ISO 27001

Existe un ambiente dinámico de los riesgos en seguridad, ya que muestra continuos cambios, nuevas amenazas se desarrollan, se descubren vulnerabilidades e incidentes de seguridad que tienen grandes repercusiones. Es cuestión de tiempo que las organizaciones padezcan las consecuencias de dichas amenazas, por eso deben protegerse con la norma ISO 27001.

Lo más importante es encontrase preparado para atender ciertas incidencias, sin dejar de lado las medidas preventivas y proactivas que minimicen la probabilidad del impacto que pueda generar, además de las acciones correctivas necesarias para solventar los problemas.

Según la RAE, gestionar es realizar diligencias que conduzcan al conseguir un negocio. Con esta definición se quiere proteger la información que es fundamental para conseguir los objetivos de las organización, por lo que en el ámbito de la organización, se convierte en necesidad gestionar la seguridad de la información.

Los incidentes en seguridad se pueden generar por desconocimiento o negligencia de las personas, puede ser que sea de forma accidental o de forma deliberada (lo que supone un ataque), por esto se debe considerar la aplicación de las diferentes perspectivas para incrementar y mejorar la seguridad de la información. Una forma de conseguirlo mediante la alineación de estándares y utilizar mejores prácticas en la materia.

Se puede aplicar la norma ISO 27001 como base a dicho principio, por lo que durante este post conoceremos los dos pilares que conforman dicho documento, además de las ideas básicas plasmadas en el mismo.

El estándar internacional usado durante la gestión de la seguridad de la información es ISO 27001, en ella se representa la experiencia acumulada por los expertos en el tema. Aunque la implantación se debe realizar en función de las características, las necesidades y las condiciones de cada empresa, existen unos primeros pasos con lo que se relacional el conocimiento del documento y sus propósitos.

Queremos conocer el contenido del estándar, es decir, los pasos a seguir para realizar el proceso de  implementación. La estructura se reduce a dos elementos básicos: las cláusulas de los requisitos para que una empresa funcione de forma alineada con un Sistema de Gestión, junto con los objetivos de control y los controles de seguridad, lo que establece diferentes puntos de vista en la protección.

Pasos a seguir a la hora de trabajar con un Sistema de Gestión de Seguridad de la Información:

Lo primero que debemos considerar en el estándar son las cláusulas que definen todas las actividades necesarias para poder definir y establecer, implantar y operar, monitorear y revisar, además de mantener y mejorar un Sistema de Gestión de Seguridad de la Información ISO 27001.

La nueva versión de la norma ISO 27001 no se considera de forma explícita como un modelo de mejora constante, de forma implícita se consideran las diferentes fases que concuerdan con el Anexo SL, es decir, la estructura que utilizarán todos los estándares ISO para establecer cláusulas parecidas.

Mediante el seguimiento y la aplicación de las actividades que se definen en las 10 cláusulas, las empresas comienzan por dar forma a su Sistema de Gestión de Seguridad de la Información ISO 27001. Para que se encuentre alineada al estándar, una empresa debe cumplir con las cláusulas 4 a 10.

Para la misma edición, los requisitos comprenden elementos clave, como comprender el contexto de la empresa, las actividades que generan liderazgo de la altar dirección, el planteamiento, el soporte que establece los recursos necesarios, las competencias y la concienciación de las personas, además de operar con el SGSI, evaluar su desempeño gracias a las auditorías y las revisiones por la dirección, de forma final se mejora el sistema de gestión por medio de acciones correctivas.

Definir los objetivos de control y los controles de seguridad

El segundo elemento que conforma la estructura del estándar los objetivos de control y los controles de seguridad que son descritos en el Anexo A de la norma ISO 27001.

El estándar define un objetivo de control como el que se anuncia para describir lo que quiere conseguir, el resultado de la implantación de controles, además del control descrito como una medida que modifica el riesgo. Es importante mencionar que para modificar el riesgo, se deben tener en cuenta dos variables:

• Probabilidad: es la posibilidad de que ocurra algo.
• Impacto: son las consecuencias que pueden representar.

En mejor de los casos, un control modifica ambas variables.

El control no siempre tiene porque generar los resultados esperados, lo que se traduce en adecuarse al mismo, en sustituirlo o aplicarlo según los controles complementarios. Se pueden incluir una serie de procesos, políticas, dispositivos, prácticas u otras acciones que modifican los tipos de riesgos.

El Anexo A del estándar describe un listado de 114 controles de seguridad que se agrupan en 35 objetivos de control, que además se deben considerar 14 dominios, entre los que están las políticas y la organización respecto a la seguridad de la información, seguridad de recursos humanos, gestión de activos, control de procesos, criptografía, seguridad física, seguridad de las operaciones y de las comunicaciones.

Los dominios se consideran mediante diferentes perspectivas para proteger la información, por lo que también se incluyen objetivos de control específicos para realizar el mantenimiento, el desarrollo y la adquisición de sistemas, medidas de seguridad para relaciones con proveedores, gestión de incidencias de seguridad, continuidad de negocio y controles para el cumplimiento.

Podemos concluir con que la norma ISO 27001 presenta la siguiente estructura básica:

• En primer lugar se encuentran todas las clausulas en las que se definen los requisitos para implementar, operar, revisar y mejorar el Sistema de Gestión de Seguridad de la Información.
• En segundo lugar se encuentra el Anexo A, en el que se describen todos los controles para proteger la información.

Muchos elementos de la norma ISO 27001 son considerados con diferentes perspectivas: acciones y controles de seguridad que son aplicadas de forma previa a los incidentes, elementos proactivos como planes en caso de contingencia, seguridad ofensiva y enfoques reactivos.

El contenido que presenta la norma ISO 27001 tiene la intención de gestionar la seguridad, es decir, tomar decisiones que conduzcan hacía el propósito básico de proteger la información más importante de las empresas, al tiempo que conseguir los beneficios de alinearse a los demás estándares ISO.

Sistema de Gestión de Seguridad de la Información

El Software ISOTools Excellence para ISO 27001 para la Seguridad de la Información se encuentra compuesta por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las empresas no pierda ninguna de sus propiedades más importantes. Facilita el cumplimiento de las diferentes fases del ciclo de mejora continua.

The post ¿Por qué aplicar la norma ISO 27001? appeared first on PMG SSI - ISO 27001.

Sistema de Gestión de Seguridad de la Información

La norma ISO 27001 sobre la Seguridad de la Información, conseguir tener seguridad cuesta tiempo, dinero y esfuerzo. Es posible que se obtengan diferentes niveles mínimos de seguridad sin gastar de forma considerable.

Conseguir una protección adicional requiere de incrementar los niveles de gastos, obteniendo retribuciones menores. La economía es muy necesaria y es importante para asegurarse que existe una relación coste/beneficio razonable con respecto a las medidas de seguridad.

Para conseguir todo eso es necesario establecer ciertas prioridades. Éstas serían:

• ¿Qué se desea proteger?

Es importante conocer el valor de hardware y las tareas que lleva a cabo. La valoración tiene que realizarse de forma individual, por lo que es muy valioso para algunas organizaciones, lo que no conlleva que para otras lo sea.

• ¿De quién se quiere proteger?

Para que no se produzcan gastos innecesarios, es muy importante conocer los tipos de riesgos a los que se encuentra expuesta nuestra información. La seguridad efectiva tiene que garantizar la prevención y detectar los accidentes, ataques, daños, además deben existir diferentes medidas definidas para afrontar los desastres y conseguir establecer las actividades.

• ¿Qué cantidad de tiempo, esfuerzo y dinero está dispuesto a invertir?

La organización debe conocer la cantidad de recursos de los que dispone a la hora de invertir en la empresa, o establecer las instancias que se deben llevar a cabo.

Los recursos son:

• Tiempo: establece un nivel de seguridad alto resulta necesario para quien dedica su tiempo a configurar parámetros de seguridad en el Sistema de Gestión de Seguridad de la Información, el ambiente de trabajo de los usuarios, revisión y fijación de los permisos de acceso a los archivos, ejecución de programas para el monitoreo de seguridad, etc.
• Esfuerzo: establece y mantiene un nivel adecuado de seguridad para que el esfuerzo sea por parte del encargado, sobre todo si suceden problemas de seguridad.
• Dinero: los responsables de los Sistemas de Gestión de Seguridad de la Información cuesta el dinero. De igual manera que cuesta el dinero la adquisición de los productos de seguridad que se utilicen, bien sean programas o equipos completos.

Resulta muy importante analizar los costos que tendrán, las pérdidas o los accesos no autorizados a la información. Dependiendo de esto, y en el que caso de que se realice un acceso no autorizado, el efecto que se genera en pérdidas económicas puede poner en peligro la consecución del Sistema de Gestión de Seguridad de la Información ISO 27001.

Teniendo en cuenta lo que acabamos de decir se deben considerar ciertos planes de seguridad, como pueden ser:

• Formular medidas suficientes para conseguir un nivel de seguridad adecuado, obteniendo un equilibrio en torno a los niveles de riesgo.
• Justificar las medidas de seguridad en cuanto al costo que pueden suponer.

Se tiene que contar con que es prácticamente imposible conseguir que un Sistema de Gestión de Seguridad de la Información ISO 27001 sea completamente seguro, ya que se debe a que no pueden prever las amenazas aunque la seguridad se incremente a niveles muy elevados, ya que siempre hay alguna de acceder sin autorización.

Determinar de forma correcta la seguridad que debe tener se estudian dos puntos de vista diferentes: el primero constará de elementos administrativos desarrollados para obtener un buen control de la organización y el segundo está compuesto de los elementos que integran la seguridad física.

Normas obligatorias

El objetivo que persigue la Gestión de la Seguridad de la Información según ISO 27001 es realizar de forma efectiva las actividades por parte de la organización.

La Seguridad de la Información es el resultado de unir política de seguridad y procedimientos en los que se identifican, controlan y protege la información y cualquier equipamiento utilizado para almacena, transmitir y procesar la información.

Alguna persona de la dirección de la organización que tenga la autoridad apropiada debe aprobar la política de Seguridad de la Información que debe ser comunicada a todas las personas que forman parte de la organización y a los clientes que sea necesario.

Controles adecuados de seguridad deben funcionar para:

• Implantar los requisitos de la política de seguridad de la información.
• Gestionar los riesgos asociados al acceso del servicio o de los sistemas.

Los controles de seguridad tienen que encontrarse perfectamente documentados. Esta documentación tiene que describir los riesgos a los que se encuentren asociados los controles, y la forma de usarlos, además del manteamiento de éstos. El impacto de los cambios sobre los controles tiene que estar valorado antes de que los cambios se implementen. Los acuerdos que implican el acceso de terceras personas en el Sistema de Información y en los servicios que ofrece se debe basar en un acuerdo formal en el que se incluyan todos los requisitos de seguridad necesarios.

Los incidentes producidos en seguridad deben ser comunicados y registrados de acuerdo a los procedimientos de gestión de incidencias tan pronto como sea posible. Se deben utilizar procedimientos que aseguren que las incidencias de seguridad son investigadas, y se toman las medidas oportunas para esto.

Se deben establecer ciertos mecanismos que faciliten la cuantificación y monitorización de las incidencias, además del mal funcionamiento de la seguridad, y ofrecer entradas del plan de mejoras.

El personal que provee el servicio debe contar con roles de especialista en Seguridad de la Información, y debe estar familiarizado con la norma ISO 27001.

El proveedor del servicio debe:

• Mantener actualizado el inventario de activos de información, ya que son necesarios para prestar los servicios necesarios.
• Clasificar los activos según la criticidad para el servicio y el nivel de protección que se requieran, además de nombrar a un responsable de la protección.
• Clasificar cada activo según la criticidad de éste y el nivel de protección que requiera.
• Los responsables de la protección de los activos debe ser del propietario de los activos.

Software para ISO 27001

El estándar internacional ISO 27001, junto con todas las normas que componen su familia, generan todos los requisitos necesarios para poder implementar un Sistema de Gestión de Seguridad de la Información de una forma rápida y sencilla, además el Software ISOTools Excellence para ISO 27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa.

The post ISO 27001: Las consideraciones en Seguridad de la Información appeared first on PMG SSI - ISO 27001.

ISO 27001

Según la norma ISO 27001 la seguridad de TI comprende a todos los activos de información y como hoy en día casi todo se encuentra informatizado se extiende a casi toda la organización.

En el momento que se abra una cuenta bancaria, se efectúa el registro en un hotel, se obtiene una tarjeta de crédito, se asocia a un club, se registra en internet, etc. se obtienen datos que pueden ser mal utilizados dando lugar a ciertas vulnerabilidades.

Violar la confidencialidad de la información, por considerar sólo un aspecto, puede suponer una infracción de las obligaciones legales, como puede ser la Ley de Protección de Datos o el mantenimiento en reserva de la identidad de los donantes y receptores de órganos que establece el reglamento de Ley 24193 en Argentina.

Un ejemplo de lo que hemos hablado es la confidencialidad de las historia clínicas y los datos clínicos de los pacientes, que exponemos en el siguiente caso:

Es un recurso de amparo constitucional contra la sentencia que se dictó en la Salda de los Social del Tribunal Superior de Justicia de Cataluña.

Según los hechos declarados, la entidad demandada dispone de unos locales de empresa en los que se realizan las visitas de sus empleados facultativos de la Seguridad Social y donde se encuentran ubicados, además de todos los servicios médicos de la organización. Los servicios son prestados por cuatro médicos, tres de ellos son facultativos de un centro de salud a la misma vez que trabajadores de la entidad.

La organización cuenta con un sistema informático, con una sola base de datos, en la que existen los ficheros médicos en los que constan con los resultados de la revisiones periódicas que se realizan por los servicios médicos de la organización y las empresas médicas subcontratadas, además  como los diagnósticos médicos de todas las bajas por incapacidad temporal de los trabajadores recetadas por los facultativos de la Seguridad Social.

El fichero médico, que se encuentra individualizado, no está dado de alta como tal en la Agencia de Protección de Datos y de forma única tienen acceso a éste los facultativos y un empelado del banco, en su calidad de administrador único de informática, que se encuentra en la Jefatura de Personal, en RRHH que facilita la clave de acceso.

El empleado se dirigió de forma escrita a la entidad de crédito en la que presta sus servicios, solicitando una relación de todos los datos relativos a la salud de los trabajadores en los ficheros informáticos que posee el banco. En respuesta de dicha solicitud, el director de servicios médicos de la organización remitió al interesado los datos médicos que se referían a él y que existía en el fichero informatizado que se ha utilizado por el servicio, siendo todos las bajas temporales causadas por el trabajo, con las fechas correspondientes de alta, baja y diagnóstico, como establecen los impresos oficiales.

El empleado sigue pensando que el archivo no se encuentra dado de alta en la Agencia de Protección de Datos, por lo que no existe ningún responsable oficial del mismo y a él tiene acceso los cuatro médicos contratados por la entidad, además el trabajador del banco adscrito al área de personal que no ostenta la condición de facultativo y facilite la clave de acceso al sistema, lo que sería un atentado contra la confidencialidad de los datos.

Existe un artículo que determina que se debe dar el consentimiento del afecto para que se trate de forma automatizada de datos personales, solo que por ley se disponga lo contrario, o cuando una relación contractual dichos datos sean precisos para mantener o cumplimentar el contrato. Y ni la Ley General de Sanidad, ni las normas reglamentarias reguladores de todos los servicios médicos de la empresa y de la colaboración de las organización la Seguridad Social autorizan las creación de este tipo de fichero sin mediar el consentimiento de los afectados.

De forma única, la seguridad social puede crear este tipo de ficheros, pero cuenta con muchas limitaciones. No existe habilitación legal para crearlo, ya que solo se encuentra disponible los datos imprescindibles para cumplir con el contrato o mediante el consentimiento expreso del afectado, en este caso no fue así.

Uno de los fundamentos del fallo se indica porque la ley limita la utilización de la información con la que garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos. Agrega que la llamada “libertada informáticas” es el derecho a poder controlar la utilizar de los mismos datos que se encuentran en un programa informático y comprende la oposición del ciudadano a que determinado datos personales se utilizan para fine diferentes de aquél que justificó su obtención.

El tribunal constitucional le dio la razón al trabajador y declaró que existían diagnósticos médicos en la base de datos “absentismo con baja médica”, cuya titularidad era de la entidad. Se decidió restablecer el derecho vulnerado, y ordenó la inmediata supresión de las referencias existentes a los diagnósticos médicos contenida en la citada base de datos.

Como conclusión, podemos decir que resulta imprescindible que exista una clasificación de la información que facilita la protección de los datos personales y que sólo prevé el acceso a los datos y el tratamiento de éstos por las personas que necesitan cumplir dicha función.

Sistema de Gestión de Seguridad de la Información

El Software ISOTools Excellence para ISO 27001 se encuentra diseñado para implantar un Sistema de Gestión de Seguridad de la Información en cualquier tipo de organizaciones y, entre otros aspectos, trabajar para que la comunicación de la información sea lo más segura posible.

The post ISO 27001: ¿Cómo evitar la vulnerabilidad en la información? appeared first on PMG SSI - ISO 27001.

Sistema de Gestión de Seguridad de la Información

La norma ISO 27001 establece que una fuente de vulnerabilidad se encuentra asociada al fallo en la seguridad  del entorno no impendo que se encuentre sin autorización, lo que puede generar daños en las instalaciones de la organización y la información sensible de ésta.

Lo que puede venir dado por una falta de protección física en el edifico, puertas de entrada o ventanas, un mal uso del control en el acceso al edificio y a los despachos, una mala ubicación de los activos de información, etc.

Se pueden dar casos que pongan en evidencia la vulnerabilidad de la organización, ya que la vulnerabilidad no es un concepto estático por lo que nuevas amenazas pueden emerger con el tiempo.

Otro aspecto a tener en cuenta es considerar la necesidad de contratar un seguro que se haga cargo si llegase a suceder un incidente de seguridad. La norma ISO 27001 sugiere que no solo se contemplen las protecciones individuales, sino también las sugeridas por una repentina interrupción del servicio debido a desastres incontrolados. Las coberturas deberán amparar diferentes riesgos como pueden ser:

• Pérdidas causadas por la interrupción
• Costos adicionales por utilizar un lugar alternativo

Las vulnerabilidades pueden provenir de amenazas internas, lo que obliga a las organizaciones a realizar cambios en sus sistemas de control internos.

La norma ISO 27001 nos puede ayudar a mejorar la Seguridad de la Información en nuestras organizaciones, pero las medidas de seguridad relativas a la empresa y las de TI no son del todo nítidas. La seguridad en las organizaciones es un todo, por lo que debe existir consistencia entre los objetivos de la empresa, contando con un plan estratégico de Sistemas de Información, hasta conseguir la estructuración de todos los recursos, los flujos de información y los controles que faciliten la consecución de las metas.

Se puede identificar como vulnerabilidad la falta de una política de seguridad que facilite a la dirección de la empresa el apoyo que necesita para establecer el Sistema de Gestión de Seguridad de la Información. También podemos decir que existe cuando ésta no se encuentra plasmada en un plan que no tengan la correspondiente asignación de recursos necesarios para llevarlo a cabo o que los plazos fijados no se correspondan con la realidad.

La vulnerabilidad de algunos tipos de organizaciones es una preocupación de los organismos reguladores.

En algunas partes de la organización, de forma especial, en los departamentos de informática es necesario que las funciones se encuentren perfectamente descritas y la responsabilidad esté claramente delimitada y documentada. Es necesario que los miembros tengan conocimiento de las funciones que realizan y sus responsabilidades.

Durante los últimos años ha crecido en todas las empresas la importancia que se ha asignado al control del cumplimiento de las reglas:

• Externas: leyes, decretos, ordenanzas, etc.
• Internas: políticas, planes, prácticas y procedimientos.

La forma de implementar la norma ISO 27001 es mediante la posición del cumplimiento, como una función de dependencia del primer nivel de la empresa.

La función que realiza el responsable se encuentra ligada al ámbito de la seguridad de la información. En muchos casos se lleva a cabo un entrenamiento del personal con el fin de contribuir a concienciarlos en seguridad de la información.

Un defecto en los procedimientos durante la implantación del Sistema de Gestión de Seguridad de la Información ISO 27001 puede generar vulnerabilidades.

Una forma de proteger la información es la de utilizar una clave que cumpla cierto requisitos, para que no se pueda poner una clave demasiado sencilla para dificultar la entrada de personas no autorizadas. Además, cada cierto tiempo se debe revisar la contraseña y debe ser cambiada por otra. Todo esto irá dirigido por el responsable del SGSI.

Se ha probado la eficacia de este enfoque, ya que nadie mejor el dueño del activo para evaluarlo y tomar las medidas de seguridad necesarias.

El personal de la empresa es considerado como uno de los activos más débiles desde el punto de vista de seguridad.

La calidad de los recursos humanos influye  en la calidad de los procesos de la organización  la gestión de cada uno de los elementos fundamentales.

La vulnerabilidad inherente al personal se dará cuando:

• La selección de recursos humanos no se haga sobre elementos objetivos y no considere la formación, experiencia y niveles de responsabilidad anteriores.
• No se realicen evaluaciones periódicas comparando con otras normas y responsabilidades del puesto.
• No se identifiquen necesidades de formación al comprar experiencia contra las responsabilidades y necesidades de desarrollo personal y tecnológico de la empresa.
• No se satisfacen las necesidades de capacitar al personal.
• No existen controles que eviten cambiar la posición.
• No existen pautas para promocionar al personal en su desempeño profesional.
• Existe una alta rotación de personal y un alto índice de absentismo.
• No existen procedimientos definidos.
• Cuando se existan seguros que cubran la infidelidad del personal.

El Software ISOTools Excellence cuenta con diferentes aplicaciones que trabajan para que la Seguridad de la Información con las que cuentan las organizaciones no pierda ninguna de sus propiedades más importantes, como puede ser la integridad, la confidencialidad, etc. Además, permite implementar, mantener y mejorar el SGSI basado en la norma ISO 27001.

The post ISO 27001: ¿Cómo detectar los diferentes tipos de vulnerabilidades? appeared first on PMG SSI - ISO 27001.

ISO 27001

El principal objetivo que tiene la ISO 27001 es asegurar que la empresa tiene la suficiente capacidad como para cubrir la demanda actual y futura de su negocio.

Se debe realizar un plan de capacidad, que incluirá todas las necesidades del negocio:

• Los requisitos de rendimiento actual y futuro.
• Planificar de forma temporal todos los costes que tendrán las actualizaciones.
• Evaluar de forma anticipada todos los efectos que se generan en la capacidad de actualizar el servicio.
• Prevenir los impactos que generan cambios externos, como pueden ser legislativos.
• Los datos y procesos pueden realizar análisis predictivos.

Tenemos que realizar la identificación de métodos, procedimientos y técnicas para realizar la monitorización de los servicios que se realizan, ajustar el rendimiento y establecer una provisión de la capacidad adecuada.

Resolución de conflictos

Los objetivos de la norma ISO27001 para la resolución de conflictos debe estar basada en la prioridad que tenga. Dicha prioridad se tiene que basar en la repercusión y la urgencia. Dicha repercusión se puede basar en un nivel de daño real o potencial al negocio del cliente. La urgencia se tiene basar en el tiempo en el que se detecta un problema y el momento en que esto repercute en el negocio.

Planificar la resolución de incidencias debe contar con:

• Prioridad
• Aptitudes disponibles
• Coste de la resolución
• Tiempo empleado en gestionar la resolución

Cuando sea necesario gestionar los problemas se tiene que desarrollar y mantener soluciones que permitan la gestión de las incidencias ayudando a todos los usuarios a restaurar el servicio.

Cuando se produzca un error sólo se puede cerrar cuando se haya realizado una acción correctiva y el error deje de existir.

Para poder gestionar los problemas se debe acceder a la información sobre todas las áreas de negocio que se ven afectadas por dicho problema.

La información obtenida al realizar las soluciones se debe almacenar de forma provisional.

Plan de contingencia

Un plan de contingencia  en un Sistema de Gestión de Seguridad de la Información ISO-27001 se puede definir como: “presentación para tomar decisiones específicas cuando surja una condición que no se encuentre considerada en el proceso de planeación formal”.

Por lo que es un conjunto de procedimientos que permiten la recuperación en casos de desastres, un plan formal que describe todos los pasos que se tienen que seguir en caso de que suceda una emergencia.

Tiene diferentes fases que son:

• Antes (como un plan de respaldo)
• Durante (plan de emergencia)
• Después (plan de recuperación tras el desastre)

Según la norma ISO 27001 establecer un adecuado plan de contingencia minimiza las pérdidas en caso de desastre y facilita la reanudación de las operaciones de una forma rápida, eficaz y oportuna.

El término desastre lo podemos definir como: “Interrupción en la capacidad de acceso a la información y el procesamiento de ésta mediante equipos informáticos, necesaria para el correcto funcionamiento del negocio”.

El plan de contingencia en un Sistema de Gestión de Seguridad de la Información es un control preventivo, ya que se establece como un instrumento que facilita la prevención eventual ante un desastre.

Es muy recomendable establecer un modelo del cual partan las organizaciones que se han preocupado por su desarrollo y crecimiento, que han establecido una estructura en la empresa con una función que define la administración de riegos, con lo que se obtienen grandes resultados.

El plan de contingencia implica que se debe invertir tiempo, dinero y esfuerzo, pero su valor sólo se puede medir en caso de que suceda algún desastre.

El principal objetivo que sigue el plan de contingencia en el SGSI ISO27001 es el de mantener la compañía y las actividades operando aún en una situación de desastre, por lo que se puede habilitar una opción en la que la empresa pueda dar una respuesta rápida a los problemas críticos, por lo que se permite una pronta recuperación de la operación normal en la organización.

El plan de contingencia depende mucho de la organización, ya que de forma inevitable supondrá unos elevados gastos. Aunque por otro lado, es muy importante conocer su utilidad ya que no depende de la probabilidad de que suceda un desastre, sino de las consecuencias que éste puede tener.

Se deben considerar todas pérdidas parciales o totales en los procesamientos  de datos, y pueden venir causadas por:

• Pérdidas financieras directas
• Pérdidas financieras indirectas
• Pérdidas en la producción
• Pérdida de clientes
• Incremento de costos en apoyo
• Incremento de costos en compensación
• Pérdidas de control
• Obtener información incorrecta
• Bases de datos pérdidas

En una empresa, el plan de contingencia debe tener en cuenta dos aspectos básicos:

• Operacional: cada usuario debe saber cuándo aparece un problema y debe saber a quién tiene que llamar. El plan de contingencia debe contener a las personas encargadas de tomar decisiones si sucede un desastre.
• Administrativo: se contemplas aspectos como, definir los riesgos y los porcentajes, identificar las aplicaciones críticas, proceder a la recuperación de la información, especificar las alternativas, localizar los medios de respaldo, bases de datos que deben ser reconstruidos, localizar un software de reemplazo, localizar otro equipo de apoyo, obtener ayuda por parte de algún proveedor, generar un procedimiento que cuente con los pasos que se deben seguir durante el desastre y hasta que se vuelva a la normalidad, etc.

El plan de recuperación, según ISO-27001, debe tener las siguientes características:

• Actual
• Factible
• Entendible
• Documentado
• Probado

Software Sistema de Gestión de Seguridad de la Información

El Software ISOTools Excellence para ISO 27001 para la Seguridad de la Información se encuentra compuesta por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las empresas no pierda ninguna de sus propiedades más importantes. Facilita el cumplimiento de las diferentes fases del ciclo de mejora continua.

The post ISO 27001 ¿Cómo ayuda a una organización un plan de contingencia? appeared first on PMG SSI - ISO 27001.

ISO 27001

Según la norma ISO 27001 el personal que realiza el trabajo para asegurar la Seguridad de la Información tiene que ser competente, y esto será gracias a las capacitaciones que reciba, las habilidades con las que cuente y la experiencia adquirida a lo largo del tiempo.

El proveedor del servicio debe:

• Determinar todas las aptitudes necesarias para cada rol durante la gestión de la Seguridad de la Información.
• Tiene que asegurar que los trabajadores son conscientes de la relevancia y la importancia que tienen sus actividades en el más amplio contexto del negocio y además, de cómo contribuyen al cumplimiento de los objetivos establecidos por el Sistema de Gestión de Seguridad de la Información.
• Se deben mantener actualizados los registros en los que se incluya la educación, la formación, las habilidades y la experiencia de los trabajadores.
• Se tiene que proveer de capacitación a los empleados para satisfacer las necesidades de la organización.
• Realizar una evaluación de efectividad de todas las actuaciones que se han realizado.

La persona que provee del servicio tiene que tener en cuenta:

• Contratación: persiguiendo el objetivo de controlar la validez de todos los detalles de los diferentes candidatos a ser el responsable del Sistema de Gestión de Seguridad de la Información, además de identificar las fortalezas, debilidades y habilidades de todos los candidatos enfrentándola con la descripción del trabajo, y  teniendo en cuenta los objetivos que se ha planteado la organización.
• Planificación: persigue el objetivo de dotar a los trabajadores con nuevos servicios, nueva tecnología, nuevo personal que gestione el servicio de los equipos de desarrollo del proyecto, planificar la sucesión y rellenar todos los vacíos que se generan por la pronta rotación del personal.
• Formación y desarrollo: tiene el objetivo de identificar todos los requisitos de formación y desarrollo dentro del plan, además de promover la implementación en el momento oportuno y que sea realizado de forma efectiva.

La norma ISO27001 nos dice que el personal debe estar formado para realizar la gestión de la Seguridad de la Información, además debe realizar su trabajo en equipo y contando con habilidades de liderazgo. Se tiene que mantener un registro con la formación que se ha ofrecido a los trabajadores, en concreto a cada persona, además de una breve descripción.

Todos los factores se tienen que considerar para establecer una combinación adecuada:

• Carácter de las competencias, nuevas o modificadas: pueden ser a corto o medio plazo.
• Tasa de cambio en las competencias y las habilidades.
• Descensos y picos que se esperan en la carga de trabajo, combinándolo con las habilidades que se requieren, los datos que se deben basar en la gestión del servicio y durante la planificación de mejora del servicio.
• Disponibilidad del personal competente.
• La rotación de personal.
• Los planes de formación.

Las personas que forman parte de un Sistema de Gestión de Seguridad de la Información ISO-27001 son:

• Director del proyecto: es el mayor responsable del proyecto. Hace de enlace entre el cliente y la organización. Es el encargado de planificar los costes  y los plazos que se fijan para ejecutar y controlar el SGSI.
• Jefe de equipo: es el responsable de desarrollar las tareas que han sido asignadas al equipo, dirige a los empleados, asigna tareas, etc.
• Analista: son las personas encargadas de realizar el análisis de todos los requisitos exigidos por los clientes, además de minimizar la dificultad, conocer el resultado del análisis, etc.
• Diseñador: se encargan de realizar el diseño del proyecto que se quiere realizar. tendrán como base los análisis que se realizan por los analistas, además intentan ajustarse lo máximo posible a todas la funcionalidad y requisitos que se exigen.
• Programadores: se encargan de implantar el código fuente y el objetivo mediante el análisis y el diseño que ha sido realizado por parte del diseñador, además debe recopilar toda la información que resulte útil, manejable y sencilla para el Sistema de Gestión de Seguridad de la Información.
• Probadores de software: son los encargados de recopilar las pruebas sobre el Sistema de Gestión de Seguridad de la Información una vez se han finalizados los procesos anteriores, se deben encontrar los fallos que no hayan sido solventados y las futuras incidencias que se pueden producir durante la utilización del SGSI, además tiene que verificar que todas las funciones que se han requerido hayan sido implementadas. Los probadores, forman un grupo independiente del resto del equipo, con lo que se evita que se pueda influir de forma negativa o positiva en el informe final, consiguiendo que sea lo más imparcial posible.
• Instaladores: se encargan de instalar los softwares necesarios para que la implementación del Sistema de Gestión de Seguridad de la Información ISO 27001 se realice de forma correcta.
• Auditor interno: realizará la auditoría final del proyecto, con lo que se podrá comprobar si se ha realizado de forma correcta la implementación del SGSI ISO 27001. Se emite un informe que aporte fiabilidad y seguridad.

La estructura en la organización será la siguiente:

El jefe del proyecto es la persona que se encarga de realizar la planificación, de ejecutarla y de controlar todo el proyecto. Actuará de supervisor y será el encargado de impulsa el avance del proyecto.

En el siguiente gráfico podemos ver cómo se organiza la empresa:

Como podemos observar en el esquema, la dirección de la organización será la que tenga el control de todos los proyectos. Cada proyecto tendrá asignado un director de proyecto, que se relacionará con el cliente y atenderá todos los requisitos de éstos.

Software para SGSI

El Software ISOTools Excellence para ISO 27001 para la Seguridad de la Información se encuentra compuesta por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las empresas no pierda ninguna de sus propiedades más importantes: disponibilidad, integridad y confidencialidad.

The post ISO 27001: El SGSI en la empresa appeared first on PMG SSI - ISO 27001.

Sistema de Gestión de Seguridad de la Información

La norma ISO 27001 pretende evitar accesos no autorizados, daños e interferencias que puedan afectar a la Seguridad de la Información.

Los recursos que se pueden utilizar para tratar la información sensible para la empresa deben ubicarse en las zonas seguras dentro de un perímetro de seguridad que esté perfectamente definido, con barreras de seguridad y controles de entrada. Se debe proporcionar protección física contra los accesos que no estén autorizados. La protección tiene que ser proporcional a los riesgos identificados.

Los perímetros de seguridad se deben utilizar para proteger las áreas que contengan la información y los recursos de procesamiento de información.

Todas las pautas tienen que estar consideradas e implementadas en el lugar que sea necesario, estableciendo ciertos perímetros de seguridad físicos:

• El perímetro de seguridad tiene que quedar perfectamente definido, en lugar y fuerza, dependiendo de los requisitos de seguridad del activo de formación entre el perímetro y los resultados de la evaluación de riesgos del Sistema de Gestión de Seguridad de la Información.
• El perímetro de un edificio debe contener todos los recursos necesarios para tratar la información ofreciéndole cierta solidez física. Todos los muros externos de la zona deben ser sólidos y todas las puertas exteriores deben ser protegidas contra accesos que no estén autorizados por la organización, por ejemplo, se pueden utilizar mecanismos de control, alarmas, rejas, cierres, etc. las puertas y las ventanas tiene que estar cerradas con llave cuando se encuentren desatendidas.
• Se tiene que realizar la instalación de un área de recepción manual y otros medios de control de acceso físico a las instalaciones. El acceso se puede restringir sólo al personal que esté autorizado.
• Las barreras físicas se pueden extender, si fuera necesario, desde el suelo real al techo real evitando que se realicen entradas no autorizadas.
• Las salidas de emergencia que se encuentran en el perímetro de seguridad deben contar con alarma, ser monitoreadas y probadas con respecto a la resistencia de la pared para que tengan un nivel parecido de resistencia en concordancia con los estándares regionales, nacionales e internacionales.
• Se puede instalar Sistemas de Gestión de Seguridad de la Información adecuado a la detección de intrusos de acuerdo a los estándares regionales, nacionales o internacionales.
• Los recursos del procesamiento de la información manejada por la organización que deben separarse al ser manejadas por terceros.

La protección física se puede conseguir creando barreas físicas alrededor de la organización y utiliza los recursos necesarios para procesar la información. La utilización de muchas barreras no tiene por qué brindar protección adicional, ya que si falla una barrena no significa que la seguridad este inmediatamente comprometida.

Un área de seguridad puede ser una oficina cerrada o muchos espacios que se encuentren rodeados por una barrera continua de seguridad interna. Barrera adicional y los perímetros que controlan un acceso físico, ya que puede resultar necesario que existan entre áreas que tengan requisitos de seguridad diferentes.

Se debe considerar especial la seguridad que se ofrece a un acceso físico, ya que existen edificios donde hay múltiples organizaciones.

Controles físicos de entrada

La norma ISO27001 establece que se deben proteger las diferentes áreas mediante controles de entrada adecuados que se aseguren de que el permiso de acceso solo se ofrece al personal autorizado.

Se tiene que considerar las siguientes pautas:

• Las visitas de las áreas seguras se deben supervisar, menos que el acceso haya sido aprobado de forma previa y se tiene que realizar un registro de la fecha de entrada y salida. Las visitas solo tienen acceso para propósitos muy específicos y se autorizan proporcionalmente generando instrucciones sobre todos los requisitos de seguridad del área y los procedimientos ante emergencias.
• Se puede controlar al personal autorizado el acceso a la información sensible de la organización. Se pueden utilizar diferentes controles de autentificación, por ejemplo, tarjeas personales, etc. Tiene que quedar un registro de entradas y salidas.
• Se pueden exigir a todo el personal de la organización que porte la identificación de forma visible y deben saber que puede ser solicitada a las personas extrañas que no estén acompañadas y a cualquiera que no lleve la identificación visible.
• Se tiene que garantizar el acceso restringido de terceras personas hacia las áreas de seguridad o los recursos de los procesos de información sensible. El acceso debe ser autorizado y monitorizado por la persona responsable.
• Se debe revisar y actualizar de forma regular los derechos de acceso a las áreas de seguridad.

La seguridad física para oficinas, despachos y recursos tiene que ser asignada y aplicada.

Se deben seguir las siguientes pautas:

• Se puede tener en cuenta todas las regulaciones y los estándares de seguridad y salud.
• Hay que instalar equipos con contraseña para evitar accesos no deseados.
• Los edificios deben ser discretos y ofrecer las indicaciones oportunas.
• Los directivos y las guías telefónicas internas no deben ser fácilmente accesibles para el público externo a la organización.

Software para ISO 27001

El Software ISOTools Excellence para ISO-27001 para la Seguridad de la Información se encuentra compuesta por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las organizaciones no pierda ninguna de sus propiedades más importantes. Facilita el cumplimiento de los requisitos legales que  les repercuten.

The post ISO 27001: La seguridad física y del entorno appeared first on PMG SSI - ISO 27001.

Sistema de Gestión de Seguridad de la Información

Según la norma ISO 27001 el gobierno corporativo se puede entender como: “El proceso por el cual, el consejo de administración de una organización consigue el logro sostenido durante los objetivos, además de la protección de su patrimonio y de los intereses de todos los grupos de interés social, a quienes se les tiene que ofrecer transparencia en las prácticas de administración y control de la entidad”.

Para obtener una buena comunicación según las definiciones de los principales institutos y cuerpos que se han colegido a nivel internacional, se pueden tener en consideración las siguientes técnicas más relevantes de dicho concepto:

• El gobierno corporativo tiene que entenderse como un proceso administrativo y se tiene que tratar de forma específica.
• El gobierno corporativo es el responsable del consejo de administración de la organización.
• El principal objetivo perseguido por el gobierno corporativo es el asegurar que la organización consigue los objetivos marcados, además de proteger el patrimonio y los intereses de los grupos de interés social.
• El gobierno corporativo tiene que establecer la comunicación y la transparencia entre la administración de la organización y la responsabilidad de la dirección de la empresa.
• El gobierno corporativo tiene que defender la estrategia de la entidad y establecer los mecanismos más necesarios para establecer la evaluación. La instrumentación de la estrategia es responsabilidad de la dirección de la entidad.
• La naturaleza de las actividades realizas por el gobierno corporativo es fundamental para enfocar a la administración de conocimiento y no hacia actividades operativas.

Si vemos el contexto de la organización, tendremos una organización que conoce las relaciones de intercambio con:

• Sus trabajadores
• Sus proveedores
• Los acreedores
• Con sus clientes

La organización establece y lleva a cabo los procesos de negocio para poder administrar las relaciones, usando como línea institucional la estrategia que se ha definido por el consejo de administración.

El propio consejo de administración es responsable de ejecutar cada uno de los diferentes procesos de negocio, el proceso de gobierno corporativo, mediante el cual se define una estrategia y se evalúa el cumplimiento.  Esto se utiliza como información proporcionada por todos los procesos que desarrolla la organización como información del entorno socioeconómico.

La importancia que tiene el gobierno corporativo en un contexto mundial es reconocida por la Organización para la Cooperación y el Desarrollo Económico, que emite diferentes normativas en materia de gobierno corporativo que fue aprobado por los ministros durante la reunión de la cumbre del 26 y 27 mayo del año 1999.

La Organización para la Cooperación y el Desarrollo Económico considera que el elevado grado de cumplimiento de los principios básicos por parte de la organización según factor que cada día debe ser más considerado a la hora de decidir sobre cómo invertir, tanto localmente como internacionalmente, en el entorno caracterizado por un aumento de la sinergia entre la macroeconomía y las diferentes políticas estructuradas según las diferentes naciones.

Los flujos internacionales económicos ofrecen a las organizaciones la posibilidad de acceder a la fuente de financiación que proviene de un grupo de inversores mucho más amplio. Si lo países desean obtener el máximo provecho del mercado capital global, tener implementado un Sistema de Gestión de Seguridad de la Información según la norma ISO27001 pone a disposición los requisitos necesarios.

La Organización para la Cooperación y el Desarrollo Económico establece el marco del gobierno corporativo se encontrará sujeto a las condiciones legales y normativas, debe considerar todos los factores que pueden influenciar en la conciencia corporativa. También se reconoce que los trabajadores presentan una función determinante en la implementación del Sistema de Gestión de Seguridad de la Información ISO-27001, contribuyendo a que se obtenga el éxito y los resultados a largo plazo en la organización.

La importancia que presenta un buen Sistema de Gestión de Seguridad de la Información quedan corroboradas gracias los objetivos conseguidos por la organización.

Un aspecto que debemos destacar es que cada país se hace responsable de establecer su propio marco institucional y legal. Esto supone que se genere una gran influencia competitiva entre las naciones en la búsqueda de fuentes de financiación para desarrollar la infraestructura, la creación de empleo y el bienestar de las personas que rodean a la organización.

Un gran sistema de gobierno en la propia organización facilita el desarrollo económico de la ésta, ya que no sólo facilite que se consigan las metas y los objetivos en el Sistema de Gestión de Seguridad de la Información ISO 27001, sino que además se incluyen accionistas en la organización.

La época en los que la Tecnología de la Información (TI) era considerada como una actividad que no casaba dentro de las organizaciones quedó atrás, hoy día se ha adoptado como un elemento fundamental para el éxito de las empresas, ya que es una necesidad y una responsabilidad porque la gerencia de las organización debe actuar de manera diligente hacia éstas.

Software ISO 27001

El Software ISOTools Excellence para ISO27001 para la Seguridad de la Información se encuentra compuesta por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las empresas no pierda ninguna de sus propiedades más importantes: disponibilidad, integridad y confidencialidad.

The post ISO 27001 ¿Cómo podemos gestionar la Seguridad de la Información? appeared first on PMG SSI - ISO 27001.

Sistemas de Gestión de Seguridad de la Información

Los Sistemas de Gestión de Seguridad de la Información ISO 27001 nace de la dependencia actual de la actividades realizadas por las organizaciones y su negocio que están basados en las TIC, es decir, la seguridad de la información y los datos que son albergados y manipulados.

La norma ISO27001 ofrece todas las herramientas necesarias para administrar, monitorizar y apoyar la gestión de la seguridad en los sistemas TIC. El fin perseguido por la seguridad es mantener la confidencialidad, la integridad y la disponibilidad de la información en la que se basa el negocio de las empresas.

Ya que la seguridad es un aspecto bastante transcendente en el negocio de la empresa gestionar dicha seguridad es un proceso que se debe integrar en el resto de los procesos de la empresa y debe tener un carácter continuo, es decir, que tiene que encontrase disponible durante todo el ciclo de vida de la información, desde que se crean hasta que se destruyen.

El Sistema de Gestión de Seguridad de la Información ISO-27001 contiene todos los mecanismos para tomar la decisión más acertada sobre las medidas de seguridad que se deben implementar hasta alcanzar todos los planes previstos en caso de accidente, pasando por la administración, la atención y la supervisión diaria de toda la información perteneciente a la organización, así como de los equipos y los dispositivos que contienen dicha información.

Es una tarea que incluye a todos los administradores de seguridad y a los responsables de seguridad.

Si hablamos en líneas generales, la gestión de la seguridad a nivel organizativo incluye la definición de la estructura y las responsabilidades del equipo que han de ocuparse de toda la seguridad lógica y física. Esto comprende la definición de las diferentes política y los planes de seguridad en base a criterios de gestión de riesgos, en el que se pueden contemplar las estrategias y las actuaciones necesarias para conseguir alcanzar los diferentes niveles de seguridad establecidos por la norma ISO 27001 y las acciones que se deben llevar a acabo si sucede un incidente para recuperar la actividad, evaluar los daños, etc.

Hoy día todos estos aspectos de seguridad se encuentran estandarizados gracias a la norma ISO27001 de  Seguridad de la Información.  Se debe tener en cuenta el aspecto humano que ocasiona gran parte de los incidentes, bien sea de forma accidental o intencionada. La prevención efectiva de ser útil si no se contemplan las acciones de formación y la sensibilización que ha sido dirigida a los usuarios de las TIC.

Las políticas y los planes de seguridad derivan en actividades que realizan las medidas de control oportunas, la supervisión, la atención a los usuarios, etc. esto es responsabilidad de la administración de seguridad de la empresa o en su defecto de los administradores del sistema propiamente dicho.

Existen diferentes productos en el mercado para llevar a cabo las actividades, los hay dedicados a realizar la detección de diferentes vulnerabilidades y los que realizan todo tipo de auditorías preventivas y después de que se produzca cualquier tipo de incidente en la seguridad.

Existen otro tipo de equipos como son la seguridad perimetral y la protección del puesto del trabajo que tiene asociados diferentes mecanismo particulares para poder realizar su gestión. Además también conocemos los servicios de seguridad gestionada que son relativos a la temática de las diferentes publicaciones.

Para poder realizar la gestión de la seguridad, la norma ISO-27001 nos dice que son necesarios ciertos productos de las siguientes categorías:

• Auditoría técnica y forense
• Contingencia y continuidad
• Controlar el tráfico de red
• Cumplir con la legalidad y la normativa
• Gestionar los eventos
• Gestionar la identidad

Las herramientas hacen posible que se ponga en práctica el Sistema de Gestión de Seguridad de la Información ISO 27001, tanto por la parte técnica como por la parte organizativa.

Todas las categorías de los servicios que tienen alguna relación con la gestión de la seguridad son las siguientes:

• Auditoría técnica
• Contingencia y continuidad de negocio
• Formación
• Gestión de incidentes y accidentes
• Implementación y certificación de normativa

Estar certificado bajo la norma ISO27001 hace que se cumplan todos los requisitos de seguridad que establezca la organización y la legislación. En el mercado en el que nos encontramos, cada día más globalizado, en el que las empresas tienen que competir en mercados que abastecen a todos el mundo.

Cada día son más las organizaciones que se encuentran certificadas bajo la ISO-27001, lo que hace que se fomenten todas las actividades de protección en la información de las empresas, incrementándose la seguridad de la información, la imagen de la organización y la confianza de los clientes.

España es el segundo país de Europa y el sexto del mundo en número de certificados en Seguridad de la Información ISO 27001.

Software ISO 27001

El Software ISOTools Excellence  ISO27001 facilita la implementación de un Sistema de Seguridad de la Información en las organizaciones comprometidas con la seguridad de sus activos. Desde ISOTools queremos facilitar la ardua labor que supone la implementación, mantenimiento y mejora continua que supone dicho sistema de gestión. Además se encuentra compuesta por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las empresas no pierda ninguna de sus propiedades más importantes: disponibilidad, integridad y confidencialidad.

The post ¿Cómo gestionar la seguridad según ISO 27001? appeared first on PMG SSI - ISO 27001.

Sistema de Gestión de Seguridad de la Información

Las organizaciones, cada día se enfrentan a demandas en la rentabilidad, la calidad y la seguridad que estimulan el desarrollo sostenible. La norma ISO 27001 ayuda a establecer un Sistema de Gestión de Seguridad de la Información eficiente que permite convertir estas presiones en una ventaja competitiva frente a otras organizaciones del mismo sector.

Las empresas para poder hacer frente a todos los retos a los que se enfrentan cada día, tienen que desarrollar procesos y estándares que midan y cumplan con dichos estándares que integran todos los principios de negocio en los Sistemas de Gestión. Algunas organizaciones utilizan el Sistema de Gestión de Seguridad de la Información basado en la norma ISO27001.

Aunque muchas organizaciones no sacan el máximo provecho a su Sistema de Gestión de Seguridad de la Información porque son percibidos como un instrumento que solo mantiene el status quo, y no lo utilizan como medio para gestionar el cambio en la organización y el camino hacia la mejora.

Un Sistema de Gestión de Seguridad de la Información según ISO-27001 eficaz,  tiene que generar valor añadido a las organizaciones, ya que les permiten hacer mejor las cosas, es decir, de una forma mucho más económica y más rápida.

Implementar un Sistema de Gestión de Seguridad de la Información ISO 27001 ofrece la oportunidad de optimizar las áreas, dentro de la organización, relacionadas con la información que más le importan a la alta dirección de la empresa.

Existen muchos motivos diferentes por lo que las organizaciones buscan estar certificados bajo ISO27001 por un organismo de certificación independiente. La certificación facilita la comercialización de los productos que ofrece la organización.

Las compañías buscan poder evaluar y certificar su Sistema de Gestión de Seguridad de la Información para poder evidenciar el cumplimiento de los requisitos que ofrece la norma ISO-27001. El motivo más evidente puede ser, que la alta dirección de la organización viera que se produce un valor añadido si una tercera persona, reconocida, audita su SGSI y evidencia que está capacitado para obtener un certificado.  La alta dirección tiene que anticiparse y no debe permitir que se produzcan incidentes contra su información más valiosa por no tener el suficiente control, esto afectaría al valor de la marca de la empresa.

Todas las organizaciones se encuentran bajo el cómputo de terceras partes. Es necesario que la forma en las que se gestiona la seguridad en la organización sea lo más transparente posible, ya que algunas organizaciones deben hacerse cargo de ciertas denuncias por estos temas.

La comunicación sobre cómo gestionar el riesgo es la clave para ganarse la confianza del entorno a la organización. Implementar y certificar un Sistema de Gestión de Seguridad de la Información ISO27001 significa comunicarse con las partes interesadas en el entorno, teniendo en cuenta el compromiso en mejora continua. Validar la ayuda externa de la organización mejora mucho las estrategias seguidas por las organizaciones.  Elegir el organismo certificador adecuado, garantiza que se realice una validación objetiva del Sistema de Gestión.

La norma ISO-27001 acoge un proceso que está enfocado en establecer, implementar, revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información en la organización.

La norma ISO 27001 ha sido establecida por ISO y es el estándar más utilizado para la certificación. Ha reemplazado a la BS 7799, ya que fue reorganizada para que se alinee a otras normas internacionales.

La norma ISO27001 se encuentra alineada a otros Sistemas de Gestión, y ayuda a la implementación y al correcto funcionamiento a la hora de integrarla con otras normas.

Las principales características de la norma ISO-27001 son:

• Armonía con otros estándares del Sistema de Gestión, como pueden ser ISO 9001 e ISO 14001.
• Continúo proceso de mejora del propio Sistema de Gestión de Seguridad de la Información.
• Se establecen todos los requisitos para la documentación y los archivos.
• Se valoran los riesgos y los procedimientos de gestión que se utilizan en el modelo de PHVA (planificar, hacer, verificar y actuar).

La norma ISO 27001 persigue un enfoque muy detallado hacía la Seguridad de la Información. Los activos necesitan proteger la información, ya sea en papel, en formato digital o los activos físicos, los empleados deben tener los conocimientos necesarios.

Se deben abordar cuestiones como pueden ser el desarrollo de la competencia del personal hasta la protección contra el fraude informático.

La norma ISO27001 facilita la protección de la información, ya que:

• Asegura la confidencialidad, ya que la información se encuentra accesible solo a ciertas personas que están autorizadas.
• Protege la integridad de la precisión y la información en su totalidad, además de los métodos utilizados durante el tratamiento de la información.
• Garantiza la disponibilidad, ya que existen usuarios que tienen acceso a la información.

Para poder obtener la certificación, por parte de un organismo certificador, lo primero que debemos tener en implementado un Sistema de Gestión de Seguridad de la Información de una forma efectiva y que cumplan con todos los requisitos que establece la norma ISO-27001.

El Software ISOTools Excellence ISO 27001 para la Seguridad de la Información se encuentra compuesta por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las organizaciones no pierda ninguna de sus propiedades más importantes. Facilita el cumplimiento de los requisitos legales que  les repercuten.

The post ¿Por qué implantar un SGSI basado en la norma ISO 27001? appeared first on PMG SSI - ISO 27001.