Definición de un sistema de gestión de la seguridad de la información (ISO 27001)
01 Definición de un SGSI (ISO 27001)
Un sistema de gestión de la seguridad de la información un conjunto de políticas de administración de la información que define las políticas, los métodos, los procesos y las herramientas para garantizar una seguridad de la información sostenible y, de forma continua, en las empresas y los organismos públicos. Esto incluye la introducción de procedimientos específicos y la aplicación de medidas organizativas y técnicas que deben ser controladas, supervisadas y mejoradas continuamente
El objetivo es garantizar, más allá del departamento de TI, un nivel adecuado de protección de la confidencialidad, la disponibilidad y la integridad de la información en toda la organización o en el ámbito definido por esta. Así, el SGSI proporciona la base para la aplicación sistemática de la seguridad de la información dentro de una empresa para el cumplimiento de las normas de seguridad. Las amenazas potenciales relacionadas con la seguridad de la información se identifican, analizan y mitigan, haciéndolas controlables.
02 ¿Qué es la seguridad de la información?
El término seguridad de la información se utiliza a menudo como sinónimo de seguridad informática, pero en un más sentido estricto va más allá. La seguridad de la información contempla a todo lo que protege los activos de la información de una empresa u organización contra las amenazas (por ejemplo, ciberataques, sabotaje, espionaje y catástrofes naturales) y el consiguiente daño a su negocio o reputación. Las normativas legales, como la ley orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales (LOPDDG) o el Reglamento General de Protección de Datos (RGPD), exigen medidas de protección adecuadas para la información sensible, que puede estar en formato electrónico, escrito o impreso
03 ¿Cuál es la diferencia entre la seguridad de la información y la seguridad informática?
A diferencia de la seguridad informática, la seguridad de la información se refiere tanto a la seguridad de la tecnología utilizada como a cuestiones organizativas como las autorizaciones de acceso, formación, sensibilización, contratación y las responsabilidades. Por lo tanto, la seguridad de la información no es responsabilidad exclusiva del departamento de TI, sino que debe aplicarse en todos los ámbitos o departamentos de la empresa, empezando por la dirección
04¿Cuáles son los objetivos de protección de la seguridad de la información en una ISO 27001?
Según la familia de normas internacionales ISO 27000, los objetivos de protección de la seguridad de la información comprenden tres aspectos principales:
– Confidencialidad: La información confidencial sólo puede ser vista y divulgada por personas autorizadas. Por lo tanto, el acceso a esta información debe estar debidamente protegido. La confidencialidad se viola si un atacante es capaz de escuchar las comunicaciones, por ejemplo.
– Integridad: La información debe estar protegida de manipulaciones no detectadas para preservar su exactitud y exhaustividad. La integridad se viola si, por ejemplo, un atacante es capaz de modificar los datos de la investigación sin ser detectado.
– Disponibilidad: La información, los servicios o los recursos deben estar disponibles y ser utilizables para los usuarios legítimos en todo momento. La disponibilidad puede verse alterada, por ejemplo, por un ataque DDoS que sobrecargue deliberadamente los sistemas.
El grado de seguridad de la información alcanzado puede determinarse en función del grado de cumplimiento de estos objetivos de protección.
05 ¿Quién es el responsable de la seguridad de la información en la empresa?
Para garantizar la seguridad de la información en todas las partes de la empresa, hay que definir claramente cuales son los roles y responsabilidades y disponer de todos los recursos necesarios (dinero, personal, tiempo). Esta es la responsabilidad de la alta dirección de la empresa. Ésta tiene la responsabilidad general de la seguridad de la información y de un SGSI adecuado. Sin un compromiso firme de la alta dirección el SGSI (ISO 27001) puede estar abocado al fracaso.
Siguiendo un enfoque descendente, es responsabilidad de la dirección de la empresa iniciar el proceso de seguridad, establecer una estructura organizativa, definir los objetivos de seguridad y las condiciones generales, y establecer las directrices para aplicar la seguridad de la información. El diseño detallado y la aplicación de estas directrices en forma de SGSI pueden delegarse en los directivos y empleados.
Un responsable de la seguridad de la información es nombrado por la alta dirección y actúa como punto de contacto para todas las cuestiones relacionadas con la seguridad de la información. Debe estar integrado en el proceso del SGSI y colaborar estrechamente con los responsables de TI, por ejemplo, a la hora de seleccionar nuevos componentes o aplicaciones de TI o de realizar contrataciones con proveedores de sistemas.
06¿Cuáles son las ventajas de un SGSI?
Con un SGSI (ISO 27001), la seguridad de la información puede aplicarse sistemáticamente en toda la empresa y garantizar que se cumplan todas las normas de seguridad requeridas. Este enfoque holístico y preventivo ofrece varias ventajas:
Protección de la información sensible:
Un SGSI garantiza que los activos de información propios (por ejemplo, la propiedad intelectual, datos de carácter personal, datos estratégicos, datos financieros), así como los datos confiados por los clientes o por terceros, están adecuadamente protegidos contra todas y cada una de las amenazas.
Mantener la continuidad del negocio:
Al utilizar un SGSI para hacer de la seguridad de la información una parte integral de sus procesos de negocio, las empresas pueden aumentar continuamente su nivel de seguridad y mitigar los riesgos de seguridad de la información. De este modo, contrarrestan el riesgo de que los incidentes de seguridad interrumpan la continuidad del negocio.
Cumplir los requisitos de conformidad:
Se aplican estrictos requisitos de cumplimiento, especialmente en sectores muy regulados, como el financiero o el de infraestructuras críticas. El incumplimiento de la normativa legal y de los acuerdos contractuales puede dar lugar a fuertes multas. Con un SGSI, las empresas se aseguran de cumplir todos los requisitos normativos y contractuales, lo que también les da más seguridad operativa y jurídica.
Verificabilidad de la seguridad de la información:
Al certificar su SGSI, las empresas pueden verificar ante terceros que la información sensible se maneja de forma segura. Esto contribuye a una mejor imagen externa y a generar confianza, lo que a su vez supone una ventaja competitiva.
Con la entrada del RGPD, cada vez más hay empresas que solicitan a sus proveedores certificaciones ISO 27001 o ISO 27701 (Gestión de la Información de Privacidad).
La nueva norma ISO 27701 proporciona guía a las organizaciones que quieran cumplir con los requisitos del RGPD y otros requisitos sobre privacidad de datos.
Mejora de la rentabilidad y reducción de costes:
La coordinación estructurada y la planificación orientada al riesgo de las medidas de un SGSI ayudan a establecer prioridades, utilizar los recursos de forma eficiente y realizar las inversiones en los lugares adecuados. Así, tras los costes adicionales iniciales, los gastos generales pueden reducirse a largo plazo.
07 ¿Puede un SGSI sustituir a un sistema de gestión de la privacidad de los datos?
Aunque un SGSI generalmente ayuda a asegurar la información que necesita ser protegida, no necesariamente satisface también los requisitos de privacidad, o al menos en su totalidad, de datos relacionados con el tratamiento seguro de los datos personales. Esto se debe a que toda la información que requiere protección recibe el mismo tratamiento en un SGSI. Por tanto, un SGSI no sustituye a un sistema de gestión de la privacidad de los datos (SGDP). Sin embargo, lo ideal es que un SGDP se base en un SGSI y lo mejore tanto técnica como organizativamente de acuerdo con los requisitos de protección de datos (artículos 25 y 32 del RGPD). Se recomienda una estrecha colaboración entre los responsables de la seguridad de la información y los delegados de la protección de datos.
Para ello, como hemos comentado en el punto anterior
08 ¿Cuáles son los pasos fundamentales para implantar un SGSI?
La implantación eficiente y eficaz de un SGSI (ISO 27001) es un proceso complejo. Para ello, hay que tener en cuenta los siguientes pasos:
Definir el alcance de los servicios donde va a actuar el SGSI:
El primer paso es aclarar qué debe hacer el SGSI en primer lugar. Para ello, la dirección de la empresa debe definir claramente los ámbitos de aplicación, los objetivos y los límites del SGSI.
Identificar y valorar los activos:
¿Qué activos debe proteger el SGSI? Pueden ser la información, los programas informáticos, soportes, los servicios y los activos físicos como los ordenadores, pero también las cualificaciones, las competencias y la experiencia de los empleados, así como otros activos intangibles como la reputación y el prestigio. El principal objetivo es identificar cuáles son los activos críticos para el negocio de los que depende el éxito de la empresa.
Identificar y evaluar los riesgos:
Para cada activo que tenga que ser protegido, debe de identificarse y clasificarse los riesgos potenciales en función de los requisitos legales o las directrices de cumplimiento. Las empresas deben preguntarse, por ejemplo, qué impacto tendría cada riesgo si se vulnerara la confidencialidad, la integridad y la disponibilidad, o cuáles son las probabilidades de que se produzcan. Al final, se trata de llegar a una evaluación que indique que riesgos son aceptables, debido a la cantidad estimada de daño causado y cuáles no y, por lo tanto, deben ser abordados a toda costa.
Definir las medidas:
Sobre la base de la evaluación de riesgos anterior, hay que seleccionar y aplicar las medidas técnicas y organizativas adecuadas para mitigar o evitar los riesgos. Esto incluye también la definición de competencias y responsabilidades claras. En el Anexo I de la ISO 27001 hay un catalogo de medidas de seguridad que pueden aplicarse.
Demostrar la eficacia:
Las medidas adoptadas e implementadas deben ser objeto de un seguimiento continuo y de una verificación periódica de su eficacia, por ejemplo, mediante auditorías, cumplimiento de objetivos e indicadores de seguridad.
Realizar mejoras:
Si la revisión de las medidas introducidas revela deficiencias o se han identificado nuevos riesgos, el proceso del SGSI debe volver a ejecutarse desde el principio. De este modo, el SGSI puede adaptarse continuamente a las condiciones o requisitos cambiantes, mejorando continuamente la seguridad de la información en la empresa.
09 ¿Qué pueden utilizar las empresas como guía a la hora de establecer un SGSI?
Las normas de la familia ISO 27000 ayudan a diseñar un SGSI y a introducir todas las medidas de seguridad necesarias. Para que un SGSI funcione de acuerdo con estas normas deben identificarse las posibles amenazas en una fase temprana y mitigarlas mediante la aplicación de controles a medida. Esto permite a las empresas garantizar la confidencialidad, disponibilidad e integridad de toda la información.
La ISO 27001 considera la seguridad de la información como un proceso que debe ajustarse continuamente, por ejemplo, a los cambios en los procesos internos, a los cambios en el marco legal, a las nuevas tecnologías o a las amenazas previamente desconocidas. Para ello, se recomienda un ciclo PDCA (también conocido como «ciclo Deming»), que consta de las fases Planear (planificar las medidas de seguridad), Hacer (aplicar las medidas), Comprobar (controlar el éxito mediante un seguimiento continuo) y Actuar (mejora continua).
Por lo general, las empresas son libres de elegir si implantan y, en su caso, certifican su SGSI de acuerdo con la norma internacional ISO/IEC 27001.
