¿Cuál es la idea principal al aplicar la norma 27001?

Un blog editado por ISOTools Excellence

SGSI

Blog especializado en Sistemas de Gestión
de Seguridad de la Información

cerrojo

¿Cuál es la idea principal al aplicar la norma 27001?

¿Cuál es la idea principal al aplicar la norma 27001?

norma 27001Norma 27001

Aplicar la norma 27001 tiene como principio base la Seguridad de la Información, durante este artículo nos vamos a basar en dos pilares fundamentales:

Normas de seguridad como medio para proteger la información de tu organización.

La norma ISO 27001 se utiliza de forma internacional para administrar la seguridad de la información, lo que conlleva mucha experiencia acumulada por parte de los expertos en este campo. Aunque la aplicación real tiene que realizarse de acuerdo con las características, las necesidades y las condiciones de cada empresa, uno de los primeros pasos a seguir para aplicarla es familiarizarse con el documento y sus propósitos.

Es por esto que nos debemos centrar en la comprensión del contenido de la norma 27001, como el primer paso hacia el proceso de implantación. La estructura se reduce a dos elementos básicos:

  • Cláusulas de los requisitos: para la empresa es necesario operar en alineación con un Sistema de Gestión.
  • Controles de Seguridad: implican utilizar diferentes enfoques de protección.

Norma 27001

 

Directrices a la hora de trabajar con un Sistema de Gestión de Seguridad de la Información

El primer elemento básico de la norma ISO 27001 son las cláusulas que definen todas las actividades necesarias para definir, establecer, implantar, seguir y revisar, además de mantener y mejorar el Sistema de Gestión de Seguridad de la Información.

La nueva versión de la norma 27001 no considera de forma explícita un modelo de mejora continua, las fases se analizan de forma implícita mediante el Anexo SL, es decir, una estructura utilizada por las normas ISO para establecer ciertas cláusulas.

Mediante la supervisión y la aplicación de todas las actividades que vienen definidas en las cláusulas de la norma 27001, las empresas empiezan a dar forma a un marco para ayudar a administrar la seguridad de la información. Para que se alinee con la norma ISO 27001, la empresa debe cumplir desde la cláusula 4 a la 10.

Los requisitos incluyen diferentes elementos clave, como puede ser la comprensión de la organización (contexto), las actividades que demuestren el liderazgo de la alta dirección, la planificación, el apoyo, las habilidades y el conocimiento entre las personas, la operación del Sistema de Gestión de Seguridad de la Información, evaluar su desempeño mediante las auditorías internas y las revisiones por la dirección.

Definición de los objetivos de control y controles de seguridad

El segundo elemento que compone la estructura de la norma 27001 en los objetivos de control y los controles de seguridad que se describen en el Anexo A del documento. La norma 27001 define un objetivo de control como una declaración que describe lo que se espera de los controles de seguridad de la información para conseguir que se controle el riesgo.

Es muy importante saber que para modificar el riesgo, tiene que afectar al menos a una de sus dos variables:

  • La probabilidad de que produzca
  • El impacto que puede tener.

En el mejor de los casos, un control modifica ambas variables.

Un control no siempre conduce a los resultados deseados, y resulta necesario adaptar el control, reemplazarlo o aplicar controles adicionales. En estos se pueden incluir procesos, políticas, dispositivos, prácticas, u otras acciones que modifican los riesgos.

Dentro del Anexo A de la norma ISO 27001 se describen 114 controles de seguridad que se agrupan en 35 objetivos de control, que a su vez se introducen en 14 secciones, que incluyen las políticas de seguridad de la información y de la organización, la seguridad de los recursos humanos, la gestión de activos, el control de acceso, criptografía, seguridad física, seguridad de las comunicaciones, etc.

Todas estas secciones presentan diferentes enfoques para la protección de la información, por lo que también son objetivos de control para el mantenimiento, desarrollo y adquisición de sistemas, ya que las medidas de seguridad para las relaciones con los proveedores, la gestión de incidentes, etc. son muy importantes para la organización.

Próximos pasos para la aplicar de la norma 27001

La estructura básica de la norma ISO 27001 consta de dos secciones:

  • En primer lugar, se encuentran las cláusulas que definen los requisitos para la implantación, operación, revisión y mejorar el Sistema de Gestión de Seguridad de la Información.
  • El Anexo A, que describe los controles para proteger la información.

Los dos elementos básicos sobre los que se sustenta la norma ISO 27001 incorporan diferentes enfoques:

  • Medidas de seguridad y los controles que se aplican antes de los incidentes
  • Proactivas
  • Genera una ofensiva de seguridad
  • Genera enfoques reactivos

No debemos pasar por alto otra idea muy importante de la norma 27001 relacionada con el proceso de mejora permanente. Como ya hemos mencionado, en realidad, es muy difícil de evadir todas las amenazas y los ataques que se puedan recibir, pero en el caso de que lleguen a producir una de las intenciones de la norma es corregir los errores que se hayan producido  y evitar que éstos se vuelvan a producir, mediante las lecciones aprendidas y las acciones correctivas empleadas.

Software para SGSI

El estándar internacional ISO 27001, junto con todas las normas que componen su familia, generan todos los requisitos necesarios para poder implementar un Sistema de Gestión de Seguridad de la Información de una forma rápida y sencilla, además el Software ISOTools Excellence para la norma 27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa.

Seguridad de la información
1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
Cargando...

Loading Facebook Comments ...