les repercuten.

Seguridad de la información
1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
Cargando…