| 25 años generando CONFIANZA
Norma ISO 27001
ISO 27001 hace que la seguridad sea un componente primordial en la información y en los activos de una organización.
Tanto a la hora de designar responsabilidades, como en cualquier procedimiento útil para la gestión de los recursos destinados al tratamiento de la información, la seguridad debe ser un elemento presente y notable.
Pero ocurre que ésta se hace vulnerable ante cualquier red de comunicación, es decir es un medio por el que se puede acceder a la información pero también es un medio que puede dañarla.
Ante esto, se hace necesario crear procedimientos documentados para la gestión de los recursos dedicados al tratamiento y comunicación de la información. Esto facilitará el cumplimiento y respeto de los requisitos de seguridad definidos.
Estos documentos son aprobados por la dirección y se difundirán entre los trabajadores implicados e involucrados en cada procedimiento.
ISO-27001 ejerce un control sobre el tratamiento de la información, y cada cambio que suceda en ello deberá estar controlado por uno o varios procedimientos preestablecidos para la gestión de cambios. Este control abarca: identificación y registro de los cambios más relevantes, planificación, pruebas, evaluación de riesgos, aprobación de los cambios, comunicación al personal interesado de los cambios, elaboración de procedimientos para dar vuelta atrás y recuperación del sistema a su posición original en caso de que ocurriera algún problema. Lo ideal sería que todos los sistemas de la organización estuvieran sometidos a este tipo de control.
Una parte muy importante de esta gestión de cambios es la planificación, una organización debe planificar y, sobre todo plantearse si el cambio que se dispone a realizar es necesario para la entidad o no. Por ejemplo, la actualización de un software puede poner en peligro al sistema y a su información y no ser muy imprescindible para continuar con el desarrollo del negocio, ahí habría que pensar si es conveniente correr el riesgo o no.
Una práctica recomendada para reducir riesgos y evitar manipulaciones de la información no autorizadas, consiste en segregar las tareas sobre responsabilidades en la gestión de la información. Esto quiere decir que no es conveniente que solo una persona tenga la responsabilidad de acceder y manipular un sistema sin ningún otro tipo de supervisión. Debe evitarse este habito o al menos intentar que no sea la misma persona la encargada de autorizar y ejecutar la actividad.
Sea cual sea la situación de la organización, ha de utilizarse un registro para una posible supervisión o para futuras auditorías cuando las hubiese.
Como último dato para evitar riesgos a la integridad de la información, es recomendable separar los entornos de desarrollo, pruebas y producción. Ni el entorno de desarrollo debería tener acceso al de producción, ni el de pruebas debería usar los mismos datos que el de producción, aunque sí lo más similar posible.
Cada uno de los usuarios tendrá un identificador privado para establecer responsabilidades y, para aumentar la seguridad, deberían ser distintos para el entorno de desarrollo y para el de pruebas.
En resumen, para consolidar la presencia y funcionamiento de ISO27001 en una organización y crear responsabilidades y procedimientos para la gestión de los recursos de tratamiento de la información es necesario:
- Mantener y documentar los procedimientos operacionales que aparecen en la política de seguridad.
- Crear responsabilidades y procedimientos de gestión para poder desarrollar un control satisfactorio de los cambios en software y equipos.
- Organizar responsabilidades y procedimientos de gestión para que aporte a la organización una respuesta ordenada, rápida y eficaz a las incidencias en materia de seguridad.
- Instaurar una política de segregación de tareas en cuanto a las responsabilidades en la gestión de la información.
- Separar entre sí los recursos de desarrollo, pruebas y producción para que la organización no se encuentre con problemas operacionales y cambios no previstos ni deseados.
Sistema de Gestión de Riesgos y Seguridad
Tiene más información sobre los Sistemas de Gestión de Riesgos y Seguridad, como el derivado de ISO 27001, en el siguiente link: https://www.isotools.us/normas/riesgos-y-seguridad/
- 5 Beneficios Ambientales de Implementar ISO 14001
- UNE-EN ISO/IEC 23053:2023. Marco para sistemas de inteligencia artificial (IA) que utilizan Machine Learning (ML)
- Esquema Nacional de Seguridad (ENS): la importancia de la auditoría
- Integración de Lean Six Sigma y Normas ISO para la Excelencia Operativa
- ¿Cómo integrar el Pensamiento Estrategico con la Norma ISO 45001?
¿Desea saber más?
Entradas relacionadas
La ISO 14001 es una norma internacional de gestión ambiental que establece los requisitos...
La norma UNE-EN ISO/IEC 23053:2023, titulada "Tecnologías de la información - Marco para sistemas...