Seguir la norma internacional ISO 27001 significa configurar su organización con un sistema de gestión de seguridad de la información (SGSI) eficaz. Mirándolo desde una perspectiva práctica, si desea establecer y operar el mejor SGSI para su organización, puede recurrir a las especificaciones ISO 27001 para guiarlo en el proceso de cómo hacerlo.
¿Qué es la norma ISO 27001?
ISO 27001 es una metodología que tiene como objetivo crear e implementar un SGSI eficaz para una organización. En pocas palabras, un SGSI sólido es el principal producto de la implementación de ISO 27001. Si el SGSI es el “qué”, la ISO 27001 es el “cómo”.
La ISO 27001 se basa en riesgos, lo que significa que se basa principalmente en la identificación y evaluación de los riesgos dentro de una organización y su sistema de protección de datos. El siguiente paso es implementar medidas basadas en esas evaluaciones, seguido de un seguimiento y mejoras continuos.
¿Cuál es el propósito de la ISO 27001?
El propósito de ISO 27001 es proporcionar pautas para "establecer, implementar, operar, monitorear, revisar, mantener y mejorar el sistema de gestión de seguridad de la información".
El objetivo de crear un sistema SGSI basado en ISO 27001 es proteger la confidencialidad, integridad y disponibilidad de los datos de una organización.
- Confidencialidad : la información sólo es accesible a personas autorizadas
- Integridad : los cambios en la información sólo pueden ser realizados por personas autorizadas
- Disponibilidad : las personas autorizadas tienen acceso oportuno e ininterrumpido a la información.
¿Qué es un SGSI?
Un SGSI es importante para la ciberseguridad de una empresa. Es un conjunto de políticas concretas cuyo objetivo principal es proteger los datos de una empresa (y de los clientes de la empresa), reducir el riesgo de violaciones de datos y ataques cibernéticos, y prescribir controles que podrían mitigar el daño si ocurre.
Una vez que haya configurado su SGSI, habrá analizado en profundidad las políticas, los procedimientos, las medidas técnicas y la capacitación del personal necesarios para gestionar los riesgos asociados con las amenazas a la seguridad de los datos.
¿Cuál es el alcance de la ISO 27001?
Toda organización que maneje cualquier tipo de información confidencial es candidata a cumplir con la norma ISO 27001.
Las industrias de TI, finanzas, farmacéuticas y de salud son candidatos obvios. Pero, en última instancia, cualquier organización, sin importar su tamaño o tipo, puede beneficiarse enormemente del cumplimiento de la norma ISO 27001. Privadas, públicas, con o sin fines de lucro son propensas a sufrir violaciones de datos.
Además, la ISO 27001 es un estándar internacional, lo que significa que se reconoce fácilmente sin importar dónde esté haciendo negocios.
Cómo implementar la norma ISO 27001
Puede consultar la norma ISO 27001 como una descripción general de las mejores prácticas en seguridad de datos. No es prescriptivo. No son instrucciones paso a paso las que debe seguir al configurar su SGSI. Es una guía que permite a cada organización lograr un SGSI personalizado, basado en su evaluación de riesgos individual.
Luego, la organización decide, teniendo en cuenta sus circunstancias únicas, qué medidas de seguridad, sugeridas por la norma ISO 27001 tienen más sentido para cada riesgo encontrado. Y éstas se implementan en el SGSI de la organización.
Un enfoque holístico para la protección de datos
ISO 27001 surge de un enfoque holístico que analiza la seguridad de los datos desde tres ángulos principales: personas, tecnología y procesos . Por lo tanto, debe esperar que el SGSI que se elabore sea visible en todas las áreas de su organización y procesos comerciales.
Esto se debe a que el uso de la tecnología por sí solo no será suficiente para proteger los datos. La mayoría de las veces, existe un factor humano involucrado en cualquier violación de datos. Piense en todos los aspectos sobre los que el departamento de TI no tiene control, como información confidencial filtrada accidentalmente en un correo electrónico, empleados remotos que usan sus propias computadoras o redes no seguras, o cuando le roban el teléfono a un gerente.
Esta es la razón por la que se debe cumplir un SGSI basado en la ISO 27001 en toda la organización o empresa, utilizando un enfoque de arriba hacia abajo en lugar de uno de abajo hacia arriba.
Involucrar a la gerencia es uno de los requisitos previos clave para implementar ISO 27001. Puede tener el mejor SGSI en papel, pero si su gerencia no está detrás de él, nunca ganará terreno en su organización.
Una cosa es tener tecnología y software actualizados, pero las personas, su capacitación y la aplicación de políticas son igualmente importantes. La ISO 27001 tiene esto en cuenta y ayuda a garantizar que estos puntos se aborden tanto como la tecnología misma.
Los principales pasos para implementar la ISO 27001.
Los componentes básicos en la implementación de la ISO 27001 son:
- Identificar partes interesadas
- Las partes interesadas definen sus expectativas en términos de seguridad de la información
- Evaluar riesgos. Analizar lagunas.
- Definir controles y otros métodos de mitigación para manejar los riesgos de una manera que cumpla con las expectativas establecidas.
- Implementar los controles y otros métodos de tratamiento de riesgos.
- Medir continuamente si los controles funcionan como se espera
- Realizar mejoras continuas para garantizar que el sistema esté siempre en su mejor momento.
Evaluación de riesgos
Para realizar el análisis de riesgos formal requerido por la ISO 27001, primero deberá decidir si contratará a un consultor para que lo ayude o si lo hará por su cuenta.
Las corporaciones más grandes pueden tener empleados o equipos completos dedicados a tareas como ésta, por lo que pueden decidir realizar una evaluación por su cuenta. Por otro lado, contratar a un consultor experimentado podría hacer que el proceso sea más rápido y fluido, sin ocupar el valioso tiempo de todo un equipo en una tarea bastante desalentadora.
Una organización pequeña podría decidir que es lo suficientemente pequeña como para manejar su propia evaluación de riesgos. Por otra parte, es posible que prefieran un especialista, porque puede que ellos mismos no se sientan preparados para el desafío.
Independientemente de lo que elija hacer, primero deberá recopilar una lista de activos (esto incluye elementos como archivos electrónicos, hardware y propiedad intelectual) y quién es su propietario; en otras palabras, quién es responsable de qué riesgo.
Una vez que se elabora una lista de activos, es hora de pensar en las amenazas y vulnerabilidades asociadas con ellos, seguido de una evaluación de cada riesgo. Puntuarás cada riesgo para poder identificar cuáles son más probables y cuáles tendrían las peores consecuencias y, por tanto, tienen prioridad sobre otros.
Una vez que se completa una evaluación de riesgos de la ISO 27001, está listo para pasar a descubrir métodos y controles de mitigación.
Los 14 conjuntos de control de la norma ISO 27001
Hemos hablado de cómo se debe esperar que el SGSI de una organización afecte todos los aspectos del negocio. Para comprender mejor lo que esto implica, el Anexo A de la ISO 27001 cubre 14 dominios del sistema de seguridad de la información de una empresa y describe los controles que se pueden utilizar dentro de cada dominio en particular.
Estos son los 14 conjuntos de control de la ISO 27001 y su (muy breve) contenido:
Dominio |
Contenido |
Políticas de seguridad de la información |
Alinear las políticas con la dirección general de seguridad de la organización. Ejecución de políticas. |
Organización la seguridad de la información |
Gestionar las prácticas de seguridad de la información dentro de la organización. Aborda dispositivos móviles y fuerza laboral remota. |
Seguridad de recursos humanos |
Responsabilidades de las personas antes, durante y después del empleo en la organización. |
Gestión de Activos |
Asegurar e identificar activos de datos, almacenamiento y protección de datos. |
Control de acceso |
Garantizar que los empleados solo puedan ver la información que sea relevante para ellos. |
Criptografía |
Cifrado de datos, protección de la confidencialidad de los datos. |
Seguridad Física y Ambiental |
Prevenir el acceso físico no autorizado o daños a las instalaciones de la organización. Prevenir la pérdida o robo de hardware o equipos de almacenamiento de archivos. |
Operaciones Seguridad |
Garantizar que las instalaciones que se ocupan de la recopilación y el almacenamiento de datos sean seguras. Gestión de vulnerabilidades. |
Seguridad de las comunicaciones |
Proteger la información en redes, ya sea dentro de la organización o cuando se transmite a un tercero. |
Adquisición, desarrollo y mantenimiento del sistema |
Mantener los requisitos de seguridad durante todo el ciclo de vida. |
Relaciones con proveedores |
¿Qué información está disponible para las partes contractuales y cómo se maneja la seguridad de la información? |
Gestión de Incidentes de Seguridad de la Información |
Identificar quién es responsable de manejar y reportar problemas de seguridad y los pasos del proceso. |
Gestión de Continuidad del Negocio |
Crear un sistema para mantener el proceso de seguridad de la información durante las interrupciones del negocio. |
Cumplimiento |
Identificar y cumplir con las leyes y regulaciones relevantes para la organización. |
Conclusión
Como hemos explicado, una organización no está obligada a implementar todos los controles mencionados en la norma ISO 27001. Solo deben considerarse si tiene sentido según la evaluación de riesgos y las expectativas de la organización.
Una parte integral de tener un buen SGSI no es solo la implementación de las mejores prácticas de la ISO 27001, sino el mantenimiento y mejora continua del sistema. Es la única manera de asegurarse de que el sistema de seguridad de datos de su organización se mantenga actualizado y actualizado.
Cómo ayuda Safetica a cumplir con la norma ISO 27001
Descripción general de datos confidenciales
Safetica proporciona una descripción general de los flujos de información y el almacenamiento de datos confidenciales, le ayuda a monitorear las operaciones del usuario y le proporciona informes sobre cómo se procesan los datos.
Clasificación de datos y políticas de seguridad
Con Safetica puede clasificar fácilmente los datos y, en función de eso, puede aplicar políticas de DLP y hacer cumplir los comportamientos deseados cuando los usuarios interactúan con información confidencial.
Cifrado de datos
Safetica le ayuda a cifrar sus datos. El cifrado se gestiona de forma centralizada en la consola de gestión de Safetica.
Notificación de fuga de datos
En caso de un incidente de seguridad, el sistema de alerta por correo electrónico en tiempo real de Safetica notifica al personal correspondiente. Proporciona detalles para que pueda tomar medidas de seguimiento y minimizar el impacto de la fuga de datos.
Cumplimiento normativo
Con Safetica y sus políticas DLP puede asegurarse de cumplir no solo con la norma ISO 27001 sino también con otras regulaciones, como GDPR , PCI DSS , HIPAA , CMMC y más .