Con los controles no es suficiente. Sigues necesitando la ISO 27001

Controles ISO 27001

La información es uno de los activos más importantes. Otras personas, empresas y países están dispuestos a pagar cualquier precio por la información que necesitan para obtener beneficios.

Ya hemos visto a través de la historia de cómo países han perdido guerras por la infiltración de la información y quedan vulnerables frente al “enemigo”, pero también podemos ver como el manejo de esa información de forma adecuada puede fortalecer nuestro sistema.

En seguridad de la información, cuando hablamos de controles, en seguida recurrimos al anexo A el cual es un guía, un documento el cual nos sirve para implementar controles enfocados específicamente a la norma ISO 27001 de Sistema de Gestión de Seguridad de la Información los cuales nos van a permitir mejorar las condiciones de riesgos eminentes dentro de la organización.

Controles de Seguridad de la Información

El anexo A data, en su versión actual, de 114 controles, los cuales en la norma de seguridad de la información ISO 27001 son obligatorios en su aplicación, sin embargo, se puede encontrar con excepciones, estas se presentan cuando aplica no apuntan a algún riesgo valorado.

Con la aplicación de estos controles lo primero que se puede entender es que estos controles no apuntan al área informática de la organización, sino a todos los elementos que hacen parte de la organización, como por ejemplo el recurso humano o infraestructura, entre otros elementos. Y los grupos que podemos encontrar son 14 descritos de la siguiente manera: Políticas de seguridad de la información, Organización de seguridad de la información, seguridad de los recursos humanos, gestión de recursos, control de acceso, criptografía, seguridad física y ambiental, seguridad operacional, seguridad de las comunicaciones, adquisición, desarrollo y mantenimiento de sistemas, relaciones con los proveedores, gestión de incidentes en seguridad de la información, aspectos en seguridad de la información de la gestión de continuidad de negocio, y cumplimiento.

Sin embargo, lo que debemos tener en cuenta es que así, como hay controles que aplican a los diferentes riesgos, podemos encontrar aquellos controles que no aplican, pero también aquellos que no se encuentran y que por tal motivo no se pueden aplicar, ni crear a manera de imposición en sí mismo.

No son suficientes

Es por esto que los controles no se consideran suficientes para cumplir con los principios de la norma ISO 27001, los cuales corresponden a la Confiabilidad, Integridad y Disponibilidad de la información, además de los ítems que permiten generar documentos como políticas, liderazgo, etc., en general los ítems que la conforman.

Es por esto que se cuenta con todo un paquete de normas y guías ISO que permiten que el sistema sea robusto adicional de sus controles, como por ejemplo la Norma ISO 9001 de calidad que permite que la implementación de un sistema de seguridad de la información en principio sea más fácil de implementar, esto debido a que ya hay una madurez en el manejo de los procesos y en general de todo el sistema dentro de la organización, se cuenta con guías como la ISO/IEC 27002 encargada de las buenas prácticas de la gestión de la seguridad de la información con la ayuda de sus 93 dominios, entre otras como la ISO 27301 de continuidad de negocio y así aproximadamente unas 20 guías que nos van a permitir potenciar no solo los controles sino nuestro SGSI.

Para el manejo de estos sistemas, la tecnología, hoy en día, cuenta con software configurables acuerdo a las necesidades de la organización, que permiten realizar una gestión óptima del sistema en ejecución, control, análisis y toma de decisiones que permiten a las organizaciones cumplir con sus objetivos.

Software Seguridad de la Información ISOTools

Para una gestión eficaz de los controles de Seguridad de la Información se hace imprescindible mantener bajo control las vulnerabilidades y amenazas de cada proceso, ya tengan que ver o no con activos de la organización. Para ello se ha de contar con las metodologías que sean necesarias como ISO 27001, cuyos controles se detallen en la ISO 27002 y han sido modificados recientemente en 2022.

Todos estos controles de Seguridad de la Información, así como las mejores prácticas para su gestión automatizada, se encuentran recogidos en el Software de Gestión de Seguridad de la Información ISOTools. Gracias a ISOTools consigue una gestión eficiente de la Seguridad de la Información, desde la implementación hasta la certificación. Para conocer como hacemos más eficiente la gestión de la Seguridad de la Información en las organizaciones puede inscribirse en la demostración gratuita que celebramos semanalmente, haciendo clic aquí.