Paso a paso para obtener más seguridad de la información

Monica normas 0 Comments

La cuestión de la seguridad de la información no es tan nueva como parece. Los peligros que enfrenta el panorama de información de una organización se conocen desde hace bastante tiempo. No obstante, a menudo se ignora la seguridad de la información corporativa, y los datos no se manejan con el cuidado y la previsión necesarios. Cuando se trata de las consecuencias del robo de datos y similares, no todas las organizaciones han desarrollado la conciencia necesaria en su totalidad. Muchos evitan el esfuerzo que creen que requiere proteger la información corporativa de manera efectiva. Pero ese no es siempre el caso.

Muchas organizaciones no necesitan introducir un sistema completo de gestión de seguridad de la información, al menos no todos a la vez.

Hay una opción para abordar este paso a paso razonable. Las empresas que ya tienen un sistema de gestión de calidad ISO 9001, por ejemplo, pueden comenzar con una simple actualización de su enfoque basado en el riesgo, y con vistas a los requisitos específicos de ISO 27001.

Es importante tener en cuenta aquí que, si bien ISO 9001: 2015 requiere un enfoque basado en el riesgo que trascienda las normas individuales, en su mayor parte la cuestión de CÓMO implementar esto depende de cada organización. Por ejemplo, no se requiere un proceso separado para la evaluación de riesgos, que por supuesto no es suficiente cuando se trata de seguridad de la información. Con este fin, simplemente podemos extender la evaluación de riesgos QMS para incluir el tema de la seguridad de la información. La mayoría de estos aspectos pueden implementarse con un esfuerzo razonable por parte de aquellos familiarizados con ISO 9001, ya que este es solo un primer paso en la dirección de la seguridad integral de la información.

Abordar riesgos y oportunidades

Al igual que ISO 9001, ISO 27001 aborda los temas relevantes en el capítulo 6.1 “Acciones para abordar riesgos y oportunidades”. Básicamente, hay tres aspectos importantes para salvaguardar: garantizar los resultados previstos de la organización; previniendo o reduciendo los efectos indeseables y logrando una mejora continua. Con respecto a la seguridad de la información, los siguientes términos clave son significativos: pérdida de confidencialidad, integridad y disponibilidad. En el Capítulo 6.1.1, la norma enumera los siguientes requisitos:

  • Identificar riesgos y oportunidades.
  • Planificar acciones para abordar los riesgos y oportunidades identificados
  • Planifique la integración e implementación de acciones en los procesos de la organización.

Los siguientes dos capítulos de la norma requieren la definición y aplicación de un proceso, respectivamente. El Capítulo 6.1.2 requiere esto para la evaluación del riesgo de seguridad de la información, donde el proceso debe establecer y mantener criterios para este riesgo, para incluir la aceptación del riesgo (a.1) y la realización de evaluaciones de riesgo de seguridad de la información (a .2). El proceso debe garantizar que “las evaluaciones repetidas produzcan resultados consistentes, válidos y comparables” (b.1). Para un primer paso, la atención debe centrarse en la identificación, el análisis y la evaluación de los riesgos de seguridad de la información.

El Capítulo 6.1.3 requiere la definición y aplicación de un proceso para abordar los riesgos de seguridad de la información. Este proceso está diseñado para garantizar:

  • Se seleccionan las opciones apropiadas para abordar los riesgos de seguridad de la información; tener en cuenta los resultados de la evaluación de riesgos
  • Se identifican todas las medidas / controles necesarios para la implementación de la opción elegida.
  • Comparación de las medidas / controles elegidos con los que figuran en el anexo A
  • Creación de una Declaración de Aplicabilidad con referencia a la (no) inclusión de controles / medidas del Anexo A (d)
  • Formulación de un plan para abordar la seguridad de la información.
  • Aprobación y aceptación del plan por parte del propietario del riesgo.
¿Qué enfoque elegir?

Si bien ISO 27001 requiere dos procesos separados para la evaluación y el tratamiento de los riesgos de seguridad de la información, al principio estos se pueden resumir en un proceso que expande la evaluación de riesgos del SGC para incluir el aspecto de la seguridad de la información. El grado en que dicho proceso abordará los requisitos separados depende directamente de la complejidad del panorama de información de cada organización. Pero de cualquier manera, la efectividad de dicho proceso debe verificarse durante una preauditoría externa o durante una auditoría ISO 9001 programada regularmente.

¿Cuáles son las ventajas?

Cualquier proceso que tome una visión en profundidad de los riesgos de seguridad de la información es un primer paso importante hacia un SGSI integral, como uno de acuerdo con ISO 27001. Al implementar dicho proceso, la organización fomenta la conciencia de la seguridad de la información en todos los niveles. La revisión específica de la seguridad de la información brinda a una organización oportunidades para identificar las necesidades de acción y tomar las medidas apropiadas (según ISO 27001, Anexo A). Agregar seguridad de la información a la evaluación de riesgos de una organización fortalece el enfoque basado en el riesgo en todos los aspectos. El esfuerzo para la implementación y la revisión de la efectividad de dicho proceso es manejable tanto en términos financieros como de personal.

Fuente: DQS GmbH

Noticias relacionadas

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *