Sistema de gestión de la seguridad de la información: Introducción a la norma ISO 27001

norma ISO 27001

Escenario actual: Las organizaciones de hoy en día utilizan mucho los sistemas de información para administrar negocios y entregar productos/servicios dependientes. Confían en TI para el desarrollo, la producción y la entrega en muchas aplicaciones internas. La aplicación incluye bases de datos financieras, programación de citas de empleados, servicio de asistencia técnica y otros servicios, acceso remoto a clientes/empleados, acceso remoto a sistemas de clientes, interacciones con el mundo exterior a través de correo electrónico, Internet, de terceros y proveedores de terceros.

requisitos comerciales: La seguridad de la información se requiere como parte de un contrato entre cliente y cliente. El marketing quiere una ventaja competitiva y puede dar confianza al cliente. La alta dirección desea conocer el estado de las interrupciones de la infraestructura de TI o las filtraciones de información o los incidentes de información dentro de la organización. Los requisitos legales como la Ley de Protección de Datos, los derechos de autor, el diseño y la regulación de patentes y los requisitos reglamentarios de una organización deben cumplirse y protegerse bien. La protección de la información y los sistemas de información para cumplir con los requisitos legales y comerciales al proporcionar y demostrar un entorno seguro a los clientes, administrar la seguridad entre proyectos de clientes que compiten y evitar fugas de información confidencial son los mayores desafíos del sistema de información.

Definición de información: La información es un activo que, al igual que otros activos comerciales importantes, tiene valor para una organización y, por lo tanto, debe protegerse adecuadamente. Independientemente de la forma que adopte la información o los medios por los que se comparta o almacene, siempre debe protegerse adecuadamente.

Formularios de información: La información se puede almacenar electrónicamente. Se puede transmitir a través de la red. Se puede mostrar en videos y puede ser verbal.

Amenazas de información: Ciberdelincuentes, Hackers, Malware, Troyanos, Phishes, Spammers son las principales amenazas a nuestro sistema de información. El estudio encontró que la mayoría de las personas que cometieron el sabotaje eran trabajadores de TI que mostraban características tales como discutir con compañeros de trabajo, estar paranoicos y descontentos, llegar tarde al trabajo y exhibir un desempeño general deficiente en el trabajo. De los ciberdelincuentes, el 86% ocupaba puestos técnicos y el 90% tenía acceso de administrador o privilegiado a los sistemas de la empresa. La mayoría cometió los delitos después de que finalizó su contrato de trabajo, pero el 41% saboteó los sistemas cuando aún eran empleados de la empresa. Calamidades naturales como tormentas, tornados, inundaciones pueden causar grandes daños a nuestro sistema de información.

Incidentes de Seguridad de la Información: Los incidentes de seguridad de la información pueden causar la interrupción de las rutinas y los procesos organizacionales, la disminución del valor para los accionistas, la pérdida de privacidad, la pérdida de la ventaja competitiva, el daño a la reputación que causa la devaluación de la marca, la pérdida de confianza en TI, el gasto en activos de seguridad de la información de los datos dañados. , robados, dañados o perdidos en incidentes, rentabilidad reducida, lesiones o pérdida de vidas si fallan los sistemas de seguridad críticos.

Algunas preguntas básicas:

• ¿Tenemos una política de seguridad informática?

• ¿Hemos analizado las amenazas/riesgos para nuestra infraestructura y actividades de TI?

• ¿Estamos preparados para calamidades naturales como inundaciones, terremotos, etc.?

• ¿Todos nuestros activos están garantizados?

• ¿Confiamos en que nuestra red/infraestructura de TI es segura?

• ¿Están seguros nuestros datos comerciales?

• ¿Es segura la red telefónica IP?

• ¿Configuramos o mantenemos las características de seguridad de la aplicación?

• ¿Tenemos un entorno de red segregado para el servidor de producción, pruebas y desarrollo de aplicaciones?

• ¿Están capacitados los coordinadores de oficina para cualquier brote de seguridad física?

• ¿Tenemos control sobre la distribución de software/información?

Introducción a la norma ISO 27001:En los negocios, tener la información correcta para la persona correcta en el momento correcto puede marcar la diferencia entre ganancias y pérdidas, éxito y fracaso.

Hay tres aspectos de la seguridad de la información:

confidencialidad: Proteja la información de la divulgación no autorizada, tal vez a un competidor oa la prensa.

integridad: Proteja la información de modificaciones no autorizadas y asegúrese de que la información, como la lista de precios, sea precisa y completa

Disponibilidad: Garantizar que la información esté disponible cuando la necesite. Garantizar la confidencialidad, integridad y disponibilidad de la información es fundamental para mantener la ventaja competitiva, el flujo de caja, la rentabilidad, el cumplimiento legal y la imagen y marca comercial.

Sistema de Gestión de Seguridad de la Información (SGSI): Esta es la parte del sistema de gestión general basado en un enfoque de riesgo comercial para establecer, implementar, operar, monitorear, revisar, mantener y mejorar la seguridad de la información. El sistema de gestión incluye la estructura organizativa, las políticas, las actividades de planificación, las responsabilidades, las prácticas, los procedimientos, los procesos y los recursos.

Acerca de ISO 27001: – Un estándar internacional líder para la gestión de la seguridad de la información. Más de 12.000 organizaciones en todo el mundo están certificadas con este estándar. Su propósito es proteger la confidencialidad, integridad y disponibilidad de la información. Los controles técnicos de seguridad como antivirus y firewalls normalmente no son auditados en las auditorías de certificación ISO/IEC 27001: se asume esencialmente que la organización ha adoptado todos los controles de seguridad de la información necesaria . No solo se enfoca en la tecnología de la información, sino también en otros activos importantes de la organización. Se centra en todos los procesos comerciales y activos comerciales. La información puede o no estar relacionada con la tecnología de la información y puede o no estar en formato digital. Se publica por primera vez como el Código de prácticas del Departamento de Comercio e Industria (DTI) en el Reino Unido conocido como BS 7799.ISO 27001 tiene 2 partes ISO/IEC 27002 e ISO/IEC 27001

ISO/IEC 27002: 2005: Es un código de práctica para la Gestión de la Seguridad de la Información. Proporciona orientación sobre las mejores prácticas. Se puede utilizar según sea necesario dentro de su negocio. No es para la certificación.

ISO/CEI 27001:2005:Se utiliza como base para la certificación. Es algo Programa de Gestión + Gestión de Riesgos. Tiene 11 Dominios de Seguridad, 39 Objetivos de Seguridad y 133 Controles.

ISO/CEI 27001: La norma contiene las siguientes secciones principales:

  • Evaluación de riesgos
  • política de seguridad
  • gestión de activos
  • Seguridad de Recursos Humanos
  • Seguridad Física y Ambiental
  • Gestión de Comunicaciones y Operaciones
  • Controle de acceso
  • Adquisición, desarrollo y mantenimiento de Sistemas de Información
  • Gestión de incidentes de seguridad de la información
  • Gestión de la Continuidad del Negocio
  • Conformidad

Beneficios de los Sistemas de Gestión de Seguridad de la Información (SGSI):Ventajas competitivas: Los socios comerciales y los clientes responden favorablemente a las empresas de confianza. Tener ISMS demostrará madurez y confiabilidad. Algunas empresas solo se asociarán con aquellas que tengan SGSI. La implementación de ISMS puede generar eficiencias en las operaciones, lo que lleva a la reducción de los costos de hacer negocios. Las empresas con SGSI también pueden competir en precio.

Razones para ISO 27001: Hay razones obvias para implementar un Sistema de Gestión de Seguridad de la Información (ISO 27001). El estándar ISO 27001 cumple con los requisitos legales o reglamentarios. Los activos de información son muy importantes y valiosos para cualquier organización. La confianza de los accionistas, socios comerciales, clientes debe desarrollarse en la Tecnología de la Información de la organización para aprovechar los negocios. La certificación ISO 27001 muestra que los activos de información están bien gestionados teniendo en cuenta los aspectos de seguridad, confidencialidad y disponibilidad de los activos de información.

Instituir el SGSI: Seguridad de la información: ¿desafío de gestión o problema técnico? La seguridad de la información debe ser vista como un desafío de gestión y de negocios, y no simplemente como un tema técnico para dejarlo en manos de especialistas. Para mantener su negocio seguro, debe comprender los problemas y las soluciones. Para instituir la gestión del SGSI, juega el 80% del rol y el 20% de la responsabilidad del sistema tecnológico.

Comienzo: – Antes de comenzar a instituir el SGSI, debe obtener la aprobación de la Gerencia/los Interesados. Tienes que ver si estás tratando de hacer esto para toda la organización o solo para una parte. Debe reunir un equipo de profesionales interesados ​​y calificados. Puede optar por complementar el equipo con consultores con experiencia en implementación.

Certificación SGSI (ISO 27001): Una verificación de terceros independientes de la garantía de seguridad de la información de la organización basada en las normas ISO 27001:2005.

Precertificación: Paso 1 – Auditoría de documentación

Paso 2 – Auditoría de implementación

Post-certificación: Vigilancia Continua por 2 años Reevaluación/Recertificación del 3er Año

Conclusión: Antes de implementar el sistema de gestión para los controles de Seguridad de la Información, la organización tiene varios controles de seguridad sobre el sistema de información, estos controles de seguridad tienden a ser algo desorganizados y desarticulados. La información, al ser un activo muy crítico para cualquier organización, debe estar bien protegida contra filtraciones o ataques. ISO/IEC 27001 es un estándar del sistema de gestión de seguridad de la información (SGSI) que garantiza que los procesos bien gestionados se adapten a la seguridad de la información. La implementación de ISMS conduce a la eficiencia en las operaciones, lo que lleva a la reducción de los costos de hacer negocios.

Temas relacionadas de interés

Estandares de Seguridad y Salud en el Trabajo

Resolución 0312 de 2019

Emisor: Ministerio del Trabajo Tipo de norma: Resolución Resolución 0312 de 2019 Bogotá D.C., 13 de febrero de 2019 RESOLUCIÓN 0312 DE 2019 TABLA DE CONTENIDO RESOLUCIÓN 0312 DE 2019   ESTÁNDARES MÍNIMOS de Seguridad y Salud en el Trabajo SG-SST    MINISTERIO DEL TRABAJO RESOLUCIÓN 0312 DE 2019 (13 FEB 2019) Por la cual se definen los Estándares Mínimos del Sistema de Gestión de la Seguridad y Salud en el Trabajo SG-SST

Leer Más »
Guía-para-tener-una-red-contra-incendios-según-las-normas-vigentes-en-Colombia

Guía para tener una red contra incendios según las normas vigentes en Colombia.

Es claro que la seguridad de las construcciones y la integridad de sus usuarios es de vital importancia. Puede parecer fácil, pero es necesario detectar los peligros y los posibles riesgos, con el fin de generar las estrategias que garanticen el bienestar de las personas prevenir el colapso de las construcciones, a partir de buenas prácticas que protejan las estructuras y reduzcan o minimicen cualquier tipo de amenaza

Leer Más »
Resolución-1238-de-2022

Resolución 1238 de 2022

Por medio de la cual se dictan medidas para prevención, promoción y conservación de la salud con ocasión de infecciones respiratorias, incluidas las originadas por la COVID-19.

Leer Más »
ley-2251-de-2022

Ley 2251 de 2022

La Ley 2251 de 2022, Ley Julián Esteban, dicta normas para el diseño e implementación de la política de seguridad vial y se dictan otras disposiciones.

Fecha de publicación: julio 14, 2022

Leer Más »