miércoles, 26 de octubre de 2022

CON LOS CONTROLES NO ES SUFICIENTE. SIGUE NECESITANDO LA ISO 27001

La información es uno de los activos más importantes. Otras personas, empresas y países están dispuestos a pagar cualquier precio por la información que necesitan para obtener beneficios.

Ya hemos visto a través de la historia de cómo países han perdido guerras por la infiltración de la información y quedan vulnerables frente al “enemigo”, pero también podemos ver como el manejo de esa información de forma adecuada puede fortalecer nuestro sistema.

En seguridad de la información cuando hablamos de controles en seguida recurrimos al anexo A el cual es un guía, un documento el cual nos sirve para implementar controles enfocados específicamente a la norma ISO 27001 de Sistema de Gestión de Seguridad de la Información, los cuales nos van a permitir mejorar las condiciones de riesgos eminentes dentro de la organización.

Controles de Seguridad de la Información

El anexo A data en su versión actual, de 114 controles los cuales en la norma de seguridad de la información ISO 27001 son obligatorios en su aplicación, sin embargo, se puede encontrar con excepciones, estas se presentan cuando aplica no apuntan a algún riesgo valorado.

Con la aplicación de estos controles lo primero que se puede entender es que estos controles no apuntan al área informática de la organización, sino a todos los elementos que hacen parte de la organización, como por ejemplo el recurso humano o infraestructura entre otros elementos. Y los grupos que podemos encontrar son 14 descritos de la siguiente manera: Políticas de seguridad de la información, Organización de seguridad de la información, seguridad de los recursos humanos, gestión de recursos, control de acceso, criptografía, seguridad física y ambiental, seguridad operacional, seguridad de las comunicaciones, adquisición, desarrollo y mantenimiento  de sistemas, relaciones con los proveedores, gestión de incidentes en seguridad de la información, aspectos en seguridad de la información de la gestión de continuidad de negocio, y cumplimiento.

Sin embargo, lo que debemos tener en cuenta es que así, como hay controles que aplican a los diferentes riesgos, podemos encontrar aquellos controles que no aplican, pero también aquellos que no se encuentran y que por tal motivo no se pueden aplicar, ni crear a manera de imposición en sí mismo.

No son suficientes

Es por esto que los controles no se consideran suficientes para cumplir con los principios de la norma ISO 27001 los cuales corresponden a la Confiabilidad, Integridad y Disponibilidad de la información, además de los ítems que permiten generar documentos como políticas, liderazgo etc., en general los ítems que la conforman.

Es por esto que se cuenta con todo un paquete de normas y guías ISO que permiten que el sistema sea robusto adicional de sus controles, como por ejemplo la Norma ISO 9001 de calidad que permite que la implementación de un sistema de seguridad de la información en principio sea más fácil de implementar, esto debido a que ya hay una madurez en el manejo de los procesos y en general de todo el sistema dentro de la organización, se cuenta con guías como la ISO/IEC 27002 encargada de las buenas prácticas de la gestión de la seguridad de la información con la ayuda de sus 93 dominios, entre otras como la ISO 27301 de continuidad de negocio y así aproximadamente unas 20 guías que nos van a permitir potenciar no solo los controles sino nuestro SGSI.

Para el manejo de estos sistemas la tecnología hoy en día, cuenta con software configurables acuerdo a las necesidades de la organización, que permiten realizar una gestión óptimas del sistema en ejecución, control, análisis y toma de decisiones que permiten a las organizaciones cumplir con sus objetivos.

Tomado de: https://www.isotools.org/