Sistema de gestión de seguridad de la información: Introducción a ISO 27001

Escenario actual: Las organizaciones actuales dependen en gran medida de los sistemas de información para gestionar negocios y ofrecer productos / servicios. Dependen de TI para el desarrollo, la producción y la entrega en diversas aplicaciones internas. La aplicación incluye bases de datos financieras, reserva de tiempo para empleados, asistencia técnica y otros servicios, acceso remoto a clientes / empleados, acceso remoto a sistemas de clientes, interacciones con el mundo exterior a través del correo electrónico, Internet, uso de terceros y proveedores subcontratados.

Requisitos comerciales:La seguridad de la información es necesaria como parte del contrato entre cliente y cliente. El marketing quiere una ventaja competitiva y puede generar confianza en el cliente. La alta dirección desea conocer el estado de las interrupciones de la infraestructura de TI o las violaciones de la información o los incidentes de información dentro de la organización. Los requisitos legales como la Ley de Protección de Datos, los derechos de autor, los diseños y la regulación de patentes y los requisitos reglamentarios de una organización deben cumplirse y protegerse adecuadamente. La protección de la información y los sistemas de información para cumplir con los requisitos comerciales y legales mediante la provisión y demostración de un entorno seguro a los clientes, la gestión de la seguridad entre proyectos de clientes competidores y la prevención de la fuga de información confidencial son los mayores desafíos para los sistemas de información.

Definición de información: La información es un activo que, al igual que otros activos comerciales importantes, es valioso para una organización y, en consecuencia, debe protegerse adecuadamente. Cualquiera que sea la forma que adopte la información o los medios por los que se comparta o almacene, siempre se debe proteger adecuadamente.

Formas de información: La información se puede almacenar electrónicamente. Puede transmitirse a través de la red. Puede mostrarse en videos y puede ser verbal.

Amenazas de información:Los ciberdelincuentes, piratas informáticos, software malicioso, troyanos, phishing y spammers son las principales amenazas para nuestro sistema de información. El estudio encontró que la mayoría de las personas que cometieron el sabotaje eran trabajadores de TI que mostraban características que incluían discutir con compañeros de trabajo, estar paranoicos y descontentos, llegar tarde al trabajo y exhibir un desempeño laboral deficiente en general. De los ciberdelincuentes, el 86% ocupaba puestos técnicos y el 90% tenía acceso de administrador o privilegiado a los sistemas de la empresa. La mayoría cometió los crímenes después de que se despidió de su empleo, pero el 41% saboteó los sistemas mientras aún eran empleados de la empresa. Calamidades naturales como tormentas, tornados e inundaciones pueden causar grandes daños a nuestro sistema de información.

Incidentes de seguridad de la información: Los incidentes de seguridad de la información pueden causar interrupciones en las rutinas y procesos de la organización, disminución del valor para los accionistas, pérdida de privacidad, pérdida de ventaja competitiva, daño a la reputación que causa la devaluación de la marca, pérdida de confianza en TI, gasto en activos de seguridad de la información por datos dañados, robados o corruptos. o pérdida en incidentes, reducción de la rentabilidad, lesiones o pérdida de vidas si fallan los sistemas críticos para la seguridad.

Algunas preguntas básicas:

• ¿Tenemos una política de seguridad informática?

• ¿Hemos analizado alguna vez las amenazas / riesgos para nuestras actividades e infraestructura de TI?

• ¿Estamos preparados para cualquier calamidad natural como inundaciones, terremotos, etc.?

• ¿Están todos nuestros activos asegurados?

• ¿Estamos seguros de que nuestra infraestructura / red de TI es segura?

• ¿Están seguros nuestros datos comerciales?

• ¿Es segura la red de telefonía IP?

• ¿Configuramos o mantenemos las funciones de seguridad de las aplicaciones?

• ¿Tenemos un entorno de red segregado para el desarrollo de aplicaciones, las pruebas y el servidor de producción?

• ¿Están los coordinadores de la oficina capacitados para cualquier brote de seguridad física?

• ¿Tenemos control sobre la distribución de software / información?

Introducción a ISO 27001:En los negocios, tener la información correcta para la persona autorizada en el momento adecuado puede marcar la diferencia entre ganancias y pérdidas, éxito y fracaso.

Hay tres aspectos de la seguridad de la información:

Confidencialidad: Protección de la información contra la divulgación no autorizada, tal vez a un competidor o a la prensa.

Integridad: Proteger la información de modificaciones no autorizadas y garantizar que la información, como la lista de precios, sea precisa y completa.

Disponibilidad: Garantizar que la información esté disponible cuando la necesite. Asegurar la confidencialidad, integridad y disponibilidad de la información es esencial para mantener la ventaja competitiva, el flujo de caja, la rentabilidad, el cumplimiento legal y la imagen comercial y la marca.

Sistema de gestión de seguridad de la información (SGSI): Esta es la parte del sistema de gestión general basado en un enfoque de riesgo empresarial para establecer, implementar, operar, monitorear, revisar, mantener y mejorar la seguridad de la información. El sistema de gestión incluye la estructura organizativa, las políticas, las actividades de planificación, las responsabilidades, las prácticas, los procedimientos, los procesos y los recursos.

Acerca de ISO 27001: – Un estándar internacional líder para la gestión de la seguridad de la información. Más de 12.000 organizaciones en todo el mundo certificadas según este estándar. Su propósito es proteger la confidencialidad, integridad y disponibilidad de la información.Los controles técnicos de seguridad, como los antivirus y los firewalls, normalmente no se auditan en las auditorías de certificación ISO / IEC 27001: se presume esencialmente que la organización ha adoptado todos los controles de seguridad de la información necesarios. No se centra solo en la tecnología de la información, sino también en otros activos importantes de la organización. Se centra en todos los procesos comerciales y activos comerciales. La información puede estar relacionada o no con la tecnología de la información y puede estar o no en formato digital. Se publicó por primera vez como Código de Práctica del Departamento de Comercio e Industria (DTI) en el Reino Unido conocido como BS 7799.ISO 27001 tiene 2 partes ISO / IEC 27002 e ISO / IEC 27001

ISO / IEC 27002: 2005: es un código de prácticas para la gestión de la seguridad de la información. Proporciona orientación sobre las mejores prácticas. Se puede utilizar según sea necesario dentro de su negocio. No es para certificación.

ISO / IEC 27001: 2005:Se utiliza como base para la certificación. Es algo Programa de Gestión + Gestión de Riesgos. Tiene 11 dominios de seguridad, 39 objetivos de seguridad y 133 controles.

ISO / IEC 27001: El estándar contiene las siguientes secciones principales:

  • Evaluación de riesgos
  • Politica de seguridad
  • Gestión de activos
  • Seguridad de los recursos humanos
  • Seguridad física y ambiental
  • Gestión de comunicaciones y operaciones
  • Control de acceso
  • Adquisición, desarrollo y mantenimiento de sistemas de información
  • Gestión de incidentes de seguridad de la información
  • Gestión de la continuidad del negocio
  • Cumplimiento

Beneficios de los sistemas de gestión de seguridad de la información (SGSI):ventajas competitivas: Los socios comerciales y los clientes responden favorablemente a las empresas confiables. Tener SGSI demostrará madurez y confiabilidad. Algunas empresas solo se asociarán con aquellas que tengan SGSI. La implementación de SGSI puede generar eficiencias en las operaciones, lo que lleva a reducir los costos de hacer negocios. Las empresas con SGSI también pueden competir en precios.

Razones para ISO 27001: Existen razones obvias para implementar un Sistema de Gestión de Seguridad de la Información (ISO 27001). La norma ISO 27001 cumple con el cumplimiento legal o reglamentario. Los activos de información son muy importantes y valiosos para cualquier organización. La confianza de los accionistas, socios comerciales, clientes debe desarrollarse en la tecnología de la información de la organización para aprovechar las ventajas comerciales. La certificación ISO 27001 muestra que los activos de información están bien gestionados teniendo en cuenta los aspectos de seguridad, confidencialidad y disponibilidad de los activos de información.

Institución de SGSI:Seguridad de la información: ¿desafío de gestión o problema técnico? La seguridad de la información debe verse como un desafío empresarial y de gestión, no simplemente como una cuestión técnica que se debe entregar a los expertos. Para mantener su negocio seguro, debe comprender tanto los problemas como las soluciones. Para instituir, la gestión del SGSI juega un papel del 80% y un 20% de responsabilidad del sistema tecnológico.

Comenzando: – Antes de comenzar a instituir un SGSI, debe obtener la aprobación de la Administración / Participantes. Tienes que ver si estás intentando hacerlo para toda la organización o solo para una parte. Debe reunir un equipo de partes interesadas y profesionales capacitados. Puede optar por complementar el equipo con consultores con experiencia en implementación.

Certificación SGSI (ISO 27001): Una verificación independiente por parte de un tercero de la garantía de seguridad de la información de la organización basada en las normas ISO 27001: 2005.

Precertificación: Etapa 1 – Auditoría de documentación

Etapa 2 – Auditoría de implementación

Post-certificación: Vigilancia continua durante 2 años Reevaluación / Recertificación del tercer año

Conclusión: Antes de la implementación del sistema de gestión para los controles de seguridad de la información, la organización tiene varios controles de seguridad sobre el sistema de información. Estos controles de seguridad tienden a ser algo desorganizados e inconexos. La información, que es un activo muy crítico para cualquier organización, debe estar bien protegida contra su filtración o piratería. ISO / IEC 27001 es un estándar para el sistema de gestión de seguridad de la información (SGSI) que garantiza que los procesos bien gestionados se adapten a la seguridad de la información. La implementación de SGSI conduce a eficiencias en las operaciones que conducen a la reducción de los costos de hacer negocios.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *