La sociedad en su constante evolución y adquisición de elementos, que para sí tienen un gran valor, ha inventado variedad de mecanismos que le permiten salvaguardar elementos de gran valor o información que no debe de ser de conocimiento al público.
En su necesidad de proteger su patrimonio se ha visto obligado a diseñar todo tipo de reglas, mecanismos y elementos que le ayuden a proteger esta información.
Desde el siglo pasado la llegada de la tecnología entre la década de los 80 y los 90, la sociedad se ha visto sumergida en una constante evolución de los sistemas de seguridad informática, en donde se encuentran los nuevos métodos de guardar la información, pero entre más evoluciona la tecnología más vulnerable se vuelve está en el sistema.
Es importante tener en cuenta que una cosa es seguridad de la información y otra es seguridad informática, pues en la primera protejo la información integral del sujeto, en la segunda protejo datos dentro de un ordenador o sistema informático como tal.
Pilares de la seguridad de la información
Debido a lo anteriormente misionado salen conceptos como Seguridad de la información la cual, dentro de las normas de los Sistema de Gestión, corresponde a la ISO 27001. Esta se centra en tres pilares fundamentales, Confidencialidad, Integridad y disponibilidad, los cuales se describen así:
Confidencialidad: es prevenir la divulgación no autorizada de la información a individuos, entidades o procesos no autorizados.
Integridad: supone que la información se mantenga exacta y completa, ante accidentes o intentos maliciosos. Sólo se podrá modificar la información mediante autorización del responsable.
Disponibilidad: se debe garantizar que el sistema informático se mantenga trabajando sin sufrir ninguna degradación en cuanto a accesos. Es necesario que se ofrezcan los recursos que requieran los usuarios autorizados cuando se necesiten. La información deberá permanecer accesible a responsables autorizados.
Para poder realizar el desarrollo de este sistema es necesario intégralo con el proceso de gestión de riesgos el cual genera seguridad a las partes interesadas de la adecuada gestión de sus riesgos. El método es ponderar cada uno de los principios de acuerdo al registro o elementos a custodiar, realizar una evaluación antes de controles, luego colocar controles y nuevamente evaluar para así ubicarlo en una zona en donde no represente riesgo para la organización.
La seguridad de la información bajo la Norma internacional maneja la misma estructura, términos y definiciones por lo cual contiene la misma coexistencia frente a las demás normas conservando así el mismo enfoque de implementación estratégica para las organizaciones en cumplimiento de las normas del Sistema de Gestión de Calidad.
Estructura de numerales ISO 27001
La estructura corresponde en sus numerales así:
- Introducción: Donde encontramos generalidades y compatibilidad frente atrás normas del sistema de Gestión.
- Objetivo y Campo de Aplicación: Donde la norma específica los requisitos para la organización, implementación y mejoras en el sistema de gestión de seguridad de la información frente al contexto organizacional.
- Normas Para Consulta: cita información de donde se sacaron los documentos utilizados en la norma.
- Términos y Definiciones: Para hablar de este término lo que recurrimos es al desarrollo de la norma del literal 4 al 10, en donde encontraremos conceptos y descripciones de lo plasmado en cada literal de la norma.
- Contexto de la Organización: Es donde la organización establece los alcances de la norma a nivel interno y externo, en general el alcance de la implementación.
- Liderazgo: Es el trabajo de la alta dirección en las organizaciones donde se demuestra el liderazgo y compromiso con la implementación, se establecen las políticas y los objetivos, la integración de los procesos, los elemento que se necesitan en la implementación y cuales están disponibles dentro de la organización, el apoyo por parte del recurso humano, aquellos agentes responsables y los roles que cumplen dentro del sistema. en general esos elementos internos que ayudan a su implementación.
- Planificación: La intención con la planificación es realizar una ejecución del sistema de manera organizada, donde se puedan obtener los mejores resultados.
- Soporte: Correspondiente a la capacidad del recurso humano para interactuar con el sistema y la documentación que la respalda.
- Operación: Esta corresponde a los procesos que desarrollan las organizaciones, en cuento a control de la operación, apreciación del riesgo, planes de tratamiento, enfocado a aquello que mueve internamente a nuestra organización.
- Evaluación del desempeño: Corresponde a la evaluación de la Seguridad Informática en nuestra organización, incluyendo las metodologías del sistema, auditorías internas y externas y revisión por parte de la dirección.
- Mejora: Enfocado a las acciones que deben tomar las organizaciones frente a las no conformidades o hallazgos encontrados en el proceso de implementación, y a la mejora continua a la cual se somete la organización frente al sistema de gestión de seguridad de la información
En conclusión, la Norma de Seguridad de la Información ISO integra todos sus numerales con algunas variaciones en este caso a la Norma ISO 27001, con el fin de desarrollar toda su estrategia en los tres pilares fundamentales los cuales corresponden a la Confidencialidad, Integridad y disponibilidad, que conjunto con un sistema de riesgos, nos permite hacer nuestros sistemas de seguridad de la información menos vulnerables en las Organizaciones.
Tomado de: https://www.isotools.org