jueves, 10 de febrero de 2022

NORMAS ISO DE SEGURIDAD DE LA INFORMACIÓN. CONOCIENDO LA ISO 27001

La sociedad en su constante evolución y adquisición de elementos, que para sí tienen un gran valor, ha inventado variedad de mecanismos que le permiten salvaguardar elementos de gran valor o información que no debe de ser de conocimiento al público. 

En su necesidad de proteger su patrimonio se ha visto obligado a diseñar todo tipo de reglas, mecanismos y elementos que le ayuden a proteger esta información.

Desde el siglo pasado la llegada de la tecnología entre la década de los 80 y los 90, la sociedad se ha visto sumergida en una constante evolución de los sistemas de seguridad informática, en donde se encuentran los nuevos métodos de guardar la información, pero entre más evoluciona la tecnología más vulnerable se vuelve está en el sistema.

Es importante tener en cuenta que una cosa es seguridad de la información y otra es seguridad informática, pues en la primera protejo la información integral del sujeto, en la segunda protejo datos dentro de un ordenador o sistema informático como tal.

Pilares de la seguridad de la información

Debido a lo anteriormente misionado salen conceptos como Seguridad de la información la cual, dentro de las normas de los Sistema de Gestión, corresponde a la ISO 27001. Esta se centra en tres pilares fundamentales, Confidencialidad, Integridad y disponibilidad, los cuales se describen así:

Confidencialidad: es prevenir la divulgación no autorizada de la información a individuos, entidades o procesos no autorizados.

Integridad: supone que la información se mantenga exacta y completa, ante accidentes o intentos maliciosos. Sólo se podrá modificar la información mediante autorización del responsable.

Disponibilidad: se debe garantizar que el sistema informático se mantenga trabajando sin sufrir ninguna degradación en cuanto a accesos. Es necesario que se ofrezcan los recursos que requieran los usuarios autorizados cuando se necesiten. La información deberá permanecer accesible a responsables autorizados.

Para poder realizar el desarrollo de este sistema es necesario intégralo con el proceso de gestión de riesgos el cual genera seguridad a las partes interesadas de la adecuada gestión de sus riesgos. El método es ponderar cada uno de los principios de acuerdo al registro o elementos a custodiar, realizar una evaluación antes de controles, luego colocar controles y nuevamente evaluar para así ubicarlo en una zona en donde no represente riesgo para la organización.

La seguridad de la información bajo la Norma internacional maneja la misma estructura, términos y definiciones por lo cual contiene la misma coexistencia frente a las demás normas conservando así el mismo enfoque de implementación estratégica para las organizaciones en cumplimiento de las normas del Sistema de Gestión de Calidad.

Estructura de numerales ISO 27001

La estructura corresponde en sus numerales así:
  1. Introducción: Donde encontramos generalidades y compatibilidad frente atrás normas del sistema de Gestión.
  2. Objetivo y Campo de Aplicación: Donde la norma específica los requisitos para la organización, implementación y mejoras en el sistema de gestión de seguridad de la información frente al contexto organizacional.
  3. Normas Para Consulta: cita información de donde se sacaron los documentos utilizados en la norma.
  4. Términos y Definiciones: Para hablar de este término lo que recurrimos es al desarrollo de la norma del literal 4 al 10, en donde encontraremos conceptos y descripciones de lo plasmado en cada literal de la norma.
  5. Contexto de la Organización: Es donde la organización establece los alcances de la norma a nivel interno y externo, en general el alcance de la implementación.
  6. Liderazgo: Es el trabajo de la alta dirección en las organizaciones donde se demuestra el liderazgo y compromiso con la implementación, se establecen las políticas y los objetivos, la integración de los procesos, los elemento que se necesitan en la implementación y cuales están disponibles dentro de la organización, el apoyo por parte del recurso humano, aquellos agentes responsables y los roles que cumplen dentro del sistema. en general esos elementos internos que ayudan a su implementación.
  7. Planificación: La intención con la planificación es realizar una ejecución del sistema de manera organizada, donde se puedan obtener los mejores resultados.
  8. Soporte: Correspondiente a la capacidad del recurso humano para interactuar con el sistema y la documentación que la respalda.
  9. Operación: Esta corresponde a los procesos que desarrollan las organizaciones, en cuento a control de la operación, apreciación del riesgo, planes de tratamiento, enfocado a aquello que mueve internamente a nuestra organización.
  10. Evaluación del desempeño: Corresponde a la evaluación de la Seguridad Informática en nuestra organización, incluyendo las metodologías del sistema, auditorías internas y externas y revisión por parte de la dirección.
  11. Mejora: Enfocado a las acciones que deben tomar las organizaciones frente a las no conformidades o hallazgos encontrados en el proceso de implementación, y a la mejora continua a la cual se somete la organización frente al sistema de gestión de seguridad de la información
En conclusión, la Norma de Seguridad de la Información ISO integra todos sus numerales con algunas variaciones en este caso a la Norma ISO 27001, con el fin de desarrollar toda su estrategia en los tres pilares fundamentales los cuales corresponden a la Confidencialidad, Integridad y disponibilidad, que conjunto con un sistema de riesgos, nos permite hacer nuestros sistemas de seguridad de la información menos vulnerables en las Organizaciones.

Tomado de: https://www.isotools.org

PASOS Y CONSIDERACIONES FRENTE A LA CERTIFICACIÓN DE LAS NORMAS ISO

En la actualidad, las normas ISO son una de las formas más efectivas para la optimización de los procesos inherentes a las empresas.

Aunque ya se ha comentado en varios de los artículos que se han ido publicando, las normas ISO no son obligatorias ni tienen rango de ley. Por el contrario, son normas de carácter voluntario y no todas son certificables. 

Además, el beneficio de implementar una o varias normas ISO en una empresa es bastante amplio.

Así, las empresas que las implementan y certifican, adquieren una ventaja competitiva y de mercado que, en ocasiones, las hace prácticamente imprescindibles para seguir existiendo.

Las normas ISO abarcan gran cantidad de temáticas de gran importancia, como es la calidad, el medio ambiente, la seguridad y salud laboral, la responsabilidad social, seguridad de la información, o la propia gestión de riesgos.

En este sentido, una empresa puede implementar tantas normas ISO como quiera y convenga, y certificarse en cada una de ellas.

Certificarse en una norma ISO denotan compromiso en la mejora y calidad, y es por ello que es un distintivo y referente de cara a clientes y mercados potenciales.

Obtener la certificación con la ayuda de un software

Cuando la empresa implementa alguna de las normas ISO, debe establecer una estrategia que incluya objetivos afines a la misma.

A este respecto, software como ISOTools son de gran ayuda para integrar la estrategia y hacer que el Sistema de Gestión basado en la norma implementada, funcione de manera correcta.

Así, aunque existen otras herramientas que permiten la gestión de normas concretas, ISOTools se adapta a todas las que tenga implementadas, considerando tanto el contexto como las características más específicas de la empresa.

Aplicaciones como gestor documental, son esenciales para cumplir con la estrategia de las normas ISO implementadas.

Consideraciones frente a la solicitud del certificado de normas ISO

Implementar una norma ISO, no obliga a solicitar la certificación, si no que puede simplemente cumplir con parte de los requisitos de esta a modo de mejoramiento interno.

Certificarse cuesta tiempo y dinero

Es decir, si una organización decide que es el momento de solicitar la certificación, debe considerar la madurez del Sistema de gestión implementado y el tiempo y dinero que ese camino va a costar.

Igualmente, estudiar la necesidad de obtener la certificación es imprescindible, para que no resulte en una pérdida económica y de inversión de tiempo por parte de los responsables.

Además, una vez obtenida la certificación, la preocupación será mantenerla en el tiempo, hasta que, pasados tres años, se revise y verifiquen la continuidad.

Obligatoriedad del diseño de una estrategia

Ya no es la obligatoriedad, sino la necesidad de que la estrategia y los objetivos del Sistema de Gestión estén alineados, de manera que este funcione correctamente y sea efectivo.

En la estrategia se concretan hasta los más mínimos detalles de actuación del Sistema de Gestión frente a cualquier cambio, incidencia, mejora, etc.

Evidentemente, la estrategia va a ser características de cada empresa, y más compleja cuanto mayor es la organización.

Revisiones de las normas ISO

Cada cierto tiempo y de manera regular, las normas ISO son revisadas, con objeto de optimizarlas y mejorarlas.

Esto ocurre cuando la Comisión ISO lo decide, y entonces se pone en marcha la revisión de la norma y, transcurrido un tiempo prudencial es publicada.

Una vez publicada, las empresas con certificaciones de la versión anterior, dispondrán de un periodo de 3 años para realizar la transición.

Aquí se puede poner de ejemplo la norma ISO 9001:2015, cuyo periodo para la transición terminó en septiembre de este mismo año, tras haber sido publicada en septiembre de 2015.

En cuanto a la transición a la nueva versión, también supondrá unos costes, pero no comparables a los asociados a la certificación.

Organismos de certificación

Las empresas que llevan a cabo las auditorías de certificación, deben estar acreditadas por un organismo de acreditación oficial.
Implementar una norma ISO, no obliga a solicitar la certificación…
Pasos para conseguir la certificación
Recopilar información

Esta fase es la más importante de todas, ya que de ella dependerán las demás. A este respecto, es preciso disponer de la norma, la cual puede adquirirse comprándola a través de los organismos oficiales (como ISO o UNE).

No obstante, a no ser que se disponga de personal especializado, lo más usual es acudir a una consultora que de apoyo.

Contacto con el organismo de certificación

En este punto, el organismo de certificación debe considerar si la empresa está preparada para proceder con el proceso de certificación.

Si la considera apta, elabora una oferta, cuyos detalles variarán en función de la complejidad y tamaño de la empresa, ya que de ello dependerá el tiempo a emplear.

Mediciones de referencia

Cuando la empresa acepta la oferta, se procede con las mediciones de cero o referencia. Es así como valoran el grado de cumplimiento con los requisitos de la norma y en qué aspectos debe mejorar.

Desarrollo de la estrategia

Si se detectan debilidades, significa que la estrategia debe mejorarse, para lo cual, en muchas ocasiones es necesario el apoyo de una consultora.

Elegir un Software de gestión

La carga de trabajo y el desarrollo documental es muy amplio, por lo que recurrir a un software puede ser la opción más adecuada.

En este sentido, hay que tener precaución, e investigar las diferentes opciones en base a la norma o normas ISO que se hayan implementado.

Inspección

Una vez mejorada la estrategia y aplicadas las correcciones presentadas por el organismo de certificación, se realiza una segunda inspección. Si entonces se valora como apta, la empresa obtiene el certificado.

Seguimiento anual

El Sistema de Gestión siempre está sujeto a mejoras, por lo que se realizan controles o seguimiento anuales para evaluar su desempeño y renovar la certificación.

En caso de detectar no conformidades, se le ofrece darles solución en un periodo de tiempo determinado, que dependerá de la gravedad de la misma.

Tomado de: https://www.isotools.org/