Sistema de Gestión de Seguridad de la Información

En el artículo de hoy hablaremos sobre los controles en un Sistema de Gestión de Seguridad de la Información. No obstante, antes de comenzar, vamos a recordar qué es exactamente y cuáles son las funciones de un Sistema de Gestión de Seguridad.

¿Qué es un Sistema de Gestión de Seguridad?

Un Sistema de Gestión de Seguridad de la Información o, Information Security Management System, de sus siglas en inglés, es un conjunto de sistemas y procedimientos utilizados para recopilar información diferentes fuentes para posteriormente compilarla de forma que pueda presentarse en un formato legible.

Teniendo en cuenta esta definición, un Sistema de Gestión de Seguridad de la Información (SGSI) debe cumplir las siguientes características: Confidencialidad (no revelar información a los no autorizados), Integridad (mantener la información exactamente de la forma en la que se recibió) y Disponibilidad (posibilidad de acceder a la información por los autorizados siempre que sea necesario).

Controles en un SGSI en la nube

Una vez definido lo que es un Sistema de Gestión de Seguridad de la Información basado en la norma ISO 27001:2013, pasamos a los controles de dicho sistema.

La definición y alcance de estos controles, se encuentra definido en las normas ISO 27017 e ISO 27018. Estos, hacen referencia a uno de los temas más relevantes con los que tienen que tratar los SGSI, la computación en las nubes.

La tecnología cloud o de la nube, llegó a nuestros tiempos relativamente hace poco tiempo como una tecnología disruptiva. Las facilidades de trabajo que ofrece a la hora de compartir, almacenar, acceder y trabajar con los archivos es tal, que hoy en día parece impensable poder trabajar sin ellas.

Es por eso que, al ser un repositorio de información tan utilizado, también sea el objetivo de diferentes ataques maliciosos o «hackings». Por este motivo, la necesidad de una norma encargada de maximizar la seguridad en la nube y establecer controles en la misma dio lugar a la publicación de ISO 27017 e ISO 27018.

ISO 27017 e ISO 27018

Código de práctica para los controles de seguridad de la información. Tenemos que recordar que ISO 27017, proviene de ISO 27001. Esto quiere decir que, los controles de seguridad en los que está basada, provienen de la norma ISO 27002. Sin embargo, debido al creciente uso de la tecnología de la nube, ha sido necesaria una ampliación del alcance de la norma para tratar de forma más adecuada las partes que la norma ISO 27002 no abarcaba.

Especificando aún más, debemos decir que ISO 27017 se centra de forma general en la información de los servicios en la nube, mientras que ISO 27018 intenta proteger los datos personales de la nube.

Debemos aclarar que estas dos normas son una extensión del alcance de ISO 27001 para cubrir los puntos a los que dicha norma no llega (tecnología basada en la nube).

Es por eso que, por el momento no es certificable como una norma en sí, sin embargo, se puede conseguir una acreditación que demuestre el cumplimiento de los requisitos de esta norma.

Un #SGSI debe tener confiabilidad, integridad y disponibilidad
Click To Tweet

¿Cuáles son los nuevos controles de seguridad en la nube para los Sistemas de Gestión de Seguridad de la Información?

ISO 27017 ha presentado cambios principalmente en el control de acceso siendo más restrictiva en los siguientes puntos:

• 9.2.1 Registro de usuarios y la cancelación del registro
• 9.2.2 Usuario
• 9.2.3 Gestión de acceso privilegiado
• 9.4.1 Información de restricción de acceso
• 9.4.4 Utilización de los programas de servicios públicos privilegiados

Sin embargo, ISO 27018 si ha propuesto nuevos controles de seguridad:

• Alineación de gestión de la seguridad de redes virtuales y físicas
• Roles y responsabilidades compartidas dentro de un entorno de cloud computing
• Endurecimiento de la máquina virtual
• Eliminación de los activos de los clientes de servicios cloud
• Segregación en entornos informáticos virtuales
• Seguimiento de los servicios en la nube
• La seguridad operacional

Como podemos ver, ISO 27001 es una de las normas con más predisposición al cambio. El avance de la tecnología y su constante podría implicar que encontrásemos diferentes formas de tratar la información. Por ello, siempre que se encuentren nuevas tecnologías para procesar información, será necesaria una revisión de la norma o la publicación de otra que aumente el alcance de la misma.

Software ISO 27001

Toda empresa de hoy en día trabaja con datos. Para los clientes, la privacidad de sus datos es algo fundamental. Disponer de una certificación basada en esta norma, puede suponer una gran ventaja competitiva que los clientes pueden apreciar, por lo tanto, este puede ser un motivo fundamental a la hora de elegir nuestra empresa.

Sin embargo, la implementación de la norma podría ser complicada. Para solucionar este tipo de problemas, queremos presentarle el software ISOTools Excellence, que no solo le facilitará la implementación del sistema, sino que cumplirá a la perfección con las tres características fundamentales de un SGSI: Confidencialidad, Integridad y Disponibilidad.

The post La importancia de los controles en un Sistema de Gestión de Seguridad de la Información appeared first on PMG SSI - ISO 27001.

Interrupciones de servicio TI

El ser humano siempre ha vivido con el deseo y sobre todo el miedo de que un determinado cambio climático pueda favorecer o perjudicar su modo de vida: cosechas que se echan a perder, desplazamientos imposibles de realizar o destrozos en infraestructuras y viviendas han sido algunos de los miedos más frecuentes ante cualquier suceso de este tipo.

Es evidente que en una sociedad digitalizada como en la que vive actualmente la gran mayoría del planeta, a esta serie de preocupaciones constantes se les ha sumado una de muchísimo peso: el estado de la conectividad a la red digital. Sobre todo en casos relacionados con la seguridad o la transmisión de información.

La caída de Facebook, un caso muy reciente

Aun “nos estamos recuperando” de la que ha sido reconocida oficialmente como la mayor caída de servicio de Facebook a lo largo de su historia, la cual también ha afectado a sus dos plataformas de mensajería instantánea: Messenger y WhatsApp, así como a Instagram, la famosa red social para compartir fotos.

La BBC, recogía hace uno días un interesante testimonio sobre este suceso: una diseñadora de Buenos Aires confesaba a la célebre cadena británica que la caída tuvo un impacto significativo en su compañía, ya que en esta se usaba Facebook Workplace, la versión de la red social enfocada en la comunicación interna para empresas y por tanto les era imposible comunicarse con la sede de la compañía en Nueva York.

Este tipo de fallas, hay que tener en cuenta que no siempre están relacionadas con caídas de los servidores, sino que en muchos casos, suelen ser consecuencia de ataques informáticos que tienen como objetivo suplantar identidades o robar información confidencial o personal de determinadas personas. El propio cofundador de Facebook Mark Zuckerberg ha declarado en varias ocasiones que se enfrentan constantemente a intentos de robo de información de sus usuarios. Una ardua tarea si tenemos en cuenta que la red social cuenta con al rededor de 2.300 millones de usuarios.

A pesar de que algunos medios han relacionado la caída con una sobrecarga de la base de datos, Facebook aun no ha dado muchos datos. Eso sí, descartan la posibilidad de que se trate de “un ataque de denegación de servicio”.

Lo que está claro es que esta caída ha debido de suponer un importante golpe para los ingresos que la compañía recibe por publicidad.

El software es un gran valor para las empresas actualmente y cualquier anomalía en este puede crear importantes daños. Las interrupciones de servicio TI en el negocio afectan negativamente a los tres pilares que sustentan una empresa: clientes, socios y empleados, lo que se traduce en pérdidas financieras y daños a la reputación de la empresa.

Asegurar Interrupciones de servicio TI con la implementación de la ISO 27001

La ISO 27001 es una norma internacional que posibilita asegurar, la confidencialidad e integridad de los datos y de la información, así como de los sistemas que la procesan.

Este estándar normativo permite a las organizaciones poder evaluar el riesgo y la aplicación de los controles necesarios para eliminarlos o suprimirlos.

No resulta una casualidad que Workplace, la plataforma de comunicación interna para empresas de Facebook, anunciara en octubre 2017 que habían conseguido obtener la certificación ISO 27001. Según reza un comunicado en redes sociales, la compañía pretendía demostrar la importancia que le daban a la información de los datos de sus clientes.

No cabe duda de que dicha certificación aporta tres beneficios de mucha importancia para empresas que operan con datos e información confidencial de sus usuarios:

1. Les permite asegurar que su Sistema de Gestión de Seguridad de la Información cumple con los resultados previstos.
2. Les ayuda a prevenir y reducir efectos indeseados que puedan perjudicar su imagen.
3. En el caso de que ocurra algún efecto como el que hemos analizado anteriormente, les permite analizarlo y resolverlo de una manera mucho más efectiva, consiguiendo así una mejora continua que puede ayudarles a solventar problemas de similares características en el futuro.

Aplicar la ISO-27001 a tu Sistema de Gestión de Seguridad de la Información (SGSI) significa una importante diferenciación respecto a potenciales competidores o simplemente respecto a otras empresas, mejorando así la competitividad y la imagen de una organización de cara a sus clientes.

Workplace by Facebook, certificó la #ISO27001 en octubre de 2017 con el objetivo de asegurar la protección de los datos de sus usuarios
Click To Tweet

Complementación y compatibilidad con otras normas de sistemas de gestión como la ISO 22301

Cómo bien se indica en el apartado segundo del punto introductorio de la normativa, la ISO 27001 mantiene la compatibilidad con otras normas de sistemas de gestión que hayan adoptado el anexo SL.

Esta certificación se complementaría muy bien con la de la ISO 22301 de gestión de continuidad de negocio. De esta manera se contaría con dos sistemas de gestión integrados en uno que permitiría:

• Asegurar, la confidencialidad e integridad de los datos y de la información de nuestros usuarios,
• Mantener la continuidad del funcionamiento de la plataforma mientras que se identifican y gestionan los riesgos pertinentes.

Software para ISO 27001

La solución tecnológica para la gestión de la excelencia ISOTools permitirá implantar, automatizar y mantener la a ISO 27001 para un Sistema de Gestión de Seguridad de la Información.

Con ISOTools se da cumplimiento a los requisitos basados en el ciclo PHVA (Planear – Hacer – Verificar – Actuar) para establecer, implementar, mantener y mejorar el Sistema Gestión de la Seguridad en la Información, así como se da cumplimiento de manera complementaria a las buenas prácticas o controles establecidos en ISO 27002.

ISOTools también permite aplicar los requisitos de otras normas de Seguridad de la Información como PMG SSI de los Servicios Públicos de Chile, entre otros.

Este software, permite integrar la ISO 27001 con otras normas, como ISO 9001, ISO 14001 e ISO 22301 de gestión de continuidad de negocio, de una forma sencilla gracias a su estructura modular.

The post Interrupciones de servicio TI: aseguramiento, confidencialidad e integridad de los datos appeared first on PMG SSI - ISO 27001.

ISO 27031

La norma ISO 27031 es un estándar especificado en la norma ISO 27001 de gestión de seguridad para servir como una guía para la “Gestión de la Tecnología de Información y Comunicación y obtención de Continuidad de Negocio”.

La norma ISO 27001 describe los conceptos y principios de la tecnología de información y comunicación. Además, proporciona un marco de métodos y procesos para identificar y especificar todos los aspectos para mejorar la preparación de las TIC de una empresa para asegurar la continuidad de negocio.

Las organizaciones, cada día, se enfrentan a demandas en la rentabilidad, la calidad y la seguridad que estimulan el desarrollo sostenible. La norma ISO 27001 ayuda a establecer un Sistema de Gestión de Seguridad de la Información eficiente, como podemos leer en el siguiente post ¿Por qué implantar un SGSI basado en la norma ISO 27001?

Se aplica a cualquier empresa, ya sea privada, gubernamental o no gubernamental, además no afecta el tamaño de la organización.

Por otro lado, permite medir todos los parámetros de rendimiento de una empresa, que se correlacionan de forma consistente.

En el ámbito de la aplicación de la norma ISO 27031 podemos decir que abarca todos los eventos e incidentes que se relacionan con la seguridad que puede tener un impacto en la infraestructura y los sistemas TIC. Incluye y se extiende a las prácticas de manejo de incidentes de seguridad de la información y la gestión de la planificación y preparación para las TIC y los servicios.

La norma en cuestión tiene como objetivo proporcionar la continuidad de los servicios prestados por el departamento de TI para las otras unidades de negocio. Los servicios son proporcionados por los departamentos de TI, lo que garantiza la continuidad de los procesos críticos de negocio de las organizaciones que se denominan de forma colectiva como los servicios.

La norma ISO/IEC 27031 es un estándar especificado en la norma ISO 27001
Click To Tweet

Las interrupciones en los servicios prestados a través de las infraestructuras y sistemas gestionados afectan a la continuidad de los procesos de negocio. Cuando la norma ISO 27031 es usado como una guía, permite a las organizaciones estar listas contra eventos imprevistos en un entorno cambiante y arriegado.

En cuanto a la continuidad del negocio, la norma ISO 27031 es un estándar que forma parte de la norma ISO 22301 para los Sistemas de Gestión de Continuidad de Negocio y se utiliza para asegurar la continuidad en duraciones y niveles especificados que se definen por el análisis del impacto en el negocio de los servicios de tecnología de la información y la comunicación.

La planificación de la continuidad del negocio no es suficiente sin la información y la comunicación, la disponibilidad y continuidad.

¿Por qué es la norma ISO 27031 importante para la Información y Comunicación de la Tecnología de Gestión de Continuidad?

La norma ISO 27031 es importante para la información y comunicación de la tecnología de gestión de continuidad por los siguientes motivos:

• Las organizaciones se basan de forma principal en la infraestructura de TI
• Muchas organizaciones requieren infraestructuras de información y tecnología de las comunicaciones y los sistemas de apoyo a los procesos críticos de negocio
• Apoyo a los procesos de gestión en relación con el caso de la información y la tecnología de la comunicación, la continuidad del negocio, los desastres y la intervención de emergencia
• Un plan de continuidad de negocio puede ser insuficiente si no se tiene en cuenta la disponibilidad y la continuidad de la información y la tecnología de la comunicación

En el manual de diseño del servicio IT (IT Infrastructure Library), una de las mejores aplicaciones utilizadas en este ámbito, garantiza la continuidad del servicio y explica en detalle el proceso ITSCM (servicio de gestión de la continuidad).

Se destaca que durante el proceso, los servicios críticos proporcionados por la TI como un componente integral de las unidades de negocio, cumplan las funciones fundamentales, los servicios deben tener una alta disponibilidad.

En conclusión se requiere que los departamentos de TI proporcionen la continuidad de sus servicios prestados a través de los sistemas con el fin de proporcionar la continuidad del negocio a un nivel aceptable y suficiente duración.

La continuidad del negocio aumenta la satisfacción del cliente, protege la reputación, garantiza la continuidad del servicio, cumple con las obligaciones legales y evita pérdidas financieras.

Software ISO 27001

El estándar internacional ISO 27001, junto con todas las normas que componen su familia, generan todos los requisitos necesarios para poder implementar un Sistema de Gestión de Seguridad de la Información de una forma rápida y sencilla, además el Software ISOTools Excellence para la norma ISO 27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa.

The post ¿Qué es la ISO 27031? appeared first on PMG SSI - ISO 27001.

Decreto 2242

El 24 de noviembre de 2015 se expidió el Decreto 2242, el cual establece nuevas reglas para realizar la facturación electrónica en Colombia. El decreto hace ciertos cambios en las normas que habían reglamentado la factura electrónica desde el año 1996, pero por diferentes motivos técnicos, jurídicos y culturales no se han utilizado, expedido y almacenado de facturas electrónicas por parte de las organizaciones colombianas.

Debemos resaltar que desde hace años existe un marco jurídico para realizar la factura electrónica: la ley 527 de 1999. Dicha ley introduce el concepto de “equivalente funcional”, que significa que es legal y posible reemplazar la utilización de papel con el de mensajes de datos.

Después, en el Decreto 1919 de 2007, se define la factura electrónica como el documento que soporta transacciones en la venta de bienes y servicios, y se reglamenta que para efectos fiscales se tienen que expedir, entregar, aceptar y conservar mediante los medios y los formatos electrónicos elegidos.

El proceso, según el decreto, se debe realizar mediante el proceso de facturación ya que utiliza procedimientos y tecnología de información que garantiza la autenticidad y la integración desde su expedición y el tiempo de conservación.

Desde el año 2007, se genera todo para que las organizaciones facturen de forma electrónica. Pero debido a diferentes tecnicismos, como el de exigir que las organizaciones cumplan con la norma NTC 6001 de 2008, para las organización es un proceso muy complicado y por eso poco a poco se fue adoptando.

El nuevo Decreto 2242 de 2015

El nuevo Decreto 2242 de 2015 presenta un interesante cambio en lo que se refiere a la facturación electrónica. El fundamento es casi el mismo que el de las antiguas normas, pues tiene la misma definición y conceptos. Pero trae muchos cambios, que pueden llevar a que las organizaciones se suban al concepto de factura digital.

Ya han existido diferentes regulaciones sobre la factura electrónica en #Colombia
Click To Tweet

En primer lugar, se introduce el concepto de proveedor tecnológico, el cual es la persona natural o jurídica que realiza el trabajo de facturación electrónica. Los proveedores tecnológicos que ofrezcan todos los servicios de factura electrónica, previa solicitud, serán autorizados por un plazo de cinco años.

Quien esté interesado en ser proveedor tecnológico debe contar con la certificación de la norma ISO 27001, que hace posible la implementación de un Sistema de Gestión de Seguridad de la Información. Si no cuenta con esta, debe comprometerse a obtenerla máximo dos años después de que se realice la autorización.

Las personas encargadas de realizar la facturas electrónicas, las personas que desean recibir la factura de esta forma y los proveedores tecnológicos que deben quedar registrados en el catálogo de participantes de factura electrónica, por lo que debe existir un registro con información empresarial y técnicas de las organizaciones que implementan la factura electrónica.

La factura se debe emitir en formato XML estándar, debe contar con firmas digitales que garanticen la integridad de la información y que cumplan con los requisitos que se establecen dentro del Estatuto Tributario. Por su parte, puede ser que tarde algo más de un año (2017) en disponer de forma gratuita de los usuarios de los servicios informáticos electrónicos que corresponden, con el fin de facilitar la expedición de la factura electrónica.

Simplificar la facturación

El nuevo reglamento en cuanto a la factura electrónica es un cambio muy importante para que las organizaciones comiencen a reemplazar el papel por los medio electrónicos, ahorrando mucho papel y muy dinero. El paso no se ha dado, sin lugar a dudar, por temas culturales.

El asunto no es sólo el de utilizar la infraestructura tecnológica o los servicios de la nube. El verdadero cambio consiste en buscar procesos simples para la factura digital, que de verdad optimicen los recursos de las organizaciones.

La clave del proceso de facturación son los proveedores tecnológicos, los cuales deben desarrollar soluciones tecnológicas fáciles de implantar y que cumplan con la norma ISO 27001 de seguridad de la información. Muchas organizaciones de tecnología ya cuentan con la norma ISO 27001 para realizar la facturación electrónica, y se encuentran haciendo pruebas para cumplir con la nueva legislación.

El Decreto 2242 hace comprender a los empresarios que por medio de la formación y la cultura que hace años que el papel dejo de utilizarse para todo, es la hora de dar el salto y dejar pasar la nueva tecnología que resulta tan útil para todos.

Esperemos que con el nuevo marco normativo se incremente el uso de la facturación electrónica, la cual contribuye a los procesos, como a la labor de realizar los procesos de las organizaciones eficientes y los seguros.

Software ISO 27001

El Software ISOTools Excellence para ISO 27001 para la Seguridad de la Información se encuentra compuesta por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las empresas no pierda ninguna de sus propiedades más importantes: disponibilidad, integridad y confidencialidad.

The post El Decreto 2242 de 2015 de Colombia sobre facturación electrónica appeared first on PMG SSI - ISO 27001.

ISO 27001

La norma NTP-ISO/IEC 17799 tiene el objetivo de proteger, de una forma adecuada, los activos de información que forman parte de la organización, al igual que el estándar internacional ISO 27001. Todos los activos de información tienen que ser considerados y deben tener un responsable asignado.

Se tiene que identificar los responsables para todos los activos de información importantes, y se debe asignar la responsabilidad del mantenimiento de los controles apropiados. La responsabilidad a la hora de implementar los controles de seguridad se debe delegar. Aunque la responsabilidad debe mantenerse en el propietario asignado al activo de información.

La norma ISO27001 nos dice que todos los activos de información deben ser identificados  de una forma clara y se tiene que realizar y mantener un inventario en el que aparezcan todos los activos de información importantes.

Una empresa tiene que tener identificados todos sus activos y documentados en función de su importancia. El inventario de activos tiene que incluir toda la información que resulte necesaria con el fin de recuperarse ante un desastre, en que se incluya el tipo de activo, el formato, la ubicación, la información de respaldo, la información de licencia y el valor de negocio. El inventario de activos no puede ser duplicado sin necesidad, pero debe estar completamente seguro de que el contenido se encuentra alineado a otros inventarios.

Los responsables de los activos y la clasificación de la información tienen que ser aceptada y documentada para cada uno de los activos de información. Nos basamos en la importancia del activo para mejorar su valor dentro del negocio y la clasificarlos según la seguridad que necesiten, se debe realizar una clasificación según los niveles de protección necesarios en función de la importancia de cada activo.

Sabemos que existen muchísimos tipos de activos, aunque lo más comunes son los de información, entre los que podemos incluir:

• Activos de información: son archivos, bases de datos, documentación del sistema, manuales de usuarios, material de formación, procedimientos, planes de continuidad, configuración de soporte, etc.
• Activos de software: software de aplicación, software del sistema, herramientas y programas de desarrollo, etc.
• Activos físicos: equipo de cálculo, equipo de comunicación, etc.
• Servicios: servicios de cálculo y comunicaciones, generales, etc.
• Personas
• Activos intangibles: reputación, imagen de la organización, etc.

Gracias a los inventarios de activos nos aseguramos de que se inicie una protección eficiente, aunque también se requiere para otros propósitos de la empresa, por motivos de prevención laboral, póliza de seguros y gestión financiera. Todo el proceso para crear el inventario de activos es un aspecto muy importante a la hora de gestionar los riesgos de la organización implementando un Sistema de Gestión de Seguridad de la Información ISO-27001. Una empresa tiene que identificar sus activos y el valor relativo de éstos, a esto le ayuda mucho la norma ISO 27001.

Todos los activos de información deben ser llevados por una parte asignada de la organización.

Los activos cuentan con responsables por:

• Asegurar la información y los activos que se encuentran asociados a las instalaciones de la organización.
• Defienden y revisan de forma periódica las restricciones en el acceso y las clasificaciones.

Las responsabilidades deben ser asignadas a:

• Proceso de negocios
• Conjunto bien definido de actividades
• Mitigación
• Conjunto definido de datos

Las tereas realizadas por rutina tiene que estar delegadas, como las de un vigilante que se ocupa de un activo en una base diaria, aunque la responsabilidad siempre será del propietario del activo.

En un Sistema de Gestión de Seguridad de la Información ISO27001, puede ser muy útil asignar a un grupo de activos que trabajen juntos para realizar una función particular. En este caso, el propietario del servicio es responsable de la entrega del servicio, en la que se incluyen todas las funciones de los activos a los cuales provee.

Se debe identificar una regla general, que sea aceptable, para que los activos asociados a las instalaciones del procesamiento de la información sean identificados, documentados e implantados.

Todos los trabajadores, internos o externos, y las terceras personas implicadas tienen que seguir ciertas reglas para utilizar de forma aceptable la información y los activos que se encuentran asociados a las instalaciones del procesamiento de información, en las que se incluyen:

• Las reglas mediante correo electrónico y la utilización de internet.
• Guías de uso de aparatos móviles, especialmente fuera de las instalaciones de la organización.

Todas las reglas específicas o guías, establecidas por la norma ISO-27001, tienen que estar provistas por parte gerencia de una forma relevante. Los trabajadores, contratistas y clientes que utilizan o tienen acceso a los activos de la empresa tienen que encontrarse al tanto de los límites que existen para utilizar la información de la empresa y de todos los activos que se asocian con las instalaciones de procesamiento de información y recursos. Ellos tienen que ser los responsables de utilización de cualquier recurso del procesamiento de información y de cualquier otra utilización parecida bajo su responsabilidad.

El Software ISOTools Excellence ISO 27001 para la Seguridad de la Información se encuentra compuesta por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las empresas no pierda ninguna de sus propiedades más importantes.

The post ¿Cómo clasificar los activos de seguridad en un SGSI? appeared first on PMG SSI - ISO 27001.

ISO 27001

Durante la transición de la norma ISO 27001:2005 a la nueva ISO 27001:2013 se pueden seguir diferentes estrategias de transición, de las siguientes que vamos a nombrar se puede utilizar la que mejor se adecue a la situación de cada organización:

1. Un simple “make-over”, es decir, realizar los mínimos cambios necesarios en los procesos documentados del Sistema de Gestión de Seguridad de la Información ya existentes.
2. Utilizar la transición en el Sistema de Gestión de Seguridad de la Información para realizar las mejoras necesarias, esto podría ser muy significativo para todas las organizaciones.

La transición según la primera situación se podría logar de una forma bastante rápida. Si tenemos en cuenta las mejoras de la norma ISO27001:2013 sobre su predecesor, se alienta a las empresas a que la transición se haga tan pronto como se pueda, en vez de aplazarla hasta el último momento. Sin embargo, una vez se haya realizado la planificación detallada de la transición, se pueden realizar algunas mejoras más.

Por lo que este proceso no es estático, sino que se puede modificar en función de las mejoras que se quieran ir introduciendo durante la transición. Por lo que las organizaciones pueden decidir si:

• Resaltan la oportunidad de realizar cambios de cara al futuro para obtener mejoras.
• Realizar cambios de forma inmediata con las que se verán los resultados en el momento.

El primer caso es más propio de una organización que adopta la estrategia de transición de una forma minimalista, mientras que la segunda opción es más probable que la utilice una organización que quiere usar la transición como una razón para hacer otros cambios.

Por donde comenzamos

En los dos casos, se debe buscar cual de ambos es el apropiado para tu organización, por lo que se debe realizar un análisis en el Sistema de Gestión de Seguridad de la Información existente y la nueva versión de la norma ISO-27001:2013.

Utilizaremos este análisis como base para realizar las tareas requeridas en el proyecto de transición. Se debe conocer como el Sistema de Gestión de Seguridad de la Información existente se ajusta a la nueva norma, además puede servir de ayuda identificar las áreas que cuenten con información documentada que será requerida para poder modificar la ya existente.

Los cambios en el Sistema de Gestión de Seguridad de la Información

Debemos recordar que los cambios que se generen en los documentos acutales deben quedar registrados con el fin de cumplir con la cláusula 7.5 de la norma ISO27001.

Información documentada

El término “información documentada” es un nuevo concepto que se aplica en la versión de la ISO 27001:2005 y ahora se ha modificado, se conoce como “documentos”. Durante la transición a la norma ISO 27001:2013, sólo se tiene que sustituir el término “documentos” y “registros” por el término “información documentada”. Si se hace alguna distinción, se deben reconocer los documentos en los que se encuentras las declaraciones de intenciones, ya que los registros son la evidencia de los resultados anteriores.

Política

En la norma ISO-27001:2005 encontramos un requisito necesario para establecer un Sistema de Gestión de Seguridad de la Información, es la política de seguridad.
Los requisitos de la política de seguridad de la norma ISO-27001:2013 solo se encuentran referidos a la política de Seguridad de la Información, aunque hay un requisito en el que se establece y mantienen los criterios de riesgo, y más tarde en esta misma cláusula se obliga a tener documentada la información sobre los procesos de evaluación de riesgos.
La organización ya tendrá documentada su política de seguridad con los criterios establecidos en su Sistema de Gestión de Seguridad de la Información, y desde la norma ISO 27001:2013 no se generan nombres para los documentos, una empresa tiene que decidir si mantiene la misma política en su SGSI.

Todas las personas que forman parte de la organización tienen que saber cuáles de las normas ISO-27001 se encuentra documentada y los requisitos que cumplen.

Hay otros requisitos de información documentada en la norma ISO27001:2013, la organización puede considerar como causas de la política de seguridad. Estos son:

1. Los criterios para realizar las evaluaciones de riesgos de Seguridad de la Información.
2. La política de seguridad de la organización debe estar disponible para todas las personas interesadas.
3. La política tiene que tener concordancia con las comunicaciones internas.

Evaluación de riesgos

La norma ISO-27001:2013 exige explícitamente la identificación de activos, amenazas y vulnerabilidades, como requisito previo a la identificación de riesgos. La estructura general de los requisitos es la misma que en la ISO 27001:2005 y por lo tanto el método que se ajusta a los requisitos de la ISO27001:2005.

Términos de referencia para la alta dirección

Un cambio puede ser necesario para especificar las responsabilidades.

Conciencia

Se debe realizar un cambio parar adecuar el SGSI a las nuevas cláusulas.

Auditoría interna

No hay grandes cambios en este terreno.

Revisión de Gestión

Tampoco encontramos cambios demasiado grandes, con los procedimientos antiguos puede servir.

SGSI

El Software ISO 27001 se encuentra diseñado para implantar un Sistema de Gestión de Seguridad de la Información en cualquier tipo de organizaciones y, entre otros aspectos, trabajar para que la comunicación de la información sea lo más segura posible.

The post Las estrategias seguidas en la transición de ISO 27001:2005 a ISO 27001:2013 appeared first on PMG SSI - ISO 27001.

ISO 27001

El estándar internacional ISO 27001:2013 es la primera revisión que se realiza a la norma ISO 27001. Para poder llevar a cabo la revisión de la norma tendrán en cuenta la experiencia obtenido de la práctica en la utilización del estándar internacional a lo largo de los años. Encontramos dos influencias principales, que son las que han echo que se realice la revisión.

Las principales influencias son:

• Anexo SL
• Alineación de la norma ISO-27001 con todos los principios y la orientación dada por la norma ISO 31000 de Gestión de Riesgo

The post Vídeo – Comparativa entre la ISO 27001:2013 y la ISO 27001:2005 appeared first on PMG SSI - ISO 27001.

ISO 27799

ISO 27799 proporciona las directrices que sirven de apoyo a la aplicación y a la interpretación de la informática en salud de la norma ISO/IEC 27002, ya que es un complemento de dicha norma.

La norma ISO 27999 determina un conjunto de controles específicos para la gestión de seguridad de la información aplicada a la industria sanitaria proporcionando directrices sobre las mejores prácticas.

A través de la adopción de esta norma internacional, las empresas del sector sanitario podrán asegurar un nivel mínimo de seguridad adecuado a las circunstancias de su organización. Además, va a permitir la integridad, disponibilidad y confidencialidad de la información de los pacientes.

ISO-27799 se utiliza en la información relativa a la salud en cada uno de sus aspectos, cualquiera que sea su forma de información (grabaciones sonoras, dibujos, números y palabras…), cualquiera que sea el medio a utilizar para guardarla (escritura en papel, almacenamiento electrónico…) debido a que la información tiene que estar protegida siempre adecuadamente.

La norma se preocupa por las necesidades de gestión de la seguridad de la información específicamente del sector sanitario y de sus entornos más competitivos.

Aunque la seguridad y protección de la información personal es fundamental para todas las organizaciones, instituciones, personas y gobiernos, en el sector sanitario existen unas exigencias especiales que tienen que cumplirse para garantizar la integridad, confidencialidad, auditabilidad y disponibilidad de la información de la salud personal.

Esta clase de información es considerada como una de las informaciones más confidenciales, por tanto su protección es muy importante.

Un aspecto vital es que el ciclo de vida de la información tiene que ser totalmente auditable. Además, su disponibilidad es muy significativa para que la asistencia sanitaria sea eficaz.

ISOTools, es una Plataforma Tecnológica que ayuda a las empresas pertenecientes al sector de la sanidad a conseguir la implantación, evaluación y control de la norma ISO 27799 de manera eficaz y más sencilla.

The post ISO 27799 para la industria sanitaria appeared first on PMG SSI - ISO 27001.

ISO 27035

ISO 27035 explica un enfoque de mejores prácticas destinado a la gestión de la información de incidentes de la seguridad.

Los controles de la seguridad de la información no son perfectos debido a que pueden fallar, pueden trabajar solo parcialmente o incluso, a veces, están ausentes, es decir, no están en funcionamiento. Debido a esto, los incidentes pasan debido que los controles preventivos no son totalmente eficaces o fiables.

La gestión de incidentes da lugar a que existan controles de detección y correctivas que estarán destinadas a reducir los impactos desfavorables y aprender las lecciones sobre mejoras en el SGSI.

La norma proporciona un enfoque estructurado para:

• Identificar, comunicar y evaluar los incidentes de la seguridad de la información
• Contestar, gestionar los incidentes de la seguridad de la información
• Identificar, examinar y gestionar las vulnerabilidades de seguridad de la información
• Aumentar la mejora de la continuidad de la seguridad de la información y de la gestión de los incidentes, como respuesta a la gestión de incidentes de la seguridad de la información y de las vulnerabilidades.

La orientación de la seguridad de la información en ISO-27035 se puede aplicar a todas las organizaciones, ya sean pequeñas, medianas o grandes. Además, se da orientación de forma específica para las empresas que presten servicios de gestión de incidentes de seguridad de información.

ISO-27035 constituye un proceso con cinco etapas que son claves:

• Preparase para enfrentarse a los incidentes.
• Reconocer los incidentes de seguridad de la información.
• Examinar los incidentes y tomar las decisiones sobre la forma en que se han llevado a cabo las cosas.
• Dar respuesta a los incidentes, lo que quiere decir, investigarlos y resolverlos.
• Aprender de las lecciones.

La Plataforma Tecnológica, ISOTools, facilita a las organizaciones la implantación, automatización y evaluación del estándar ISO27035.

The post ISO 27035 Gestión de incidentes de seguridad de la información appeared first on PMG SSI - ISO 27001.

ISO 27000

ISO 27000 es una agrupación de normas desarrolladas o en fase de desarrollo que facilitan un marco de gestión de la seguridad de la información aplicable a cualquier tipo de empresa, privada o publica, pequeña o grande.

El Desarrollo de la familia de normas ISO 27000 es verdaderamente una serie de estándares que oscilan entre ISO27000 a 27019 y entre 27030 a 27044.

• ISO 27000. Esta en fase de desarrollo. Contiene definiciones y términos empleados en todo la serie 27000. La aplicación de toda norma necesita un vocabulario definido claramente, que rehuya de diferentes interpretaciones de los conceptos de gestión y técnicos.
• ISO 27001. Es la principal norma de la serie. Contiene los requerimientos del SGS (Sistema de Gestión de Seguridad) de la información. Su origen es en la BS 7799-2:2002 y es el estándar por el cual se certifican por auditores los SGSI de las empresas.
• ISO 27002. Es una especie de guía de buenas prácticas que delinean los objetivos de control recomendables en la seguridad de la información. No es certificable. Contiene un anexo en el que se resume todos los controles.
• ISO 27003. Esta en fase de desarrollo. Consiste en una guía de implantación de SGSI del empleo del modelo PDCA y los requisitos de sus etapas. Su origen está en el anexo B de la norma BS 7799-2.
• ISO 27004. Esta en fase de desarrollo. Establece las técnicas aplicables para la determinación de la eficiencia de un SGSI y sus controles. Se utilizan fundamentalmente en el ciclo PDCA.
• ISO 27005. Establece los principios para la gestión del riesgo en la seguridad de la información. Diseñada para ayudar a la aplicación de la seguridad de la información en el enfoque de gestión de riesgos.
• ISO 27006. Establece los requerimientos de la acreditación de entidades auditoras y certificación de SGSI.
• ISO 27007. Esta en fase de desarrollo. Consiste en una guía para la auditoria de un SGSI.
• ISO 27011. Esta en fase de desarrollo. Es una guía de gestión de la seguridad de la información para las telecomunicaciones junto con ITU.
• ISO 27031. En fase de desarrollo. Es una guía de continuidad de negocio de la información y comunicaciones.
• ISO 27032. En fase de desarrollo. Guía vinculada a la ciber seguridad.
• ISO 27033. En fase de desarrollo. Contiene 7 partes.
• ISO 27034. En fase de desarrollo. Guía de seguridad en aplicaciones.
• ISO 27799. Norma de GSI en el sector sanitario.

ISOTools es un instrumento que lleva a cabo el proceso de implantación del SGSI, de acuerdo con el estándar ISO-27001, a través de la automatización, gestión y control del sistema.

The post Desarrollo de la familia de normas ISO 27000 appeared first on PMG SSI - ISO 27001.