ISO 27001, LA NORMA DE LA SEGURIDAD DE LA INFORMACIÓN.
La norma ISO 27001 es una norma internacional, válida y reconocido en la mayoría de los países como estándar que establece cómo debe implementar una organización su sistema de gestión de seguridad de la información.
La norma, cuya última revisión data de 2013, permite a las organizaciones la evaluación del riesgo y la aplicación de los controles necesarios para mitigarlos o eliminarlos. Los requisitos de la norma están contenidos en una estructura divida en 10 capítulos, común a otras normas ISO que gozan de gran aceptación en el mundo corporativo, como ISO 9001 o la ISO 14001. Por ello, es relativamente sencillo para una organización realizar una integración en su sistema de gestión que recoja los requisitos comunes y específicos de cada una de las normas, por ejemplo, ISO 9001 + ISO 27001.
Si, además el sistema de gestión integrado está certificado y es auditado regularmente (lo habitual es que sea cada año), las entidades de certificación suelen realizar auditorías conjuntas, de forma que el equipo auditor, en el transcurso de la auditoría revisa el cumplimiento de requisitos de ambas normas.
En cuanto a la estructura de la norma, en la ISO 27001 existen 14 dominios, 35 objetivos de control y 114 controles. Una de las cuestiones más llamativas de la norma ISO 27001 es el proceso de gestión del riesgo, al que se le ha otorgado una gran flexibilidad. Este proceso consiste en identificar todos los riesgos que existen y sus propietarios, analizarlos y gestionar un plan de tratamiento de los mismos que tenga en cuenta la integridad, la disponibilidad y la confidencialidad.
El análisis de riesgos es una técnica de recopilación de información sobre procesos y sistemas utilizados en la organización que pretende mejorar la administración y el uso de esos recursos, así como protegerlos antes las vulnerabilidades que pudiesen encontrar. Para ello, se debe controlar la probabilidad de que ocurran determinados eventos y las consecuencias que ellos pueden traer para la organización.
Existen muchas formas de realizar un análisis de riesgos ISO 27001. Pero lo más importante es entender la fórmula que determina la importancia de un riesgo. Esta se puede calcular multiplicando la vulnerabilidad de un activo por la importancia para la organización. Así, cuanto más vulnerable es un elemento, y cuanto más importante es para la organización, mayor es el riesgo que supone. Entonces, la inversión para disminuir ese riesgo tendrá que ser mayor.
El análisis de riesgos es una técnica que obedece a un ciclo y debe realizarse de forma periódica. Al llegar al final del ciclo, se puede recomenzar la fase de recolección de información nuevamente. La idea es asegurar una mejora continua de los procesos, pues el avance diario de la tecnología implica mayores riesgos para la organización.
El conocimiento de los controles del Anexo A nos ayuda a comprender mejor el concepto de que la seguridad de la información no se encuentra restringida a la TI. De hecho, el alcance que tienen estos controles sobre áreas como Recursos Humanos, Gestión de Activos, Seguridad Física, Medio Ambiente, Seguridad en las Comunicaciones y Relación en la Cadena de Suministro así lo demuestra. Así, se confirma la amplitud del alcance de esta norma.
Las secciones o dominios en los que se agrupan los controles son los siguientes:
- Políticas de seguridad de la información
- Organización de la seguridad de la información
- Seguridad de los recursos humanos
- Gestión de Activos
- Controles de acceso
- Criptografía – Cifrado y gestión de claves
- Seguridad física y ambiental
- Seguridad operacional
- Seguridad de las comunicaciones
- Adquisición, desarrollo y mantenimiento del sistema
- Gestión de incidentes de seguridad de la información
- Cumplimiento
Sigue Nuestras redes sociales y mantente enterado de la novedad del mundo documental:
