Requisitos de seguridad según la norma ISO 27001
ISO 27001
La seguridad es algo que todas las organizaciones quieren tener, pero ninguna quiere utilizar. Pensar de esta forma puede traer muchos problemas, para obtener dicha seguridad se puede utilizar la norma ISO 27001.
A menos que el propósito del sistema se encuentre relacionado con la seguridad, los usuarios prestan poca atención de cómo se encaja la seguridad en un producto, y cómo se prueba para garantizar que funciona de forma correcta cuando sea necesario. Los sistemas críticos de un avión o un coche se accede mediante los sistemas de entretenimiento, ya que la mala interpretación de seguridad y verificación, son dos ejemplos que se han hechos públicos el año pasado.
Durante este artículo vamos a ver cómo puede ayudarte la norma ISO 27001, y como puede aclararte las ideas la implementación de un Sistema de Gestión de Seguridad de la Información, utilizando la propia empresa o facilitando a los clientes algún servicio, se debe tener en cuenta la especificación de los requisitos y la preparación de los procedimientos.
¿Qué es un requisito?
Un requisito en la norma ISO 27001 es cualquier declaración que se elabora de forma que se hace posible la utilización para evaluar el resultado. Por ejemplo, cuando usted quiere algo concreto ofrecerá más información para que los resultados sean los más próximos posible a lo que está buscando.
Para detallar los requisitos se necesita un mayor esfuerzo para definirlo y probarlo, además en algún momento se descuida este esfuerzo para evitar el incremento de los costos que resulta en una falta de información necesaria para cumplir o verificar la petición.
Especificar los requisitos de seguridad
En el apartado 14.1.1 de la norma ISO 27001 sobre el análisis de los requisitos de seguridad de la información y especificación, establece que los requisitos para proteger la información tienen que incluirse en los requisitos para el Sistema de Gestión de Seguridad de la Información. Podemos poner el siguiente ejemplo, un requisito de protección que controla el acceso de información, de acuerdo con el nivel de liquidación.
Para conseguir buenas declaraciones de requisitos, la norma ISO 27001 recomienda:
Adoptar los métodos para identificar los requisitos: las formas sistemáticas de identificación pueden prevenir algunos aspectos de ser olvidado o pasado por alto. Los ejemplos de métodos de evaluación de las políticas y reglamentos, modelar las amenazas o realizar revisiones de incidentes.
Resultados de las opiniones de las partes interesadas: las personas que mejor pueden evaluar los requisitos son los que utilizan el producto. Se tiene que elegir a diferentes personas que tienen distintos roles en la empresa.
Evaluar los requisitos según el valor de la información para el negocio: la seguridad adecuada refleja el valor de la información para el negocio. Los requisitos deben priorizarse de acuerdo con los propósitos de negocios que se encuentran destinados a protegerse.
La integración de los requisitos de gestión en las primeras etapas de un proyecto: cuanto antes se tenga en consideración la seguridad, más opciones existen de tratar las situaciones de riesgo. Se piensa en las políticas y el propio proceso de desarrollo del proyecto.
Definir los criterios para que se produzca la aceptación del producto: en algún momento se debe demostrar que lo que se propone para el sistema realmente se puede conseguir, y que los procedimientos establecidos fueron seguidos de una forma correcta. La principal recomendación es proporcionada por el control en la norma ISO 27001, se deben definir todos los parámetros de una forma clara y los resultados se deben cumplir. Estas son las bases para el desarrollo de los procedimientos de prueba y las rutinas, que se detallan en la siguiente sección.
Con una definición clara de lo que se debe esperar como resultado, usted tiene que considerar cómo asegurar su Sistema de Gestión de Seguridad de la Información cumple con los requisitos. Según la norma ISO 27001, puede utilizar Art.14.2.8 para realizar las pruebas de seguridad del SGSI, para elaborar las actividades sistemáticas para garantizar el cumplimiento de los criterios de aceptación definidos de forma previa. Más detalles que se pueden encontrar en la norma ISO 27001, que se recomiendan son:
Establecer ciertas condiciones que desencadenen en la necesidad de realizar una prueba: los nuevos sistemas tienen dicha condición, pero se debe considerar los sistemas actualizados, las nuevas versiones y los componentes, ya que las nuevas funcionalidades pueden traer riesgos para el SGSI o para el medio ambiente.
Establecer rutinas para realizar las pruebas sistemáticas: se debe establecer una rutina de actividades que se tienen que realizar con respecto a las entradas y a las salidas. De esta forma usted puede asegurarse que la prueba se repite si sucede algún error.
Utilizar diferentes niveles de prueba: las primeras pruebas que se realizan deben ser llevadas a cabo por el equipo de desarrollo, para poder comprobar que los requisitos de funcionamiento son básicos y corregir de forma rápida los errores de código más simples. Para establecer la garantía de seguridad se deben realizar pruebas independientes.
Entorno realista para el ensayo: se debe realizar el mejor para la identificación de las diferentes vulnerabilidades y la fiabilidad de la prueba. Este punto puede ser crítico cuando la prueba supone utilizar la base de datos, ya que los datos reales de las pruebas pueden suponer riesgos por sí mismos y que no se encuentren relacionados con el producto. Para minimizar esto, se deben considerar las recomendaciones para el control, evitando la utilización de la información personal o la utilización de controles específicos en el proceso de desarrollo para controlar estrictamente el acceso a dichas bases de datos.
Software ISO 27001
El estándar internacional ISO 27001, junto con todas las normas que componen su familia, generan todos los requisitos necesarios para poder implementar un Sistema de Gestión de Seguridad de la Información de una forma rápida y sencilla, además el Software ISOTools Excellence para ISO 27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa.
