Marcos de trabajo más populares para seguridad de la información

Seguridad de la Información

La información es un bien tan preciado en las organizaciones que hay que asegurar su cuidado sin escatimar esfuerzos.  Las empresas manejan cantidades de datos gigantescas y es un gran reto preservar la confidencialidad, integridad y disponibilidad de cada política interna, procedimiento, colaboradores, proveedores, situación financiera, estrategias, clientes, planes, entre otros. En la búsqueda por hacerlo de manera eficiente y expedita, podemos optar por la adopción de un marco de trabajo para seguridad de la información con éxito demostrado.

Las ventajas de los marcos de trabajo es que algunos fueron creados por comités de organismos consagrados a la estandarización, son ajustables a las características y contexto de cada organización, sin importar el tamaño o rubro al que se dedique, toman en cuenta aspectos que nosotros podemos ignorar, se mantienen actualizados y sus autores lo han pensado todo: planificación, análisis de riesgos, cumplimiento de leyes, relaciones con proveedores, creación e implementación de un sistema de gestión o estrategias, monitoreo y mejoras.

Un marco de trabajo para seguridad de la información es, en pocas palabras, un compendio de normas (estándares), directrices, documentos y requisitos que sirven para definir las políticas, procedimientos y procesos en los que se afianzará la organización para prevenir los incidentes de seguridad de la información, detectar y gestionar riesgos, crear controles, monitorearlos para determinar su eficacia, y, en primera instancia, preservar la seguridad de la información de forma efectiva.

Marcos de trabajo

Si deseamos implementar algún marco de trabajo necesitamos que se destinen los recursos necesarios, como capacitaciones para el personal, adquisición de tecnología, infraestructura, asesorías con expertos, entender cada proceso de la compañía, comprender la tecnología, respetar los marcos legales y regulaciones de cada país, entre otros. Este marco garantiza que la información esté muy resguardada y que solo puedan acceder a ella las personas pertinentes, aplicando controles de seguridad y por tiempo limitado. ¿A qué marco, en específico, nos referimos? Son numerosos, pero los que consideramos más eficaces son:

• ISO/IEC 27001 
• NIST 
• ENS
• TISAX

A continuación, explicaremos en qué consiste cada marco y cuáles son sus características fundamentales:

• ISO/IEC 27001: Esta norma, creada por la Organización Internacional de Normalización (ISO), fue publicada por primera vez en 2005 y actualizada en 2013. Contiene114 controles y 14 dominios y establece pautas para implementar un sistema de gestión de seguridad de la información. El estándar nos ayuda a aplicar controles capaces de proteger cada activo de información y a hacer apreciación de riesgos a estos. Promueve la capacitación y concientización del personal y enseña a salvaguardar la información en diferentes formatos: física o digital. 

• • Beneficios: Cualquier industria de cualquier país puede implementar este estándar, opera bajo el enfoque de procesos, uno de sus propósitos es agregar valor y es la más completa de esta lista.

• NIST: El Departamento de Comercio de Estados Unidos cuenta con el Instituto Nacional de Estándares y Tecnología (NIST), este último fue creado con el propósito de avanzar en tecnología, normas y, metrología, de modo que U.S.A se mantenga a la vanguardia de las innovaciones, excelencia y la competencia industrial. La primera vez que se publicó uno de los textos de NIST fue en el año 2014. Está orientado a la ciberseguridad, a diferencia de ISO/IEC 27001, que tiene un espectro más amplio porque contempla ciberseguridad y seguridad de la información en físico. NIST ayuda a priorizar y alcanzar los objetivos de seguridad cibernética.
  • Beneficios: es flexible, cuenta con excelentes prácticas en ciberseguridad, ayuda a entender, gestionar y reducir los riesgos cibernéticos y sirve para proteger las redes y datos de la organización.

• ENS: El Esquema Nacional de Seguridad es un decreto español aprobado en 2010 que sirve para establecer la política de ciberseguridad en la utilización de los servicios públicos. Contiene principios básicos y requisitos que garantizan la protección de la información. Al igual que NIST, el ENS aborda lo relativo a ciberseguridad.
  • Beneficios: sirve para guiar el comportamiento de la Administración Pública en materia de ciberseguridad, fomenta la agilidad, autogestión y confianza de los ciudadanos que llevan a cabo sus trámites, prioriza la continuidad del servicio y la monitorización del sistema.

• TISAX: Solo aplica a la industria automovilística, sus siglas las debe a Trusted Information Security Assessment eXchange (intercambio de evaluación de seguridad de la información confiable) y tiene como propósito establecer requisitos de privacidad, reglas de seguridad de la información y controles técnicos que pueden implementar no solo los fabricantes, sino toda la cadena de suministros. 
  • Beneficios: contribuye a la identificación y gestión de riesgos, brinda confianza a los clientes y previene violaciones a la seguridad de la información.

Software Seguridad de la Información ISOTools

La ISO 27001 para los Sistemas de Gestión de Seguridad de la Información es sencilla de implantar, automatizar y mantener con la Plataforma Tecnológica ISOTools.

Con ISOTools se da cumplimiento a los requisitos basados en el ciclo PHVA (Planear – Hacer – Verificar – Actuar) para establecer, implementar, mantener y mejorar el Sistema Gestión de la Seguridad de la Información, así como se da cumplimiento de manera complementaria a las buenas prácticas o controles establecidos en ISO 27002.

Este software, permite integrar la ISO 27001 con otras normas, como ISO 9001,
ISO 14001 y 45001 de una forma sencilla gracias a su estructura modular.