lunes, 14 de marzo de 2022

ISO 27001: PASOS PARA LA IMPLANTACIÓN DE LA POLÍTICA DE SEGURIDAD Y LOS PROCEDIMIENTOS

Durante la lectura de este post conocerá mejor cómo debe realizar una política o un procedimiento de seguridad en el momento de implementar un Sistema de Gestión de Seguridad de la Información según la norma ISO 27001.

Gracias a la experiencia y a los conocimientos que tenemos sobre este tema, podemos mostrarle los pasos que se deben de seguir y que pueden ser utilizados en cualquier tipo de empresa, independientemente de su actividad o tamaño. Asimismo, se pueden aplicar a otros tipos de Sistemas de Gestión que no tienen por qué estar relacionados con el estándar ISO 27001.

En primer lugar, debemos de estudiar los requisitos del sistema, es decir, tenemos que saber si hay alguna legislación que nos obligue a incluir algún elemento específico por escrito (como, por ejemplo, pudiera ser el contrato de un cliente). Igualmente, debemos conocer la legislación que nos influye y, sobre todo, los documentos con los que ya cuenta nuestra entidad. Sin olvidar, todos los requisitos de la norma ISO-27001, siempre y cuando se tenga la intención de cumplirlas.

En segundo lugar, debemos tener en cuenta todos los resultados recibidos del análisis de riesgos que determinará todos los temas que se deben abordar en el documento -hablamos del grado-, es decir, es probable que sea necesario clasificar la información de acuerdo a la confidencialidad.

Este último paso puede tener menor importancia dependiendo de si el procedimiento o la política no se encuentra relacionada con la seguridad de la información o la continuidad del negocio. Los principios de gestión de riesgos se pueden aplicar a distintas áreas de la empresa, como pueden ser:
  • Gestión de la Calidad ISO 9001
  • Gestión Ambiental ISO 14001, etc.
El siguiente y tercer paso es alinear y optimizar los documentos del Sistema de Gestión de Seguridad de la Información basado en la ISO 27001 ya que es fundamental conocer la cantidad total de documentos. Lo buen es administrar un solo documento, especialmente si el grupo de lectores se dirige al mismo. No es aconsejable redactar un documento de cien páginas ya que no se puede administrar de una forma coherente.

Es importante tener en cuenta el cuidar minuciosamente la alineación de los documentos con otros que se encuentren redactados de forma muy similar, ya que es posible definir los temas que ya han sido definidos en otro documento. Por ello, es muy importante conocer si se debe ampliar el documento ya existente o redactar uno nuevo.

En el caso de que tengamos que redactar un nuevo documento sobre un tema que ya se encuentre en otro, debes asegurarte de no repetirte y no escribir el mismo tema en los dos documentos. En este caso, sería una pesadilla actualizar los dos documentos. En el momento que sea necesario, es mucho mejor que un documento haga referencia a otro pero sin repetir lo mismo.

El cuarto paso sería el de la estructura del documento, es decir, la empresa tiene que definir un formato para todos sus documentos, debe tener disponible una plantilla con las fuentes, los encabezados, los pies de página, la distancia en los márgenes y demás aspectos predeterminados.
Los 7 pasos para implantar la política de seguridad y los procedimientos de un SGSI.
En el caso de que ya tenga implementada la norma ISO 27001, tiene que respetar el procedimiento para controlar los documentos. El tipo de procedimiento no define el formato en el que se debe encontrar el documento sino que genera las reglas para su aprobación, distribución, etc.

El quinto paso será el de redactar el documento. El criterio que debemos seguir es que cuanto más pequeña sea la organización y menores los riesgos, menos complejo será el documento. No nos sirve de nada redactar un extenso y completo documento que nadie leerá. Las personas que lean el documento, le prestarán la atención adecuada en función del tiempo del que dispongan y la cantidad de líneas que se encuentre.

Un buen sistema es involucrar a los empleados en la redacción o facilitándoles que aporten información a la hora de redactar el mismo. De esta forma, comprenderán lo necesario que es.

El sexto paso es conseguir la aprobación del documento ya que, una vez que esté redactado, lo importante es que se apruebe el documento. Además, se debe conocer quién es la persona con suficiente poder en la organización para poder aprobar el documento.

La persona con suficiente poder para aprobarlo debe comprenderlo, aprobarlo y requerir activamente su implementación. Parece un aspecto sencillo pero no lo es. Este paso es el que genera más fracasos durante la implementación.

El último paso que debemos seguir es la capacitación y la concienciación de sus empleados.

Este paso puede ser el más importante pero, por desgracia, es el que más se olvida. Los empleados deben encontrarse mucho más involucrados en el proceso ya que si solo reciben cambios que le van a hacer trabajar más no lo van a recibir con el suficiente interés.

Por todo esto, es fundamental explicarles a los trabajadores por qué es necesaria la política de seguridad de la información o los procedimientos. Tanto es así que es importante no solo para la organización sino también para todas las personas que trabajan en ésta.

De vez en cuando hace falta capacitar a los empleados ya que sería incorrecto que asumieran responsabilidades sin contar con la preparación y conocimientos necesarios.

Aunque parezca que se ha llegado al final de la implementación de sus documentos, no es así. No es suficiente contar con una política de seguridad y un procedimiento perfecto, sino que lo más importante es mantenerlo.

El documento debe ser actualizado y mejorado continuamente, y de eso, se tiene que responsabilizar alguien. Normalmente suele ser la misma persona que lo redacta.

No es suficiente con contar con una buena plantilla para poder redactar los documentos necesarios, sino que se necesita un enfoque sistemático para poder contar con la política de seguridad o los procedimientos exitosos. Lo necesario es realizar un enfoque sistemático a la hora de llevar a cabo la implementación del Sistema de Gestión de Seguridad de la Información según la norma ISO-27001.

Como conclusión debemos tener claro que el documento no es un fin en sí mismo, es solo una herramienta para poder realizar las actividades y los procesos sin problemas.

Tomado de: https://www.isotools.org/

LA FAMILIA DE NORMAS ISO 27000

La Organización Internacional de Estandarización (ISO) recoge un extenso número de normas dentro de la familia de ISO 27000.
Cada norma tiene reservado una número dentro de una serie que van desde 27000 hasta 27019 y de 27030 a 27044. Vamos a realizar un repaso por todas las normas de la serie:

Esta estandarización contiene las definiciones y los términos que se utilizarán durante toda la serie 27000. Para aplicar cualquier normativa necesita conocer un vocabulario perfectamente definido, por lo que así evitaremos cualquier mala interpretación de conceptos técnicos y gestión. Esta norma es gratuita a diferencia de las demás de la serie de normas que sí que suponen un coste para su implementación.

ISO 27001

La última versión de esta norma fue publicada en el año 2013. Es la norma principal de toda la serie ya que incluye todos los requisitos del Sistema de Gestión de Seguridad de la Información en las organizaciones. La ISO 27001 sustituye a la BS 7799-2 estableciendo unas condiciones de adaptación para aquellas empresas que se encuentren certificadas bajo esta última. En el Anexo A se enumeran los objetivos de control y los análisis que desarrolla la norma ISO27001 para que se puedan seleccionar las empresas durante el progreso de sus Sistemas de Gestión de Seguridad de la Información. La empresa podrá argumentar el hecho de no aplicar los controles que no se encuentren implementados ya que no es obligatorio.

ISO 27002

Es un manual de buenas prácticas en la que se describen los objetivos de control y las evaluaciones recomendables en cuanto a la seguridad de la información. Esta norma no es certificable. En ella podemos encontrar 39 objetivos de control y 133 controles agrupados en 11 dominios diferentes. Como se ha mencionado anteriormente, la norma ISO 27001 incluye un anexo que resume todos los controles que podemos encontrar en la norma ISO 27002.

ISO 27003

Es un manual para implementar un Sistema de Gestión de Seguridad de la Información y además, nos da la información necesaria para la utilización del ciclo PHVA (viene de las siglas Planificar, Hacer, Verificar y Actuar, en inglés “Plan, Do, Check, Act”) y todos los requerimientos de sus diferentes fases. El origen de esta norma se encuentra en el Anexo B de la norma BS7799-2 y en la serie de documentos publicados a lo largo de diferentes años con recomendaciones y guía de implementación.

ISO 27004

En este estándar se especifican las técnicas de medida y las métricas que son aplicables a la determinación de la eficacia de un Sistema de Gestión de Seguridad de la Información y los controles relacionados. Las métricas se utilizan para la medición de los componentes de las fases “implementar y utilizar” del ciclo Deming.

ISO 27005

Esta normativa establece las diferentes directrices para la gestión de los Riesgos en la Seguridad de la Información. Se trata de una norma de apoyo a los conceptos generales que vienen especificados en la ISO 27001 y se encuentra diseñada para ayudar a aplicar, de una forma satisfactoria, la seguridad de la información basada en un enfoque de gestión de riesgos. Para comprender a la perfección esta norma es necesario conocer todos los conceptos, modelos, procesos y términos descritos en la norma ISO-27001 e ISO 27002. Dicha norma se puede aplicar a todo tipo de organizaciones que tienen la intención de gestionar todos los riesgos que se puedan dar en la empresa en temas de seguridad de la información.

ISO 27006

Este estándar específica todos los requisitos para lograr la acreditación de las entidades de auditoría y certificación de Sistema de Gestión de Seguridad de la Información. ISO 27006 se trata de una versión revisada de la EA-7/03 (requisitos para la acreditación de entidades) que añade a la ISO/IEC 17021 (requisitos para entidades de auditoría y certificación de Sistemas de Gestión), los requisitos específicos de la ISO 27001 y los del Sistema de Gestión de Seguridad de la Información. Asimismo, esta norma ayuda a interpretar todos los criterios de acreditación de ISO/IEC 17021 cuando se aplican en organismos de certificación de la norma ISO 27001, pero no se trata de una norma de acreditación por sí misma.

ISO 27007

Es un manual de auditoría de un Sistema de Gestión de Seguridad de la Información. Es un estándar Internacional el cual ha sido creado para proporcionar un modelo para establecer, implementar, operar, monitorear, revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI).

ISO 27011

Es una guía de gestión de seguridad de la información específica para telecomunicaciones Ha sido elaborada conjuntamente con la Unión Internacional de Telecomunicaciones (ITU).

ISO 27031

Es una guía de continuidad de negocio basada en las tecnologías de la información y las comunicaciones. Explica los principios y conceptos de la tecnología de información y comunicación (TIC), la preparación para que continúe el negocio, y la descripción de los procesos y métodos necesarios para señalar e identificar todos los aspectos que sirvan para mejorar la preparación de las TIC de una empresa con la finalidad de garantizar la continuidad del negocio.

ISO 27032

Es un texto relativo a la ciber-seguridad. Se trata de un estándar que garantiza directrices de seguridad que desde la organización ISO han asegurado que “proporcionará una colaboración general entre las múltiples partes interesadas para reducir riesgos en Internet”. Más concretamente, ISO/IEC 27032 proporciona un marco seguro para el intercambio de información, el manejo de incidentes y la coordinación para hacer más seguros los procesos.

ISO 27033

Es una norma derivada de la norma de seguridad ISO/IEC 18028 de la red. Esta norma da una visión general de seguridad de la red y de los conceptos asociados. Explica las definiciones relacionadas y aporta orientación de la gestión de la seguridad de la red.

Consiste en 7 partes:
  • Gestión de seguridad de redes
  • Arquitectura de seguridad de redes
  • Marcos de redes de referencia
  • Aseguramiento de las comunicaciones entre redes mediante gateways
  • Acceso remoto
  • Salvaguardia de comunicaciones en redes mediante VPNs
  • Diseño e implementación de seguridad en redes.

ISO 37034

Es una guía de seguridad en aplicaciones.

ISO 27799

Se trata de un estándar de Gestión de Seguridad de la Información dentro del sector sanitario aplicado a la norma ISO 17799 (actual ISO 27002). Dicha norma no es desarrollada por el subcomité JTC1/SC27 sino que la lleva a cabo el comité técnico TC 215. Esta normativa define las directrices necesarias para apoyar la interpretación y la aplicación en la salud informática de la norma ISO 27002 y es un complemento a dicha norma. Esta especifica un conjunto detallado de controles y directrices de buenas prácticas para la gestión de la seguridad de la información por las empresas del sector sanitario.
SGSI

Los Sistemas de Gestión de Seguridad de la Información o SGSI, son un recurso que permiten a las organizaciones garantizar que todos los activos de la empresa están siendo manipulados adecuadamente y que no hay riesgos de fugas de información.

Tomado de: https://www.isotools.org/