Consejos para afrontar un proceso de certificación con éxito
¿Es consciente de la importancia que tiene la información para su organización? ¿Se ha planteado si las medidas de seguridad con las que cuentan son suficientes para su protección? La norma ISO/IEC 27001 es un elemento sobre el que basar la gestión y protección de la información de su empresa.
La información de su negocio resulta cada día más importante. Su tratamiento, a menudo hace que ésta sea expuesta a factores que pueden ponerla en peligro. Contar con un Sistema de Gestión de la Seguridad de la Información (SGSI) es sin duda la forma más práctica de seguir un conjunto de buenas prácticas que garanticen que el tratamiento de la información de nuestra empresa es adecuado.
La norma ISO 27001 define como implantar un Sistema de Gestión de Seguridad de la información que aporta a la Organización interesantes beneficios:
- Ayuda al cumplimiento de leyes y normativas. En este sentido se incluyen, entre otras, la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD), la Ley de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSICE), Propiedad Intelectual, etc.
- Aporta a la empresa un valor añadido, dando a nuestros clientes una mayor credibilidad, ya que contar con esta certificación, asegura que tenemos un proceso adecuado para la gestión de la información.
- Ofrece una metodología para llevar a cabo un Análisis y Gestión de Riesgos.
- Garantiza la implantación de medidas de seguridad consistentes, eficientes y apropiadas al valor de la información protegida.
- Contempla planes de contingencia ante cualquier tipo de incidencia (pérdidas de datos, incendio, robo, terrorismo, etc.)
- Puede ser utilizada como herramienta de diferenciación frente a la competencia.
- Mejora la concienciación del personal en todo lo que se refiere a la seguridad y a sus responsabilidades dentro de la organización.
El desarrollo de las nuevas tecnologías hace que el tratamiento de la información haya dado un cambio importante en la cultura empresarial y obliga a extremar las precauciones para garantizar:
- la confidencialidad: Evitar que la información esté a disposición de individuos, entidades o procesos que no tienen autorización.
- la disponibilidad: Asegurar que la información sea accesible cuando sea necesario.
- la integridad: Mantener la información exacta y completa.
Contar con un SGSI ayudará a la Dirección de nuestra empresa a decidir qué políticas y objetivos de seguridad deben establecerse y nos permitirá crear mecanismos que nos ayuden a proteger la información y los sistemas que los procesan.
Para implementar un SGSI conforme a la norma ISO 27001 se deberá establecer un ciclo continuo ‘PDCA’ como el utilizado en los sistemas de calidad:
- Planificar: Establecer el Sistema de Gestión, su alcance y objetivos. En esta fase deberá definirse la política de seguridad de la organización y la metodología para la evaluación de los riesgos que utilizaremos en nuestro Sistema. Posteriormente, deberán identificarse los riesgos que nuestros activos tienen, evaluando las amenazas y vulnerabilidades que estos pudieran tener y los impactos que tendría el negocio ante una pérdida de confidencialidad, integridad o disponibilidad.
Una vez analizados los riesgos y determinadas qué situaciones no son aceptables para la empresa, se establecerá un plan para tratar y mitigar los riesgos no aceptables. Para ello, se aplicarán los controles oportunos. Deberán seleccionarse los objetivos de control y controles del anexo A de la norma ISO 27001 que serán utilizados para el tratamiento de los riesgos y serán recogidos en una declaración de aplicabilidad.
- Do: Hacer, implementar y utilizar el Sistema de Gestión, sus controles de seguridad y sus exigencias normativas.
En esta fase deberá establecerse un plan para la gestión de los riesgos que incluya su oportuna planificación y desglose de responsabilidades y organización de los proyectos.
Además deberán definirse los indicadores que ayuden a la organización a conocer la eficacia y eficiencia de las acciones llevadas a cabo para la mitigación de los riesgos.
Se concienciará y formará a todos las personas y se implantarán los controles establecidos en la fase anterior.
- Check: Monitorizar y revisar el Sistema para evaluar si los controles son eficaces y cubren los objetivos deseados.
En esta fase se deberá revisar la efectividad del Sistema a tiempos planificados y se revisarán los niveles de riesgo, siempre que existan cambios en la organización, la tecnología, los procesos, etc…
El sistema deberá someterse a auditorías internas planificadas y el resultado de estas y de las actividades deberá ser revisada por parte de la Dirección de la empresa.
- Act: Mantener y mejorar nuestro sistema en base a la eficacia de las medidas del mismo.
Una vez superados los ciclos anteriores y, sobre la base de los resultados de los mismos, deberán implantarse las acciones de mejora necesarias para afianzar el Sistema y para alcanzar los objetivos previstos.
ISO 27002
La ISO 27002 es una guía de buenas prácticas que expone recomendaciones a tener en cuenta para cada uno de los controles del anexo A de la ISO 27001.En la norma ISO 27001 se habla de estos controles en su anexo A, pero no forma parte del corazón de la norma ya que no olvidemos que la ISO 27001 define como gestionar la seguridad (como implementar un Sistema de Gestión de Seguridad de la Información).
La ISO 27002 es, por lo tanto, una ayuda en la gestión de los riesgos que se organiza en los siguientes apartados:
- Apartado 5: Política de Seguridad. El objetivo de este control es contar con una Política de Seguridad documentada y revisada periódicamente.
- Apartado 6: Aspectos organizativos. Este control establece cómo debería estar compuesta la organización de la seguridad de la empresa, cómo deben coordinarse las actividades y cómo deben mantenerse activas las relaciones con los terceros que pudieran colaborar con nosotros.
- Apartado 7: Gestión de activos. Este apartado propone contar con un inventario detallado de activos que recoja sus funcionalidades. Además, establece pautas para el uso responsable y adecuado de los mismos. Este apartado recoge además la necesidad de contar con un procedimiento de tratamiento de la clasificación, así como las medidas de seguridad que deberían considerarse en función de la clasificación de estos.
- Apartado 8: Recursos humanos. Dividido en tres controles, establece las medidas de seguridad que deberían considerarse en cada una de las fases de desempeño de trabajo (definición del puesto, desempeño de las funciones y a la finalización o cambio del puesto de trabajo).
- Apartado 9: Seguridad física y ambiental. Las medidas de seguridad física y del entorno quedan recogidas en dos controles de este apartado. Por una parte, se establecen los requerimientos físicos de los edificios, como el establecimiento de perímetros de seguridad, las zonas de carga o los controles físicos de entrada y, por otra, la seguridad de los equipos, considerando el suministro, la seguridad del cableado o el mantenimiento de los mismos.
- Apartado 10: Seguridad comunicaciones y operaciones. La operación de las comunicaciones debería estar procedimentada adecuadamente, estableciendo de manera clara las responsabilidades que, en materia de operación, deban considerarse. En este apartado se incluye también la supervisión de los servicios que son contratados a terceros y la planificación de los requisitos y necesidades de seguridad de los sistemas.
- Apartado 11: Control de accesos. Este apartado presenta las pautas que deberán tenerse en cuenta para el control de los accesos a las redes, a los sistemas operativos y a las aplicaciones corporativas. Así mismo, deberán considerarse qué privilegios son los adecuados para cada usuario o cuáles son las responsabilidades que el usuario tiene para la protección de su puesto de trabajo.
- Apartado 12: Adquisición, desarrollo y mantenimiento de sistemas. Este sistema propone que los sistemas debieran contar con unos requisitos de seguridad específicos que abarcan desde la entrada de los datos hasta el control del software y las medidas de seguridad de los procesos de desarrollo de software. En este apartado se considera además el control de las vulnerabilidades técnicas.
- Apartado 13: Gestión de incidentes. Deberá establecerse cuáles son los canales de comunicación de eventos y debilidades y cómo será el proceso de gestión de incidencias.
- Apartado 14: Gestión de continuidad del negocio. Este apartado establece los requisitos que deberían considerarse en relación a garantizar la continuidad de los servicios críticos del negocio.
- Apartado 15: Cumplimiento legal. Podemos considerar este apartado como garantía del cumplimiento de las exigencias legales que cada organización tiene. Además, se incluyen en este apartado las consideraciones que deben tenerse en cuenta en la auditoría de los sistemas.