ISO 27001

Los clientes se preocupan de proteger la información bajo la custodia de proveedores y servicios contratados. El incremento en las demandas de cumplimiento del cliente, además ha incrementado todos los desafíos para los proveedores al integrarlos en los procesos de negocio. Es necesario conocer todos los beneficios de la norma ISO 27001 para la empresa.

Es necesario que se realice el enfoque adecuado, los problemas de cumplimiento de todos los requisitos puede variar. Los contratos se pueden cancelar y puede que surjan acciones legales. Es necesario tener un método estructurado para asegurar la integración de todos los procesos y el cumplimiento de los diferentes requisitos del cliente, que se convierte en un requisito fundamental para el negocio.

Durante este artículo vamos a realizar un caso práctico para que los proveedores que han implementado la norma ISO 27001 vean que pueden usar un Sistema de Gestión de Seguridad de la Información con el que apoyar la integración y el cumplimiento de todos los requisitos de los clientes.

FAR y DFARS 7012

El Reglamento Federal de Adquisiciones (FAR) es el conjunto de normas de los Estados Unidos que se rigen por el proceso usado por las diferentes agencias que se utilizan para conseguir bienes y servicios contratados, se establecen políticas y procedimientos comunes para asegurar que las adquisiciones satisfagan todas las necesidades de los organismos en términos de costo, calidad y oportunidad, además de los objetivos públicos.

Por regla general, FAR es complementario a otra documentación que ha sido emitida por las mismas agencias cuando es necesario aplicar diferentes restricciones o requisitos adicionales. Uno de los principales suplementos es DFARS, que se utiliza por el Departamento de Defensa de los EEUU.

El número 7012 es una abreviatura, que requiere de la protección de la información de defensa que se etiqueta como información no clasificada, mediante la implementación de NIST SP 800-171 “Protección de Información no Clasificada Controlada por Sistemas y Organizaciones de Información No Férrea”. Si estás interesado en obtener más información sobre la ISO 27001 que es de carácter internacional, puedes leer ¿Cuáles son las cualidades que debe tener un auditor ISO 27001?.

¿Quién debe cumplir con DFARS 7012?

Se utiliza durante todas las solicitudes y controles de departamento de defensa de los Estados Unidos y tiene que ser utilizado por todos los contratistas y subcontratistas que utilicen sistemas de información para procesar, almacenar o transmitir información de forma encubierta.

El incumplimiento de DFARS hace que los contratistas se encuentren sometidos a sanciones por incumplimiento por parte del gobierno de los EEUU y por personas o empresas privadas que afectan a las fallas que se encuentran relacionadas.

La publicación especial del Instituto Nacional de Estándares y Tecnología establece 109 controles
Click To Tweet

NIST SP 800-171

La publicación especial del Instituto Nacional de Estándares y Tecnología establece 109 controles diferentes, que se encuentran derivados de NIST SP 800-53. Se usa para tratar distintas deficiencias con respecto a la administración y a la protección de la información que se encuentra no clasificada, como pueden ser las marcas inconsistentes, salvaguardias inadecuadas o restricciones innecesarias.

Los diferentes controles se encuentran organizados en 14 familias, de la siguiente manera:

• Control de acceso
• Concienciación y capacitación
• Auditoría y rendición de cuentas
• Identificar y autentificar
• Gestión de la configuración
• Mantenimiento
• Respuesta al incidente
• Seguridad personal
• Protección de medios
• Protección física
• Evaluación de riesgos
• Protección de sistemas y comunicaciones
• Evaluación de seguridad
• Integridad de los sistemas de información

La aplicabilidad se define por el uso del marco de Gestión del Riesgo del NIST, siendo un conjunto de publicaciones usadas para categorizar los sistemas de información y definir todos los controles que se pueden aplicar.

Beneficios ISO 27001 durante la implementación del NIST SP 800-171

Se definen todos los requisitos que se deben cumplir. Las organizaciones pueden usar el Marco de Gestión de Riesgo de NIST, ¿Cuáles son los beneficios ISO 27001? Esta pregunta se puede responder con dos argumentos:

• Una norma internacional, si una organización implementa la norma ISO 27001 será mucho más atractiva para otros clientes potenciales en todo el mundo, además sigue siendo capaz de trabajar con las agencias gubernamentales.
• La compatibilidad con otras normas ISO que facilita la integración del contexto de la gestión de toda la organización.

Para utilizar los beneficios de la norma ISO 27001 es necesario que NIST SP-800-53 y NIST SP 800-171 tengan un apéndice con tablas de mapeo que se relacionan con los controles en el Anexo A de la norma ISO 27001. El control NIST SP 800-171 AC-2 ofrece los siguientes controles:

• 2.1 – Registro y cancelación de registro del usuario
• 2.2 – Provisión de acceso de usuario
• 2.3 – Gestión de los derechos de acceso privilegiados
• 2.5 – Revisión de los usuarios derechos de acceso
• 2.6 – Eliminación o ajuste de los derechos de acceso

Una organización puede seguir todos los pasos que se usan para identificar e implementar los controles del Anexo A para identificar e implementar los controles NIST SP 800-171, pero algunas consideraciones debe ser célebres.

Software ISO 27001

El Software ISOTools Excellence para ISO 27001 para la Seguridad de la Información se encuentra compuesto por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las organizaciones no pierda ninguna de sus propiedades más importantes. Facilita el cumplimiento de los requisitos legales que  les repercuten.

La entrada La norma ISO 27001 beneficia a las organizaciones se publicó primero en ISOTools México.

ISO 27001

Después de que haya dedicado un tiempo bastante considerable para conseguir la implantación de la norma ISO 27001, es decir, ha invertido bastante en capacitación, consultoría e implantación de diferentes controles. Ahora llega el auditor de la entidad de certificación. Es normal que nunca pueda saber si su Sistema de Gestión de Seguridad de la Información tiene todo lo que la entidad certificadora solicita. Pero, ¿Qué busca exactamente el auditor?

El auditor lleva a cabo la:

Fase 1 “Revisión de la documentación”. El auditor busca la documentación sobre el alcance, la política y los objetivos del Sistema de Gestión de Seguridad de la Información, la descripción de la metodología de evaluación de riesgos, el informe sobre la evaluación de riesgos, la declaración de aplicabilidad, el plan de tratamiento del riesgo, los procedimientos para el control de documentos, las medidas correctivas y preventivas, además de la auditoría interna. Es necesario que se documenten algunos de los controles del Anexo A:

• Inventario de activos
• Utilización accesible de activos
• Tareas y responsabilidades de los empleados, contratistas y terceros
• Términos generales de empleo
• Procedimientos para el funcionamiento de las instalaciones de procesamiento de la información
• Política de control de acceso
• Identificación de la legislación aplicable.

Es necesario que se realicen registros de la auditoría interna y una revisión por parte de la gerencia.

El certificado #ISO27001 solo tiene validez durante tres años
Click To Tweet

Si falta alguno de estos elementos, significa que no se encuentra listo para la Fase 2 de auditoría. Es posible que usted tenga más documentos que si se consideran necesarios, pero la lista contiene los requisitos mínimos.

La Fase 2 “Auditoría principal”. Se lleva a cabo unas semanas después de que se realice la fase 1. En esta auditoría el enfoque no va a ser sobre la documentación sino en comprobar que su empresa realmente está haciendo lo que sus documentos y la norma ISO 27001 dicen que tiene que hacer. En otras palabras, el auditor verifica si su Sistema de Gestión de Seguridad de la Información verdaderamente se ha materializado en su empresa o si sólo se trata de letra muerta. El auditor lo verifica a la hora de realizar la observación y las entrevistas con sus empleados pero principalmente controlando su registro. Entre los riesgos obligatorios se incluyen los de la formación, capacitación, habilidades, experiencias y calificaciones, auditoría interna, revisión por parte de la gerencia y medidas correctivas y preventivas. El auditor espera ver mucho más registros como resultado de la realización de los procedimientos.

El auditor puede que encuentre un incumplimiento grave y debe informar de que no se puede emitir el certificado en ISO 27001. En este momento se deberá seguir un proceso como: el auditor informará de los resultados en el informe de auditoría y le dará un plazo en el cual se deberá solucionar el incumplimiento, como caso contrario, el auditor pude no aceptar lo que se ha hecho. Una vez que este seguro de haber tomado las medidas correctas, es necesario que se modifique al auditor y se envíe la evidencia de lo que han hecho. En la mayoría de los casos, si ha hecho su trabajo, el auditor aceptará su medida correctiva y activará el proceso de emisión del certificado.

Es muy posible que esto le lleve tiempo pero en este momento usted se puede encontrar orgulloso de contar con un Sistema de Gestión de Seguridad de la Información certificado bajo ISO 27001. Debe tener en cuenta que el certificado solo tiene validez durante tres años, y que puede ser suspendido durante dicho periodo si la entidad de certificación identifica algún otro incumplimiento grave en las visitas de control.

Software ISO 27001

El estándar internacional ISO 27001, junto con todas las normas que componen su familia, generan todos los requisitos necesarios para poder implementar un Sistema de Gestión de Seguridad de la Información de una forma rápida y sencilla, además el Software ISOTools Excellence para ISO 27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa.

La entrada ¿Cuáles son los pasos a seguir para conseguir la certificación ISO 27001? se publicó primero en ISOTools México.

ISO 27001

Muchas empresas de hoy en día cuentan con controles para protegerse de software maliciosos, para evitar que los trabajadores tengan acceso a lugares maliciosos o para cifrar la información cuando es envidado o recibido mediante un correo electrónico. La manera más sencilla de tener todo esto controlado es con la implantación del Sistema de Gestión de Seguridad de la Información basado en el estándar internacional ISO 27001.

A menudo se encuentran con empresas que descuidan la protección física de los equipos, a veces es debido que a muchas empresas piensan que los problemas de seguridad se manejan si compran un buen antivirus o cualquier otra solución que ofrezca un buen software.

En lo referente a la protección física de los equipos, tenemos diferencias entre dos tipos de medidas: las que afectan de manera directa al equipo y la que afectan de manera indirecta a los equipos.

Puede ser que resulte de interés la lectura de este artículo ISO 27001: Generalidades.

En este artículo queremos ofrecer algunas sugerencias y mejorar las prácticas sobre las medidas que afectan de manera indirecta a los equipos, lo que ayuda a su organización a ser mucho más segura mediante la protección de la seguridad de la información de su empresa. Para ofrecer dichos consejos nos ayudaremos del Anexo A de la ISO 27001, el cual se centra en la seguridad física del equipo, al implantar el Sistema de Gestión de Seguridad de la Información.

Los servicios públicos de apoyo

Es obvio que el equipo tiene que estar conectado a una toma de corriente, y en muchos casos existe un generador que proporcione energía en el caso de que falle el principal proveedor de energía. Nos encontramos con las empresas que nunca han probado su suministro de energía alternativa y no conoce el tiempo que puede trabajar con esta energía alternativa. No sólo es importante para establecer una alternativa, sino que también es importante para definir el plan de mantenimiento y definir las tareas que debe llevar a cabo. Es muy recomendable que se genere un informe con todos los resultados.

Se encuentran organizaciones que trabajan en un centro común y tiene un generador que es administrado por un tercero. No debe ser un problema, ya que puede solicitar a su proveedor un servicio de mantenimiento y las pruebas.

El punto de inflexión es que existen muchas amenazas en la seguridad de la información #ISO27001
Click To Tweet

Cableado de seguridad

En este caso parece obvio que las tecnologías actuales no sean posibles sin cables, y es muy común que nadie se moleste en ordenar el cableado de manera estructurada. Pero, para evitar errores:

• Los cables no deben estar sueltos o sin etiquetar.
• Deben ser recogidos y canalizados mediante formas preparadas para tender el cable.
• Se debe contar con bastidores de armarios, paneles eléctricos o cualquier otro material para proteger y canalizar los cables que deben ser utilizados.

Claro escritorio y la política de pantalla transparente

Todos los usuarios de hoy en día son conscientes y saben que no deben escribir su contraseña en una nota adhesiva y pegarla en la pantalla de su ordenador, o en el escritorio. Sin embargo, este problema no se puede descuidar, ni se debe pensar que los usuarios sean conscientes de todas las medidas que deben llevar a cabo en el escritorio de su ordenador. Por tanto, se deben establecer una serie de políticas que recuerden que los usuarios no deben dejar ninguna información sensible en cualquier zona, como establece el Sistema de Gestión de Seguridad de la Información de la norma ISO 27001.

La implementación de un Sistema de Gestión de Seguridad de la Información bajo la norma ISO 27001, es muy útil para proteger su equipo de ataques malintencionados de los hackers de diferentes maneras. El punto de inflexión es que existen muchas amenazas que se encuentran relacionadas con la seguridad física y porque los atacantes saben que el equipo es un punto débil de muchas empresas. Por lo tanto, debe aprender a aplicar las medidas necesarias para que su equipo no sea atacado.

Software ISO 27001

El estándar internacional ISO 27001, junto con todas las normas que componen su familia, generan todos los requisitos necesarios para poder implementar un Sistema de Gestión de Seguridad de la Información de una forma rápida y sencilla, además el Software ISOTools Excellence para la norma 27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa.

La entrada ¿Cómo se pone en práctica la protección física del equipo según la norma ISO 27001? se publicó primero en ISOTools México.

ISO 27001:2013

Hace un tiempo aún se temía por la seguridad al realizar pagos con tarjeta de manera online. Actualmente, el Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago (Payment Card Industry Data Security Standard) o PCI DSS, junto a la norma ISO 27001:2013 ayuda a la mejora de la seguridad y a evitar posibles fraudes.

Durante estos últimos meses han saltado los avisos nacionales e internacionales que dan la alarma acerca de los distintos ciberataques en cadenas hoteleras importantes.

Otras compañías del sector hotelero, como es el caso de Hilton, ha reconocido que su sistema de seguridad tiene una brecha que ha permitido el robo de datos de tarjetas de crédito de sus propios clientes.

Estos fallos de seguridad son muy parecidos a los que han sufrido otras cadenas como en el caso de Mandarin Oriental, Starwood e incluso la del presidente de los Estados Unidos, Trump Collection.

Todas ellas se han visto afectadas en relación a la información de las tarjetas de crédito de sus clientes. Uno de los últimos casos que se ha conocido es aquel que afecta a Hyatt, la cual advirtió de un fallo en el sistema de pagos. La compañía encontró un malware en los ordenadores, el cual proceso los datos de pago de sus clientes llegando a afectar a un total de más de 300 hoteles.

Una de las atractivas fuentes de datos para los ladrones y piratas informáticos son las páginas web de reservas hoteleras. Estas páginas reciben una constante alimentación de las bases de datos de hoteles de manera continua.

¿Sabes cómo proteger las áreas de las organización a través de seguridad física? Para conocer más sobre este aspecto haz clic aquí.

El poder de la información

Actualmente la información es poder, sobre todo cuando dicha información es relativa a datos de carácter bancario. Sobre estos datos el interés de los piratas y hackers informáticos crece. Por ello, las técnicas que estos utilizan se han ido actualizando y sofisticando con el paso del tiempo. Como resultado, los medios de protección se han ido actualizando y mejorando, persiguiendo de manera continua la eficacia total. Existen normas internacionales en materia de seguridad de la información a través de las cuales se puede garantizar la seguridad de los datos. La norma ISO 27001:2013 establece medidas de seguridad en relación a ficheros con datos de carácter personal.

Para garantizar la seguridad dentro de una página es necesario establecer distintos protocolos que puedan asegurar la seguridad de los datos que en ella se almacenan. Uno de los protocolos que permite asegurar a las organizaciones la seguridad es el Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago (Payment Card Industry Data Security Standard) o PCI DSS. Este certifica a las organizaciones para el tratamiento eficiente de datos relacionados con las cuentas de pago.

#ISO27001: Las páginas web de reservas hoteleras ofrecen muchos datos atractivos para los hackers
Click To Tweet

¿Qué es PCI DSS?

La PCI DSS junto a la norma ISO 27001:2013 incrementa la seguridad de las transacciones realizadas con tarjetas de crédito o débito. Esto se lleva a cabo a través de la promoción de la educación y el conocimiento acerca de las normas de seguridad. Esta organización fue fundada por American Express, JCB International, Discover Financial Services, MasterCard y Visa.

Las organizaciones deben superar con éxito las auditorias anuales que exigen el estándar PCI DSS así como la norma ISO 27001:2013. En ellas se llevan a cabo tareas como:

• Escaneos trimestrales de las vulnerabilidades y la corrección de cada una de las vulnerabilidades en un nivel medio/alto que puedan aparecer.
• Las evidencias técnicas de que se da cumplimiento a los 12 requisitos que se encuentran en relación a los protocolos de respuesta que tiene la organización en caso de que tenga lugar cualquier incidencia y todas las soluciones posibles que se pueden utilizar.

Según declaraciones del Jefe de Seguridad de la Dirección de Sistemas de Información, la superación de la auditoría es un proceso costoso. Pues ello supone una gran carga de trabajo para poder mantener la certificación PCI DSS e ISO 27001:2013. Se trata de un trabajo continuo, de aprendizaje de manera continua.

Este certificado cuenta ya con una relevancia en las organizaciones que trabajan con estas bases de datos. Son ya muchas las grandes empresas, como Amazon, Microsoft, e incluso entidades financieras como BBVA, Santander o CaixaBank, las que cumplen con esta normativa en sus servicios de pago.

Software ISO 27001

Para garantizar la automatización, gestión y control de un Sistema de Gestión de Seguridad de la Información de manera eficaz, podemos ayudarnos con el Software ISOTools Excellence. Soluciona de forma completa los requisitos de la norma ISO 27001. Además, ofrece al cliente la herramienta imprescindible para obtener una mejora continua en su gestión de procesos, con el consiguiente aumento de sus beneficios a corto plazo.

La entrada ISO 27001:2013 y PCI-DSS mejoran la seguridad de pago se publicó primero en ISOTools México.

Norma 27001

Para poder cerrar un negocio con éxito se requiere haber realizado previamente un plan de negocio que contemple a la norma ISO 27001.

Este debe llevarse a cabo con una gran comprensión sobre los servicios y los hábitos de los clientes. Además, debe estar preparado para poder adaptarse rápidamente a las nuevas necesidades de los clientes o al aumento de la demanda de los clientes.

La gestión de la capacidad es el principio de todo esto.

El punto óptimo se encuentra en el equilibrio entre precio y rendimiento con el objetivo de satisfacer las necesidades de los propios clientes.

La gestión de la capacidad es un proceso muy complejo en el que todas las personas y la tecnología deben interactuar  estrechamente con la planificación, la supervisión y los recursos de ajuste.

Descubre como estar preparado para una auditoria de certificación en la norma ISO 27001 haciendo clic aquí.

La gestión de calidad de la respuesta a los requerimientos del negocio

Tanto la investigación, el desarrollo y las fases de pruebas han finalizado con éxito. Cada una de las partes son ordenadas para la infraestructura de TI, desde el proveedor de servicio en la nube.

Dado que la norma 27001 no trata en detalle acerca del proceso de gestión de la capacidad, una descripción más profunda puede encontrarse en la ISO 20000.

El proceso de investigación es analizado en el entorno de la nube y debe considerar cada uno de los requisitos de servicio.

En base a estos requisitos, el proceso de desarrollo de la información crea un nuevo servicio según cada una de las distintas funcionalidades previamente definidas.

En el supuesto de que existiese escasez en las capacidades humanas se debe llevar a cabo una planificación de adicional.

El proceso de compra debe contar con el servicio por parte de algún proveedor de la nube junto con los recursos humanos subcontratados.

El nuevo servicio tendrá un costo económico para comunicar cada uno de los procesos financieros como se puede prever.

Después de entrada en funcionamiento

Cuando el servicio se encuentra en el entorno de producción, haciendo uso de cada una de las herramientas de supervisión, control y capacidad de proceso de medición funciona velozmente.

Los parámetros de seguimiento y medición pueden ser muy variados aunque se pueden incluir los siguientes elementos:

• Cierto número de transacciones
• Número de usuarios
• Número de los nuevos clientes
• Disponibilidad de RAM en las horas punta

Dichos datos son de gran utilidad para el proceso de incidente, el proceso de desarrollo, el proceso de ventas y el proceso financiero.

Existe una gran cantidad de información acerca de la capacidad que requiere de análisis y comunicación en un instante concreto a un grupo de personas específicas para que el funcionamiento sea correcto.

La #ISO27001 no detalla mucho el proceso de gestión de la capacidad
Click To Tweet

Con el objetivo de satisfacer cada uno de los requisitos de la norma 27001, la organización debe de demostrar el uso de los recursos encargados de controlar, poner a punto y realizar proyecciones acerca de las futuras necesidades de capacidad.

Todo ello asegura el rendimiento del sistema que se necesita.

En sí, la norma 27001 no es muy específica, con la intención de que se utilice para mejorar lo que se desee. En base al alcance de la norma 27001 se centra en los servicios de la misión crítica, lo cual impulsaría al negocio. No pierde el tiempo en los pequeños trozos y piezas, pero investigan y vigilan cada una de las capacidades de los servicios que deben de tenerse en cuenta.

Debido a la importancia de la capacidad, la creación de una gestión de capacidad política tiene mucho sentido. Se debe de comunicar con claridad dentro de la organización.

Diagrama de proceso

La mejor manera de apoyar una política en base a la norma 27001 es llevar a cabo un proceso y dibujar un diagrama de proceso del mismo.

La representación visual del proceso será algo que todo el mundo entenderá y que puede ser comunicada con facilidad.

La elaboración de un proceso consiste en una lluvia de ideas en la que todo el mundo que participa aprende algo nuevo y donde se generan numerosas ideas para poder llevar a cabo distintas mejoras.

Se debe garantizar que se elabora un diagrama de un proceso que debe contener actividades como:

• Identificación requisitos de capacidad
• Definición e implementación de controles de detección
• Seguimiento y el ajuste del sistema de gestión
• Identificación y análisis de las tendencias de uso
• Proyecciones de las futuras necesidades de capacidad
• Creación de acciones de mejora
• Creación de plan de capacidad

Software ISO 27001

El Software ISOTools Excellence ofrece respuestas a todas esas preguntas que aparecen a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa u organización bajo la norma ISO 27001.

La entrada Norma 27001 y la aplicación de gestión de la capacidad se publicó primero en ISOTools México.

Norma ISO 27001

El ambiente donde se generan los riesgos es característico por su dinamismo. Este ofrece continuos cambios debido a las continuas amenazas que en él se desarrollan. Estas adquieren distintas vulnerabilidades y tienen lugar incidentes laborales con gran repercusión para la organización y los empleados. El enfoque está centrado en la idea de que ante este tipo de escenario solo es cuestión de tiempo que lleguemos a ser víctimas de las consecuencias que acompañan a las amenazas. Por esta razón, en el entorno de la seguridad de la información se persigue implementar ISO 27001.

Lo más relevante es estar preparados para poder dar respuesta a cada uno de los incidentes que puedan ocurrir. No deben dejarse de lado las medidas preventivas y proactivas que favorecen la reducción de probabilidad de ocurrencia y/o el impacto que estos pueden tener. Además de las posibles acciones correctivas que se requieren para solucionar los problemas.

Los posibles incidentes de seguridad pueden suceder bien por desconocimiento o por negligencia de los empleados. A su vez, pueden producirse de manera accidental o deliberadamente. Por ello, se tiene en cuenta la idea de aplicar distintas perspectivas o puntos de vista que incrementen y mejoren la seguridad de la información. El propósito es lograrlo a través de la alineación de normas.

Cuando hablamos de gestión estamos haciendo referencia a la puesta en marcha de distintas diligencias para lograr un objetivo en la organización. Teniendo esta definición como punto de partida se entiende que el objetivo esencial es la protección de la información fundamental para lograr los distintos objetivos. Debido a esto, para las organizaciones ya se ha convertido en una necesidad implementar ISO 27001.

Pautas para operar con un Sistema de Gestión de Seguridad de la Información

El primero de los elementos que tiene en cuenta la norma son las cláusulas que se encargan de definir las actividades requeridas para el establecimiento, implantación y mejora del Sistema de Gestión de Seguridad de la Información.

El hecho de implementar ISO 27001 no supone obtener un modelo de mejora continua de manera directa. Sin embargo, indirectamente sí que se tienen en cuenta cada una de las fases relativas al Anexo SL. Dicho anexo establece la estructura que deben utilizar el resto de normas ISO.

A través del seguimiento y la aplicación de distintas actividades definidas en las 10 cláusulas que componen la norma, las organizaciones comienzan a dar forma al proyecto sobre cómo gestionar la seguridad de la información. Para que se pueda implementar ISO 27001 con éxito, la organización debe de dar cumplimiento a las cláusulas que van desde la 4 a la 10.

La norma #ISO27001 se centra en dos pilares fundamentales
Click To Tweet

Los requisitos que comprenden estos puntos clave necesario son:

• Entendimiento del contexto de la organización
• Actividades que ponen de manifiesto el liderazgo de la alta dirección
• Planeación
• Soporte que involucra a los recursos necesarios
• Competencias y concienciación de las personas que trabajan en la organización
• Operación del Sistema de Gestión de Seguridad de la Información
• Evaluación del desempeño a través de auditorías internas
• Revisiones de la dirección
• Mejora del sistema de gestión mediante acciones correctivas

Definición de objetivos de control y controles de seguridad

El segundo elemento relativo a la estructura de la norma son aquellos objetivos relativos al control y los distintos controles de seguridad descritos en el Anexo A. Cada uno de estos elementos están agrupados en 14 dominios en la anterior versión de la norma.

Al implementar ISO 27001 es definir un objetivo de control como resultado de la implementación de los controles. Para poder modificar cualquier riesgo, deben de verse afectadas algunas de las dos variables:

• Probabilidad de que ocurra algo
• Impacto que puede generar si llega a ocurrir

Un control no produce en todas las ocasiones los resultados que de él se esperan. Es decir, este control se adecua, es sustituido o se aplican otros controles complementarios. Dichos controles pueden incluirse en:

• Procesos
• Políticas
• Dispositivos
• Prácticas
• Otras acciones que modifican todos los riesgos

En el Anexo A podemos encontrar un listado de hasta 114 controles relativos a la seguridad. Dichos controles se encuentran agrupados en 35 objetivos de control.

Cada uno de los 14 dominios mencionados anteriormente son considerados desde distintas perspectivas con el objetivo de proteger la información. Por ello se incluyen objetivos de control y controles muy concretos para llevar a cabo distintas tareas.

Software ISO 27001

El Software ISOTools Excellence para la norma ISO 27001 en la cual se basa la Seguridad de la Información, se encuentra compuesto por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las organizaciones no pierda ninguna de sus propiedades principales: disponibilidad, integridad y confidencialidad.

La entrada ¿Por qué implementar ISO 27001? se publicó primero en ISOTools México.

ISO 27001

El entorno en que podemos encontrar riesgos es un ambiente especialmente dinámico. Esto se debe a los continuos cambios y modificaciones de las posibles amenazas. Estas se desarrollan, adquieren vulnerabilidades nuevas y tienen lugar nuevos incidentes de seguridad que pueden tener grandes repercusiones para la empresa y los empleados. Ante este escenario aumenta el uso de la norma ISO  27001.

El objetivo principal es estar preparados para atender cada uno de los incidentes producidos sin olvidarnos de las medidas preventivas y proactivas que favorecen la reducción de la probabilidad de ocurrencia y/o el impacto que pueden provocar. Junto con las acciones correctivas necesarias para solucionar cada uno de los problemas.

Cada uno de los incidentes de seguridad pueden presentarse bien por desconocimiento o negligencia de los empleados o de manera accidental. Por ello, se considera la aplicación de distintas perspectivas para aumentar y mejorar la seguridad de la información. De manera que pueda lograrse a través de la alineación de normas y mejores prácticas en la materia.

El concepto “gestionar” puede definirse como la realización de las diligencias necesarias para alcanzar un logro en el negocio.

Con esta definición como punto de partida, se entiende que el objetivo esencial de la gestión es la protección de la información principal para lograr los distintos propósitos de las empresas. Ante esto, en el entorno empresarial, la implementación de la ISO 27001 se ha convertido en una verdadera necesidad.

Pautas para operar con un Sistema de Gestión de Seguridad de la Información

Uno de los primeros elementos base que tiene en cuenta la ISO 27001 son las cláusulas encargadas de definir las actividades necesarias para establecer, implantar y mejorar el Sistema de Gestión de Seguridad de la Información.

La ISO 27001 no es considerada explícitamente un modelo de mejora continua. Sin embargo, sí lo es implícitamente pues se tienen en cuenta cada una de las frases que concuerdan con el Anexo SL. Dicho anexo se corresponde con la estructura utilizada por el resto de normas ISO para dar forma a sus cláusulas.

A través del seguimiento y la aplicación de las distintas actividades que son definidas en las 10 cláusulas, las organizaciones dan forma al proyecto que contribuye a la gestión de la seguridad de la información. Para alinearlo con la ISO 27001, la empresa debe de dar cumplimiento a las cláusulas desde la 4 a la 10.

La norma #ISO27001 se centra en dos pilares fundamentales
Click To Tweet

Los requisitos que componen los distintos puntos clave son los siguientes:

• Comprensión del contexto de la organización
• Actividades que ponen de manifiesto el liderazgo de la alta dirección
• Planeación
• Soporte que involucra recursos humanos, competencias y concienciación de trabajadores
• Operación del Sistema de Gestión de Seguridad de la Información
• Evaluación el desempeño a través de las auditorías internas
• Revisión por parte de la dirección
• Mejora del Sistema de Gestión a través de acciones correctivas

Definición de objetivos de control y controles de seguridad

El segundo elemento que da forma a la estructura de la ISO 27001 son cada uno de los objetivos de control y los controles de seguridad que aparecen descritos en el Anexo A del documento.

La ISO 27001 define el concepto “objetivo de control” como el resultado de la implementación de los controles. Y define “control descrito” como aquella medida que modifica el riesgo. Para llegar a modificar el riesgo se debe afectar alguna de sus dos variables:

• La probabilidad de que algo ocurra.
• El impacto que puede producir si llegase a ocurrir.

Un control no siempre produce los resultados esperados, lo cual se traduce en adecuaciones, sustituciones y aplicaciones de controles complementarios. Estos pueden ser incluidos en los procesos, políticas, dispositivos, prácticas y otras acciones que modifican los riesgos.

El Anexo A establece una lista de 114 controles de seguridad agrupados en 35 objetivos de control. Estos a su vez se encuentran dentro de 14 dominios.

Todos los dominios son considerados desde distintas perspectivas para la protección de la información, por lo que de igual forma se incorporan objetivos de control y controles muy concretos para:

• Mantenimiento, desarrollo y adquisición de sistemas
• Medidas de seguridad para la relación con los proveedores
• Gestión de los incidentes de seguridad
• Continuidad de negocio
• Controles para dar cumplimiento a la ISO 27001

Software ISO 27001

Para asegurar la automatización, gestión y control de un Sistema de Gestión de la Seguridad de la Información de forma eficaz y correcta, podemos ayudarnos con el Software ISOTools Excellence. Soluciona de una forma muy completa cada uno de los requisitos de la norma ISO 27001. Además, ofrece al cliente la herramienta imprescindible para obtener una mejora continua en su gestión de procesos, con el consiguiente incremento de sus beneficios a corto plazo.

La entrada Razones por las que aplicar la ISO 27001 se publicó primero en ISOTools México.

ISO 27001

Numerosas empresas no son conscientes de que establecer los requisitos de la norma ISO 27001 es el punto de partida de un proyecto con los elementos de mayor relevancia en el caso de querer implementar un Sistema de Gestión de Seguridad de la Información (SGSI) en un tiempo y presupuesto prudencial.

Un factor clave es el compromiso de la alta dirección, pues si los altos ejecutivos no creen que obtendrán beneficio real del proyecto de inversión,quizás deberían invertir su energía en otras cuestiones.

Se trata de un proceso que requiere establecer un papel activo. Primero deben de conocerse los beneficios aplicables al negocio. A continuación, debe transmitirse de manera continua este mensaje o idea a todas aquellas personas encargadas de tomar decisiones en la organización.

Implementación

A menos que se haya implementado la norma ISO 27001 en varias ocasiones, se debe aprender cómo llevar a cabo el proceso. La norma ISO 27001 muestra una aplicación notablemente compleja. Por ello, debe comprenderse correctamente la lectura de la norma.

Para realizar la implementación de la norma ISO 27001 puede escogerse una de estas tres opciones:

• Con sus propios trabajadores. En este supuesto es conveniente la formación para que alcancen y asimilen los conocimientos necesarios durante la ejecución de los mismos. Esta puede ser una de las mejores opciones si no se desea que personas ajenas a la organización tengan acceso a los documentos de la misma. Como consecuencia de dicha formación, la curva de aprendizaje de los trabajadores será más alta. Alcanzar la formación de los empleados y los objetivos fijados reducirá el tiempo de implementación de la norma ISO 27001.
• Combinar el trabajo desarrollado por los trabajadores y complementarlo con ayuda externa. Se puede llevar a cabo la implementación de un Sistema de Gestión de Seguridad de la Información con el asesoramiento de un experto externo. Se trata de una buena opción si se desea aprender acerca de la aplicación y garantizar la correcta implementación de la norma ISO 27001.
• Contratar a un consultor externo para que realice gran parte del trabajo. Bajo esta perspectiva la elección es la contratación de un consultor externo que realice todo este proceso. Se trata de la opción más rápida para aplicar la ISO 27001 con la menor cantidad de esfuerzo.

Existen tres opciones a la hora de implementar la norma #ISO27001
Click To Tweet

¿Cómo elegir al jefe de proyecto?

El proceso de aplicación de la norma ISO 27001 debe estructurarse en un proyecto, el cual debe estar correctamente definido. Entre los elementos a señalar encontramos:

• Quién es el responsable del Sistema de Gestión de Seguridad de la Información
• Espacio temporal en el que debe realizarse la implementación

Es habitual que la persona encargada de la dirección del proyecto sea la responsable de la seguridad de la información en la empresa. Para este cargo encontramos distintas denominaciones:

• Jefe de Información Oficial de Seguridad
• Oficial de Seguridad de la Información
• Administrador de Seguridad

Existen algunas empresas grandes que trabajan con ciertas reglas o estructura corporativas en el momento de gestión de proyectos. Bajo este supuesto, un jefe de proyecto profesional sería el encargado del proyecto. A la par que un experto en seguridad de la información formará parte del equipo encargado de desarrollar el proyecto.

Fases del proyecto

Normalmente, el proyecto suele dividirse en dos fases, estas son:

• Análisis y planificación. Se requiere la definición de los objetivos del proyecto, análisis de la situación actual y la determinación de lo que debe hacerse. Es decir, se deben completar cada uno de los pasos de la fase del plan en el que se incorpora tanto el establecimiento del alcance del sistema de gestión, la realización de una evaluación y tratamiento de riesgos, y la producción de la declaración de aplicabilidad.
• Aplicar las salvaguardias. Se desconoce que controles de seguridad son los que se necesitan para poner en prácticas antes de que finalice la fase anterior en el proyecto. Además debe de conocerse el plan de trabajo con detalle de aplicación al término de la primera fase. Durante la primera fase será necesario que se implementen las políticas de seguridad, los procedimientos, la tecnología y otros aspectos.

Cuando se hayan implementados cada uno de los controles necesarios del Sistema de Gestión de Seguridad de la Información se puede decir que el proyecto se ha finalizado.

Software ISO 27001

Para garantizar la automatización, gestión y control de un Sistema de Gestión de Seguridad de la Información de manera eficaz, podemos ayudarnos con el Software ISOTools Excellence. Soluciona de forma completa los requisitos de la norma ISO 27001. Además, ofrece al cliente la herramienta imprescindible para obtener una mejora continua en su gestión de procesos, con el consiguiente aumento de sus beneficios a corto plazo.

La entrada Funcionamiento del proyecto con la norma ISO 27001 se publicó primero en ISOTools México.

Norma ISO 27001

Basándonos en la norma ISO 27001 podemos hacer uso de diferentes indicadores clave de rendimiento (KPI). Estos tienen que ser considerados para la evaluación del desempeño del Sistema de Gestión de Seguridad de la Información.

¿Por qué necesito KPI de seguridad?

Cuando hablamos de un indicador clave de rendimiento (KPI) estamos haciendo referencia a una medida utilizada para evaluar los factores cruciales que garantizan el éxito en la organización. La diferencia con un objetivo es que estos tienen una finalidad concreta que alcanzar. Mientras que un KPI está orientado a comprobar si los esfuerzos están yendo al objetivo previamente definido.

En el artículo “ISO 27001 2013: Seguridad física para proteger las áreas seguras” puedes conocer otro punto de vista relativo a la gestión de la seguridad de la información.

Criterios para la selección de indicadores

Indiferentemente de los múltiples criterios utilizados para la selección de KPI se deben considerar distintas cuestiones comunes. Esto puede facilitar la tarea en gran medida:

• Negocios relevantes. El indicador debe estar alineado para aclarar los objetivos de negocio o los requisitos legales. Esto facilita bastante que las personas entiendan por qué tiene que ser medido y evaluado. La norma ISO 27001 cuenta con algunos requisitos que pueden ser atendidos para el uso de indicadores en relación con la eficacia y el cumplimiento. Pero una organización tiene que considerar los indicadores de eficiencia.
• Proceso integrado. Las actividades “obligatorias” para recoger los datos necesarios para un KPI tienen que agregar la menor cantidad de trabajo posible. Claro está, en comparación con las actividades que se llevan a cabo habitualmente para proporcionar el producto/servicio. Así como la información que se necesita debe utilizarse en la misma forma en cada proceso.
• Asertivo. El indicador debe de poder identificar temas relevantes que requieran atención.

Un #indicador clave de rendimiento (KPI) es una medida utilizada para evaluar los factores
Click To Tweet

Ejemplos de indicadores de rendimiento

Los siguientes ejemplos abarcan el ciclo PHVA (Planificar, Hacer, Verificar y Actuar). Se muestran cómo los distintos indicadores que se pueden utilizar para obtener una vista completa del rendimiento de los procesos en relación con la gestión de la seguridad de la información.

Planificar

Porcentaje de iniciativas empresariales con el apoyo del Sistema de Gestión de Seguridad de la Información. Este indicador muestra el nivel de alineación e integración con el negocio dentro del SGSI. Cuanto mayor sea el valor, más optimizado se encuentran los recursos para el SGSI.

Porcentaje de iniciativas de seguridad de la información que contienen las estimaciones de costo-beneficio. Este indicador muestra el nivel de madurez de la organización en el tratamiento del riesgo. Se puede hacer uso de la evaluación de riesgos y el informe de tratamiento, en comparación con el resto de las iniciativas de seguridad implementadas.

Porcentaje de cláusulas de seguridad de la información. Este indicador muestra cómo los servicios y productos son proporcionados por los aspectos legalmente compatibles. Cuanto mayor sea el valor, mejor apoyo se tendrá en las relaciones con los clientes y los proveedores.

Hacer

Número de paradas en los servicios relacionados con la seguridad. Los tiempos de parada en relación con los problemas de seguridad de información reflejan directamente la eficacia del SGSI en base a la norma ISO 27001.

Duración de las interrupciones del servicio. Tan importante como el número de paradas es la duración media de los tiempos de parada. Se trata de una medida relevante de la eficacia del SGSI basado en la norma ISO 27001.

Tiempo de resolución. Esta información puede obtenerse a partir de informes operativos.

Verificar

Porcentaje de controles. Es un indicador que proporciona una visión de cómo se revisan las medidas de seguridad en la empresa. Cuanto más alto sea el valor, más controles se están analizando en términos de eficiencia, eficacia y oportunidades de mejora.

Actuar

Número de iniciativas de mejora. Es un indicador que ofrece la proactividad del SGSI de una organización en relación a los cambios en el medio ambiente y las oportunidades identificadas. Se producen cambios en los objetivos de mejora, se evitan pérdidas y son buenos ejemplos que reflejan un elevado valor en su KPI.

Software ISO 27001

Para asegurar la automatización, gestión y control de un Sistema de Gestión de la Seguridad de la Información de forma eficaz y correcta, podemos ayudarnos con el Software ISOTools Excellence. Soluciona de una forma muy completa cada uno de los requisitos de la norma ISO 27001 2013. Además, ofrece al cliente la herramienta imprescindible para obtener una mejora continua en su gestión de procesos, con el consiguiente incremento de sus beneficios a corto plazo.

La entrada Cómo nos ayudan los indicadores a mantener la norma ISO 27001 se publicó primero en ISOTools México.

ISO 27001

La ISO 27001 es una norma internacional desarrollada por la International Standards Organization (ISO). Esta norma se encarga de la gestión de la seguridad de la información dentro de una organización. La versión más actualizada de esta norma es la ISO 27001 2013, publicada en ese mismo año. La primera versión de la norma fue publicada en el año 2005. Y fue elaborada en base a la norma británica BS 7799-2.

Este estándar puede implementarse en cualquier organización, independientemente del sector en el que opera, el tamaño de la misma o la actividad que desarrolla. Ha sido elaborada por un conjunto de especialistas en seguridad de la información. Ofrece una metodología para implanta la gestión de la seguridad de la información de la organización. Además posibilita la certificación por parte de cualquier organización. Esto supone que un organismo certificador deberá confirmar que la seguridad de dicha empresa ha sido implantada de acuerdo a los requisitos de la norma ISO 27001.

Actualmente, la norma ISO 27001 es un referente en seguridad de la información a nivel mundial. Debido a ello, numerosas empresas y organizaciones han trabajado para obtener su certificación.

Tras un largo proceso donde se ha trabajado para llevar a cabo la implantación, se ha invertido tanto en capacitación como en consultoría e implantación de cada uno de los controles necesarios, llega finalmente la auditoría de certificación. El auditor encargado de llevar a cabo esta tarea comprobará que se cumplen cada uno de los requisitos que recoge la norma ISO 27001.

En un primer momento esto puede producir cierto temor, pues no se tiene un pleno conocimiento de si el Sistema de Gestión de Seguridad de la Información está capacitado para  cubrir todas aquellas exigencias que planteará el auditor de certificación de la ISO 27001.

Revisión de la documentación

El auditor llevará a cabo la Fase 1 de la auditoría, la cual se conoce como “Revisión de la documentación”. En esta auditoría, el auditor requerirá en relación al SGSI aquella documentación acerca del:

• Alcance
• Política
• Objetivos
• Descripción de la metodología de evaluación de riesgos
• Informe sobre la evaluación de los riesgos
• Declaración de aplicabilidad
• Plan de tratamiento del riesgo
• Procedimientos para el control de documentos
• Medidas correctivas y preventiva
• Auditoría interna

Además, se deben documentar algunos de los controles del Anexo A, los cuales sólo son aplicables en la declaración de aplicabilidad:

• Inventario de activos
• Uso aceptable de activos
• Tareas y responsabilidades de los empleados, contratistas y terceros
• Términos generales de empleo
• Procedimientos para el funcionamiento de las instalaciones de procesamiento de información
• Política de control de acceso
• Identificación de la legislación
• Registro de la auditoría interna y revisión por la alta dirección

En el supuesto de que falte alguno de los elementos mencionados, la organización no se encontrará lista para pasar a la siguiente fase. Se pueden utilizar otros documentos si se desea pero siempre asegurando el cumplimiento de los que acabamos de enumerar.

La norma #ISO27001 fue elaborada en base a la norma británica BS 7799-2
Click To Tweet

Auditoría principal

La conocida Fase 2 “Autoría principal”, se lleva a cabo tras unas semanas de haber acabado la Fase 1. El enfoque principal de esta auditoría es el de analizar la organización en sí. De esta forma se comprobará que lleva a cabo los documentos siguiendo las directrices de la norma ISO 27001.

Dicho de otra manera, el auditor debe comprobar si el Sistema de Gestión de Seguridad de la Información se ha materializado correctamente en la organización. Esto debe llevarse a cabo a través de la observación y de entrevistas con los empleados, controlado por los registros. Entre dichos registros de carácter obligatorio deben de incluirse aquellos que corresponden a:

• Formación
• Capacitación
• Habilidades
• Experiencia
• Calificaciones

Si el auditor encuentra algún incumplimiento grave es muy probable que no emita la certificación de la norma ISO 27001.

Si se da esta situación, el proceso que se lleva a cabo es el siguiente:

• El auditor informa de los resultados en el informe de auditoría.
• Se habilita un plazo para solucionar el incumplimiento.
• La organización debe llevar a cabo las medidas correctivas correspondientes para solucionar el origen del incumplimiento.
• Cuando se garantice la aplicación de las medidas correctas se debe notificar el auditor con la evidencia de lo que se ha llevado a cabo.

En la mayor parte de los casos, si se ha llevado a cabo un trabajo de manera inteligente, el auditor debe aceptar la medida correctiva y activar el proceso de emisión del certificado.

Software ISO 27001

La herramienta ofrecida por el Software ISOTools Excellence para la norma ISO 27001 con el objetivo de implementar en la organización el Sistema de Gestión de Seguridad de la Información, está capacitada para responder a numerosos controles para el tratamiento de la información gracias a las aplicaciones que contiene y que son totalmente configurables según los requerimientos de cada organización.

La entrada ¿Cómo lograr la certificación de la norma ISO 27001? se publicó primero en ISOTools México.