jueves, 10 de marzo de 2022

ISO 27001: PILARES FUNDAMENTALES DE UN SGSI

El estándar ISO 27001 establece todos los requisitos necesarios a la hora de implementar un Sistema de Gestión de Seguridad de la Información (SGSI) en cualquier tipo de empresa.
La parte más importante de una empresa es la información. Evidentemente, la empresa contará con otro tipo de activos que también tendrán una destacada importancia, pero si la organización tiene algún problema en la Seguridad de la Información, ésta no podrá recuperarla. Esa es la principal razón por la que las empresas deben dedicar parte de su esfuerzo en garantizar la seguridad de la información corporativa.

Habitualmente, la gestión de la Seguridad de la Información en una empresa se encuentra desorganizada, por lo que no cuenta con un criterio común, es decir, cada departamento de la organización cuenta con sus propios procedimientos y políticas, que han sido constituidas sin contar con las necesidades generales de la empresa e incluso podemos hablar de que se encuentran alejadas de los objetivos del negocio.

Implementar un Sistema de Gestión de Seguridad de la Información basado en la norma ISO 27001 es la manera más eficiente de poder conseguir la coordinación y gestión necesaria para alcanzar los objetivos de la organización y además puede conseguir que la organización salga mucho más reforzada.

Un Sistema de Gestión de Seguridad de la Información según la ISO27001 genera una garantía con la que sabemos que poder realizar una adecuada gestión de la seguridad de la información en la organización. Para ello, se debe realizar un tratamiento según los diferentes niveles de riesgos cosechados como consecuencia de considerar los distintos efectos que se pueden producir sobre la información de la organización.

El Sistema de Gestión de Seguridad de la Información según la norma ISO-27001 genera un proceso de mejora continua y de gran flexibilidad frente a los cambios que se pueden producir en la empresa refiriéndonos a los procesos de negocio y a la tecnología, ya que ésta avanza a una gran velocidad.

El SGSI se basa en tres pilares fundamentales:
  • Confidencialidad: es la garantía de acceso a la información de los usuarios que se encuentran autorizados para tal fin.
  • Integridad: es la preservación de la información completa y exacta.
  • Disponibilidad: es la garantía de que el usuario accede a la información que necesita en ese preciso momento.
El Sistema de Gestión de Seguridad de la Información tiene que tener en cuenta los tres pilares fundamentales para realizar el tratamiento de los riesgos de la organización ya que la implementación de los controles de seguridad son los activos de la organización.
El ciclo PHVA en un Sistema de Gestión de Seguridad de la Información.
Sistema de Gestión de Seguridad de la Información

Implantar un Sistema de Gestión de Seguridad de la Información se encuentra basado en la norma ISO-27001. Este estándar internacional presenta un sistema de gestión basado en el ciclo de Deming: Planificar, Hacer, Verificar y Actuar, cuyas siglas en inglés son PHVA. El ciclo Deming o ciclo PHVA, supone la implementación de un Sistema de Gestión que se centra en la mejora continua que requiere de una constate evolución para adaptarse a los cambios que se producen en la organización e intentar conseguir el mayor nivel de eficacia operativa.

Procedemos a describir todas las actividades que realizan en cada una de las cuatro fases del ciclo Deming (PHVA):
  • Planificar: durante esta fase tiene lugar la creación de un Sistema de Gestión de Seguridad de la Información, con la definición del alcance y la política de seguridad. Para comenzar debemos realizar una análisis de riesgos que refleje la situación actual de la entidad. Una vez realizado el análisis obtendremos unos resultados que definirán el plan de tratamiento de riesgos que conlleva la implementación en la empresa de unos controles de seguridad con el objetivo de mitigar los diferentes riesgos no asumidos por la dirección.
  • Hacer: durante esta fase de la implementación nos centramos en el plan de tratamiento de riesgos, es decir, su ejecución. Se debe incluir la formación y la conciencias de los trabajadores de la organización en materia de seguridad y deben conocer la definición de métricas e indicadores que se utilizarán para evaluar la eficacia de los diferentes controles implementados.
  • Verificar: esta fase conlleva la realización de diferentes tipos de revisión en los que se comprobarán la correcta implementación del Sistema de Gestión de Seguridad de la Información según ISO 27001. Para ello, se deben realizar auditorías internas independientes y objetivas, además de llevar a cabo una revisión global del Sistema de Gestión de Seguridad de la Información por la alta dirección de la empresa, persiguiendo el fin de marcarse nuevas metas a cumplir durante el próximo ciclo del SGSI.
  • Actuar: El resultado obtenido de las revisiones debe quedar reflejado en la definición e implementación de las diferentes acciones correctivas, preventivas o de mejora con las que se consigue avanzar en la consecución del Sistema de Gestión de Seguridad de la Información siendo un sistema eficaz y eficiente.
Para implementar un Sistema de Gestión de Seguridad de la Información que se deben utilizar las dos normas, es decir, la ISO 27001 en la que se describe el ciclo PHVA de gestión de sistemas y el estándar internacional ISO27002 en la que encontramos la guía de implantación de los diferentes tipos de controles de seguridad.

La norma tiene 11 dominios diferentes de controles que pretenden cubrir todos los ámbitos de una entidad donde debe existir la seguridad de la información. Los dominios se encuentran divididos en 39 objetivos de control que, a su vez, abarcan 133 controles de seguridad.

Se deben seleccionar los diferentes controles que se deben llevar a cabo para definir el plan de tratamiento de riesgos, se debe nutrir de los 133 controles que encontramos en la norma ISO 27002. El anexo A del estándar internacional ISO27001 engloba una lista con los diferentes controles que sirven de unión entre ambas normas internacionales.

SGSI

La Seguridad de la Información en las organizaciones se ha convertido en un motivo de preocupación y compromiso.

Tomado de: https://www.isotools.org/

No hay comentarios.: