ISO 27001: Las consideraciones en Seguridad de la Información

Un blog editado por ISOTools Excellence

SGSI

Blog especializado en Sistemas de Gestión
de Seguridad de la Información

cerrojo

ISO 27001: Las consideraciones en Seguridad de la Información

ISO 27001: Las consideraciones en Seguridad de la Información

ISO 27001

Sistema de Gestión de Seguridad de la Información

La norma ISO 27001 sobre la Seguridad de la Información, conseguir tener seguridad cuesta tiempo, dinero y esfuerzo. Es posible que se obtengan diferentes niveles mínimos de seguridad sin gastar de forma considerable.

Conseguir una protección adicional requiere de incrementar los niveles de gastos, obteniendo retribuciones menores. La economía es muy necesaria y es importante para asegurarse que existe una relación coste/beneficio razonable con respecto a las medidas de seguridad.

Para conseguir todo eso es necesario establecer ciertas prioridades. Éstas serían:

  • ¿Qué se desea proteger?

Es importante conocer el valor de hardware y las tareas que lleva a cabo. La valoración tiene que realizarse de forma individual, por lo que es muy valioso para algunas organizaciones, lo que no conlleva que para otras lo sea.

  • ¿De quién se quiere proteger?

Para que no se produzcan gastos innecesarios, es muy importante conocer los tipos de riesgos a los que se encuentra expuesta nuestra información. La seguridad efectiva tiene que garantizar la prevención y detectar los accidentes, ataques, daños, además deben existir diferentes medidas definidas para afrontar los desastres y conseguir establecer las actividades.

  • ¿Qué cantidad de tiempo, esfuerzo y dinero está dispuesto a invertir?

La organización debe conocer la cantidad de recursos de los que dispone a la hora de invertir en la empresa, o establecer las instancias que se deben llevar a cabo.

Los recursos son:

  • Tiempo: establece un nivel de seguridad alto resulta necesario para quien dedica su tiempo a configurar parámetros de seguridad en el Sistema de Gestión de Seguridad de la Información, el ambiente de trabajo de los usuarios, revisión y fijación de los permisos de acceso a los archivos, ejecución de programas para el monitoreo de seguridad, etc.
  • Esfuerzo: establece y mantiene un nivel adecuado de seguridad para que el esfuerzo sea por parte del encargado, sobre todo si suceden problemas de seguridad.
  • Dinero: los responsables de los Sistemas de Gestión de Seguridad de la Información cuesta el dinero. De igual manera que cuesta el dinero la adquisición de los productos de seguridad que se utilicen, bien sean programas o equipos completos.

Resulta muy importante analizar los costos que tendrán, las pérdidas o los accesos no autorizados a la información. Dependiendo de esto, y en el que caso de que se realice un acceso no autorizado, el efecto que se genera en pérdidas económicas puede poner en peligro la consecución del Sistema de Gestión de Seguridad de la Información ISO 27001.

Teniendo en cuenta lo que acabamos de decir se deben considerar ciertos planes de seguridad, como pueden ser:

  • Formular medidas suficientes para conseguir un nivel de seguridad adecuado, obteniendo un equilibrio en torno a los niveles de riesgo.
  • Justificar las medidas de seguridad en cuanto al costo que pueden suponer.

Se tiene que contar con que es prácticamente imposible conseguir que un Sistema de Gestión de Seguridad de la Información ISO 27001 sea completamente seguro, ya que se debe a que no pueden prever las amenazas aunque la seguridad se incremente a niveles muy elevados, ya que siempre hay alguna de acceder sin autorización.

Determinar de forma correcta la seguridad que debe tener se estudian dos puntos de vista diferentes: el primero constará de elementos administrativos desarrollados para obtener un buen control de la organización y el segundo está compuesto de los elementos que integran la seguridad física.

Normas obligatorias

El objetivo que persigue la Gestión de la Seguridad de la Información según ISO 27001 es realizar de forma efectiva las actividades por parte de la organización.

La Seguridad de la Información es el resultado de unir política de seguridad y procedimientos en los que se identifican, controlan y protege la información y cualquier equipamiento utilizado para almacena, transmitir y procesar la información.

Alguna persona de la dirección de la organización que tenga la autoridad apropiada debe aprobar la política de Seguridad de la Información que debe ser comunicada a todas las personas que forman parte de la organización y a los clientes que sea necesario.

Controles adecuados de seguridad deben funcionar para:

  • Implantar los requisitos de la política de seguridad de la información.
  • Gestionar los riesgos asociados al acceso del servicio o de los sistemas.

Los controles de seguridad tienen que encontrarse perfectamente documentados. Esta documentación tiene que describir los riesgos a los que se encuentren asociados los controles, y la forma de usarlos, además del manteamiento de éstos. El impacto de los cambios sobre los controles tiene que estar valorado antes de que los cambios se implementen. Los acuerdos que implican el acceso de terceras personas en el Sistema de Información y en los servicios que ofrece se debe basar en un acuerdo formal en el que se incluyan todos los requisitos de seguridad necesarios.

Los incidentes producidos en seguridad deben ser comunicados y registrados de acuerdo a los procedimientos de gestión de incidencias tan pronto como sea posible. Se deben utilizar procedimientos que aseguren que las incidencias de seguridad son investigadas, y se toman las medidas oportunas para esto.

Se deben establecer ciertos mecanismos que faciliten la cuantificación y monitorización de las incidencias, además del mal funcionamiento de la seguridad, y ofrecer entradas del plan de mejoras.

El personal que provee el servicio debe contar con roles de especialista en Seguridad de la Información, y debe estar familiarizado con la norma ISO 27001.

El proveedor del servicio debe:

  • Mantener actualizado el inventario de activos de información, ya que son necesarios para prestar los servicios necesarios.
  • Clasificar los activos según la criticidad para el servicio y el nivel de protección que se requieran, además de nombrar a un responsable de la protección.
  • Clasificar cada activo según la criticidad de éste y el nivel de protección que requiera.
  • Los responsables de la protección de los activos debe ser del propietario de los activos.

Software para ISO 27001

El estándar internacional ISO 27001, junto con todas las normas que componen su familia, generan todos los requisitos necesarios para poder implementar un Sistema de Gestión de Seguridad de la Información de una forma rápida y sencilla, además el Software ISOTools Excellence para ISO 27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa.

Seguridad de la información
1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
Cargando…

Loading Facebook Comments ...