viernes, 25 de marzo de 2022

ISO 27002. LA IMPORTANCIA DE LAS BUENAS PRÁCTICAS EN LOS SISTEMAS DE SEGURIDAD DE LA INFORMACIÓN

El objetivo que persigue la norma ISO 27002 es que la organización conozca de forma precisa todos los activos que posee. 

Esta información es una parte muy importante de la administración de riesgos.

Algunos ejemplos de activos son:
  • Recursos de información: bases de datos y archivos, la documentación de los sistemas, los manuales de usuario, el material utilizado durante la capacitación, los procedimientos operativos, los planes de continuidad y contingencia, etc.
  • Recursos de software: software de aplicaciones, sistemas operativos, herramienta utilizadas para llevar a cabo los desarrollos, etc.
  • Activos físicos: equipamiento informático, equipos de comunicación, mobiliario, etc.
  • Servicios: los servicios informáticos y de comunicaciones.
Los activos de información tienen que estar clasificados según la sensibilidad y criticidad de la información que contienen o que se dedican a cumplir con el objetivo de establecer como se debe tratar y proteger la información.

Las pautas de clasificación deben prever y contemplar el hecho de que la clasificación de un ítem de información determinado no necesariamente tiene que mantenerse de forma invariable por siempre, y que se puede cambiar según la política determinada por la propia organización. Es necesario que se considere la cantidad de categorías a la hora de definir toda la clasificación según los esquemas que se pueden llevar a cabo de forma compleja en la organización y pueden resultar muy poco prácticos.

La responsabilidad sobre los activos

Según establece la norma ISO 27002 es necesario justificar los activos y que cuenten con un propietario que debe estar correctamente identificado. Los propietarios de los activos tendrán la responsabilidad de mantener los controles necesarios.

La implantación de los controles específicos se puede delegar por parte del propietario de forma conveniente. No obstante, el propietario será el responsable de la adecuada protección de todos los activos.

La persona o entidad que será la responsable de un activo, debe contar con la aprobación del órgano de dirección, para establecer el control de la producción, el desarrollo, el mantenimiento, la utilización y la seguridad de todos los activos. 

El término propietario no significa que la persona responsable disponga de los derechos de propiedad reales del activo, simplemente se dedica a proteger que no le suceda nada.

Será necesario realizar y mantener un inventario de activos de información, que debe ser mostrado a los propietarios de los activos y los detalles relevantes.

Utilizar un código de barras facilita las tareas que se deben realizar a la hora de hacer inventario y vincular los equipos de TI que entran y salen de las instalaciones.

¿Cuáles son las actividades de control del riesgo que se llevan a cabo?

Las actividades de control de riesgos que se tienen que llevar a cabo son:
  • Realizar un inventario de activos. Todos los activos deben encontrase claramente identificados, confeccionados y mantenidos en un inventario.
  • Proteger la propiedad de los activos. Todos los activos del inventario deben estar asociados a un responsable designado por la organización.
  • Uso aceptable de los activos. Se tendrá que identificar, documentar e implementar la regulación para el uso adecuado de la información y los activos que se encuentran asociados a recursos de tratamiento de la información.
  • Devolución de los activos. Una vez que finalice el acuerdo, los responsables deberán devolver todos los activos a la organización, por este motivo es necesario que cuenten con un contrato de prestación de servicios. 
El objetivo de ISO 27002 es que la organización conozca todos los activos que posee, ya que es un parte muy importante de la administración de riesgos.
Clasificar la información

Es necesario que se realice una clasificación de la información en la que se indica la necesidad, las prioridades. También habrá que clasificar el nivel de protección que se necesite para llevar a cabo el tratamiento.

La información tiene diversos grados de sensibilidad y criticidad. En algunos casos se pueden requerir niveles de protección que resulten adicionales o de un tratamiento especial. Tiene que utilizarse un esquema de clasificación de la información con el que se definirán de forma adecuada los niveles de protección. También se comunicará la necesidad de las medidas especiales para llevar a cabo el tratamiento adecuado.

Es necesario que se distingan todos los requisitos de seguridad, según el acuerdo alcanzado con el riesgo. Es necesario que se comience por controlar la confidencialidad, pero no olvide los requisitos de integridad y disponibilidad.

Las actividades que se realizan para establecer el control del riesgo
  • Clasificación. La información se tendrá que clasificar en relación al valor que tenga, los requisitos legales, la sensibilidad del documento y lo crítico que sea para la empresa.
  • Etiquetado y manipulado de la información. Se tendrán que llevar a cabo una serie de procedimientos para establecer un etiquetado y tratamiento de la información según el esquema de clasificación que se ha realizado por la empresa.
  • Manipulación de los activos. Se tienen que desarrollar e implementar procedimientos para la manipulación de todos los activos según el esquema de clasificación que se ha generado por la propia empresa.

Tomado de: https://www.isotools.org/

ISO 17025: ¿ES NECESARIA EN LA INDUSTRIA ALIMENTARIA?

La norma ISO 17025 determina los requisitos generales que deben cumplimentar los laboratorios de ensayo y/o calibración de cualquier tipo de sector.

La acreditación ISO17025 demuestra que el laboratorio de ensayo y/o calibración cumple con los estándares de calidad exigidos por dicha norma y por lo tanto los productos que analizan también cuentan con la calidad exigida por la sociedad.

En el caso de las industrias alimentarias, la acreditación ISO-17025 es un modo de garantizar que sus productos se pueden consumir sin ningún problema, consiguiendo que la confianza de los consumidores se incremente. Además no hay que olvidar que este tipo de productos tienen fecha de caducidad y su mala gestión puede ocasionar pérdidas economías y perjuicios en la salud de las personas.

El deterioro que sufren los alimentos causan enfermedades e incluso defunciones en el peor de los casos, por ello estas organizaciones ven que el estándar internacional ISO 17025 es la perfecta herramienta para asegurar que todos procesos que se llevan a cabo en sus laboratorios cumplen con los requisitos de la norma, por lo que la vigilancia que existe en sus productos aportan la confianza necesaria para consumirlos sin ningún problema.

Las organizaciones que implanten la ISO17025 ofrecen a todos sus clientes la máxima confianza en materia de seguridad y calidad alimenticia e incluso refuerzan la relación existente entre los productores y comercializadores de alimentos.

Por otra parte, las empresas del sector alimentario que trabajan con un Sistema de Gestión de Calidad para Laboratorios de Ensayo y Calibración, reducen los riesgos potenciales que pueden generarse de su actividad, evitando que los consumidores rechacen productos que estén en mal estado.

 Tomado de: https://www.isotools.org/