¿Qué es un Sistema de Gestión de Seguridad de la Información basado en la norma ISO 27001?

Sistema de Gestión de Seguridad de la Información

La norma ISO 27001 nos ofrece un modelo necesario para crear, implementar, supervisar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información. Para ello debemos tener algunas cosas claras antes de tomar la decisión de implementar la norma ISO 27001.

Si tu empresa ha comenzado la aplicación de los requisitos de la norma ISO 27001, seguramente habrás oído el término Sistema de Gestión de Seguridad de la Información. Dicho Sistema de Gestión de Seguridad de la Información es la principal aplicación.

La ISO 27001 nos aporta toda la información necesaria para desarrollar un Sistema de Gestión de Seguridad de la Información, se puede considerar que el Sistema de Gestión cuenta con un enfoque sistemático para gestionar y proteger la información importante de la empresa. El Sistema de Gestión de Seguridad de la Información representa un conjunto de políticas de seguridad, procedimientos y otros mecanismos necesarios para controlar y establecer todas las reglas de seguridad de la información de una organización.

Se necesitan varios controles para cada riesgo

Puede ser que guarde su ordenador portátil con mucha frecuencia dentro del coche, por lo que puede ser fácilmente extraíble, con todas consecuencias que eso le traería. Por lo tanto ¿Qué puedes hacer para minimizar el riesgo de que le roben su información? Deberá aplicar una serie de controles de seguridad. En primer lugar, se puede escribir un procedimiento que define que no se puede dejar el ordenador portátil en el coche, además deberás proteger tu ordenador con una contraseña, se pueden cifrar sus discos para incrementar la protección de la información, también se puede solicitar a los trabajadores que firmen una declaración en la que se obliga a pagar todos los daños que se puedan producir si un incidente de este tipo llega a suceder, pero también deben ser conscientes de que existen distintos riesgos si transportan el ordenador portátil dentro del coche.

Proteger un ordenador portátil puede parecer simple, pero el problema es cuando usted tiene cientos de ordenadores portátiles, decenas de servidores, una multitud de bases de datos, muchos de los empleados, etc. ya que cuenta con bastante información sensible en muchos activos diferentes.

La gestión de los sistemas de seguridad

La única manera de manejar todas las medidas de seguridad será establecer los procesos de seguridad y decir las responsabilidades claras.  Esto sería un enfoque basado en procesos dentro de los estándares de gestión según la norma ISO 27001. Si tomamos la norma ISO 9001 como una norma parecida, la idea sería la siguiente: no podemos esperar que para producir un coche de alta gama sólo sea necesaria la realización de un control de calidad al final de la línea de producción, lo necesario sería diseñar un proceso de producción que comprenda desde las ofertas de alta calidad, a la formación de los empleados, para hacerles frente a la eficacia de los productos no conformes.

De la misma manera, un enfoque basado en procesos es crucial para establecer una conexión entre las responsabilidades y los controles técnicos. Sólo si se sabe quién, que y cuando se tiene que hacer, podrán tener una base para permitir que los controles de seguridad trabajen a la perfección.

En primer lugar, los controles de seguridad de la información no son sólo técnicas, son controles que se encuentran relacionados con el TI. Son una combinación de distintos tipos de controles, la documentación de un procedimiento es un control de la organización, la implantación de una herramienta de software será un control de TI y la formación de personas es un control de los recursos humanos.

En según lugar, sin tener algún tipo de marco legal, la seguridad de la información se convierte en algo inmanejable, ya que cuando se construye un Sistema de Gestión de Seguridad de la Información, se llevan a cabo un conjunto de reglas de seguridad de la información, responsabilidades y controles.

El Sistema de Gestión de Seguridad de la Información se trata de distintos procesos de seguridad que se encuentran implicados en conjunto, además se pueden definir todos los procesos y lo mejor es que dichos procesos se encuentran relacionados entre sí.

Software ISO 27001

El Software ISOTools Excellence ISO 27001 para Riesgos y Seguridad de la Información, está capacitado para responder a numerosos controles para el tratamiento de la información gracias a las aplicaciones que contiene y que son totalmente configurables según los requerimientos de cada organización. El Software se encuentra compuesta por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las empresas no pierda ninguna de sus propiedades más importantes: disponibilidad, integridad y confidencialidad.