¿Qué es la Norma ISO 27001? | Seguridad | Diagnóstica tu Organización

By
Fernando Poblano
-
0
3052
QUE ES ISO 27001

¿Sabías que la Seguridad Informática es una preocupación mundial?

ISO 27001 es la Norma que se encarga de La Gestión de la Seguridad de la Información. Emitida por ISO (International Organization for Standardization) u Organización Internacional de Normalización (en español). La más reciente revisión fue publicada en 2013. Oficialmente se conoce como ISO/IEC 27001:2013. El origen de dicha Norma inicia en 2005 en Reino Unido, bajo su norma BS 7799, un estándar publicado originalmente por BSI Group en 1995.

El Sistema de Gestión de la Seguridad de la Información (SGSI), en inglés: Information Security Management System (ISMS) es el centro de la Norma.

Las principales características de la Norma ISO 27001 son:

ISO27001 es la Norma encargada de la Gestión de la SEGURIDAD de la Información

  • Un estándar internacional enfocado en mantener la seguridad de la información
  • Ofrece un marco completo y bien estructurado para proteger la información
  • Establece como identificar la información que debe ser protegida, a cuáles riesgos está expuesta y como tratar dichos riesgos.
  • Propone la implementación del Sistema de Gestión de Seguridad de la Información (SGSI).
Retos que hoy más que nunca, debe ser abordado firme y metodológicamente.

¿Por qué es importante la Norma ISO 27001?

De acuerdo una nueva edición del informe anual sobre riesgos que publica el Foro Económico Mundial (World Economic Forum), los ciberataques aparecen nuevamente como una de las principales amenazas que estamos afrontando durante el 2020.
La Pérdida de Información, al igual que en años pasados, se encuentra catalogada como una amenaza a la humanidad.
Este año 2020 y en la llamada “Nueva Realidad” el trabajo remoto esta provocando brechas de seguridad importantes. Todos los días nos enteremos de nuevos ciberataques.
El paraguas de la seguridad informática en el edificio corporativo se elimina con el trabajo remoto mal implementando, se creó una vulnerabilidad y múltiples riesgos.
¿Supiste que el ataque a Twitter fue efectuado precisamente a través de la laptop de un colaborador trabajando en casa?

¿Por qué seguridad de la información?

  • La mayoría de las organizaciones a nivel mundial dependen del procesamiento de información.
  • Esto significa que los negocios están vulnerables ante las amenazas en contra de la información.
  • El reto es identificar por dónde comenzar para proteger la información.
  • La Norma ISO 27001 nos permitirá identificar los Riesgos y Vulnerabilidades de los Activos de Información.

¿Qué son los Activos de Información?

Personas, Infraestructura, información física o Digital y servicios internos o externos que en caso de una afectación parcial o total puede poner en Riesgo la operación de la Organización
La Norma ISO 27001 establece como primer paso identificar los activos de información, algunos son:
• Hardware
• Software
• Información
• Infraestructura
• Gente
• Servicios de terceros

El punto focal de Norma es precisamente minimizar los Riesgos y Vulnerabilidades de los activos de Información.

Riegos y Vulnerabilidades en una Organización

La Norma te ayudará a identificar los activos de información y luego el riesgo que corre cada uno de ellos con el fin de crear políticas y un sistema de Gestión de la Seguridad de Información SGSI completo.

En la mayoría de las organizaciones asocian un sistema de SGSI a la seguridad Informática, antivirus, firewalls, sistemas de control de acceso quizá. Eso es muy bueno, pero incompleto.

Cualquier incidente interno o externo que deje fuera de operación al negocio temporal o permanente es un Riesgo que inició como una vulnerabilidad.

Los incidentes pueden causar daños como pérdida de información, clientes, reputación, mercado, exponer información confidencial y el riesgo que incluso la organización no vuelva a operar o ser demandada.

Los Incidentes ocurren por la falta de un sistema de gestión de la Información SGSI y los controles adecuados.

 Por lo anterior, es muy importante alinear los objetivos de Negocio a una norma que minimice los riesgos y vulnerabilidades.

Tal vez te preguntes si vale la pena certificarse y aumentar carga de trabajo al que actualmente tienes. Nuestra recomendación es: No requieres certificarte en este momento, inicia con alinear los esfuerzos de tu área (TIC, operaciones, finanzas, etc) con una norma internacional como ISO 27001 por razones importantes como:

  1. La Norma ISO 27001 se alinea a los objetivos o KPI´s de tu Organización
  2. Los proyectos actuales y futuros se fortalecen al estar avalados por las una Norma y tienes una ruta definida y clara para cubrir en los próximos años.
  3. Aspirar a la Norma no sólo protegerá los activos de Información y minimizará las Vulnerabilidades y Riesgos si no que provocará confianza en clientes y proveedores para colaborar con una organización que cumple la Norma ISO 27001 y le abre las puertas para regulaciones como Sarbanes-Oxley, Reglamento General de Protección de Datos (GDPR) o alguna de tu Industria.
  4. Cumplir con requisitos legales
  5. Reducción de Costos. Los proyectos se alinean a la norma y no sólo son fruto de alguna idea innovadora.
  6. Menor Riesgo = Mayor Productividad y Mayor Facturación.
ISO 27001, A17, Continuidad del Negocio. – Foto Pexels-

ISO 27001 te permitirá Alinear los esfuerzos actuales de tu Organización y de tu área que están alineados con los objetivos o KPI´s con una Norma Internacional.
Implementar bajo metodologías probadas, y en este caso bajo el marco ISO 27001, retribuye en beneficios claros y contundentes para maximizar la disponibilidad, seguridad y consistencia de la información, existen socios tecnológicos versados en el tema, vale la pena contactarlos para evaluar la situación particular actual y actuar en consecuencia.

¿Cómo alinear los objetivos del Negocio con TIC?

Erróneamente se piensa que el área de TIC (Tecnologías de Información y Comunicaciones) deberían de ser los responsables de este tipo de iniciativas, en realidad los responsables de la organización y quien tenga acceso a la información debe estar comprometido con el manejo, administración y protección adecuadas, iniciando por la alta Dirección.
Para que la Norma pueda ser implementada de manera exitosa es indispensable y mandatorio que la Alta Dirección la apoye.
Puntos importantes para iniciar:

• Alinear los objetivos del área de TIC a los objetivos del Negocio, basados en normas como ISO/IEC 27001
• Identificar los activos de Información y clasificarlos en público, privado y confidencial.
• Identificar Riesgos y Vulnerabilidades en dichos activos.
• Generar políticas para la Gestión de la Seguridad de la Información SGSI.

Sistema de Gestión de la Información SGSI
¿Cómo inicio?. Aquí una ruta, desde la identificación hasta la Declaración de Aplicabilidad.

Los Elementos y Controles ISO 27001

La norma ISO 27001 contiene 7 clausulas y un anexo de 14 controles que se muestra a continuación. De acuerdo con tu industria, aplican o no algunos controles de seguridad y otras son opcionales.

ANEXO A, ISO 27001

Controles ISO 27001 | SERVICES4iT

Sistema de Gestión de la Seguridad de la Información SGSI, ¿Cómo Iniciar?

La mejor forma de iniciar es:

  • Que esta iniciativa este apoyada por la alta dirección
  • Crear un Grupo interno con Roles y Responsabilidades para formar el SGSI
  • Identificar los activos de la Información
  • Identificar las Vulnerabilidades y Riesgos
  • Analizar las Vulnerabilidades y Riesgos
  • Evaluar los Riesgos, es decir, es posible que tu organización este Consciente de algún Riesgo y no hacer nada porque no afecta al negocio, ver definición de Vulnerabilidades y Riesgos.
  • Tratar los Riesgos.
  • Declaración de la aplicabilidad. Como lo comentamos, no todos los controles son aplicables a tu organización vs los Riesgos.
  • Crear un plan de Tratamiento de Riesgos como siguiente paso.
La ruta inicia con el respaldo de la alta dirección y finaliza esta fase con la Declaración de Aplicabilidad.
Ruta Inicial para implementar un Sistema de Gestión de la Información SGSI
TOMA UN CUESTIONARIO SIN COSTO Y DESCUBRE LA MADUREZ DE TU ORGANIZACIÓN EN TERMINOS DE LA GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN.

En resumen, para alinear nuestra TIC a cumplir diferentes objetivos de negocio, y en este caso particular el de maximizar la disponibilidad y lograr una recuperación exitosa y expedita de nuestros sistemas, es INDISPENSABLE que todo el personal de nuestra empresa sea CORRESPONSABLE en la definición, ejecución, cumplimiento
y MEJORA CONTINUA del plan de seguridad de la información, pues de ella, la información, “vive” nuestra empresa y sin ella estamos a merced de nuestros competidores y de las leyes del mercado.

CLARO, SIMPLE, CONTUNDENTE Y CONGRUENTE.

En SERVICES4iT estamos genuinamente comprometidos en desarrollar soluciones tecnológicas que permitan que las organizaciones como la tuya logren sus objetivos de Negocio utilizando la tecnología correcta.

¿Cómo te Apoyaremos durante esta cuarentena?

Te daremos las mejores recomendaciones para poder llevar la operación de TI de tu Oficina a casa de manera segura:

  • Conexiones VPN Seguras y Telefonía IP (En tu Smartphone o Laptop).
  • Ciberseguridad (Ver artículo “Ciberseguridad en Casa”)
  • Soporte Técnico Remoto (Ver Sitio de Soporte)
  • Servicios de Nube para llevar tus aplicaciones a Nube Pública (IaaS y SaaS)
  • Servicios de Protección en Nube con Servicios de BaaS (Backup as a Service) y Disaster Recovery as a Service (DRaaS). (Ver artículo “¿Que es BaaS y DRaaS?”) y Nuestro Servicio sin costo por 30 días de PROTEGER.MX. Presiona Aquí. 
  • Presiona la siguiente imagen para mayor Información.

Deseándoles Salud y que sus Organizaciones sigan Productivas ayudando a que nuestra economía siga moviéndose.

LEAVE A REPLY

Please enter your comment!
Please enter your name here