Sistema de gestión de seguridad de la información: Introducción a ISO 27001

Escenario actual: Las organizaciones actuales dependen en gran medida de los sistemas de información para gestionar negocios y ofrecer productos / servicios. Dependen de TI para el desarrollo, la producción y la entrega en diversas aplicaciones internas. La aplicación incluye bases de datos financieras, reservas de tiempo de empleados, servicio de asistencia técnica y otros servicios, acceso remoto a clientes / empleados, acceso remoto de sistemas de clientes, interacciones con el mundo exterior a través de correo electrónico, internet, uso de terceros y proveedores subcontratados.

Requerimientos comerciales:Se requiere seguridad de la información como parte del contrato entre el cliente y el cliente. El marketing quiere una ventaja competitiva y puede dar confianza al cliente. La alta gerencia quiere saber el estado de las interrupciones de la infraestructura de TI o las infracciones de información o incidentes de información dentro de la organización. Los requisitos legales como la Ley de Protección de Datos, los derechos de autor, la regulación de diseños y patentes y los requisitos reglamentarios de una organización deben cumplirse y estar bien protegidos. La protección de la información y los sistemas de información para cumplir con los requisitos comerciales y legales mediante la provisión y la demostración de un entorno seguro para los clientes, la gestión de la seguridad entre proyectos de clientes competidores y la prevención de fugas de información confidencial son los mayores desafíos para el sistema de información.

Definición de información: La información es un activo que, al igual que otros activos comerciales importantes, es valioso para una organización y, en consecuencia, debe protegerse adecuadamente. Cualquiera sea la forma que tome la información o los medios por los cuales se comparte o almacena, siempre debe protegerse adecuadamente.

Formas de informacion: La información puede almacenarse electrónicamente. Se puede transmitir a través de la red. Se puede mostrar en videos y puede ser verbal.

Amenazas de información:Los ciberdelincuentes, los piratas informáticos, el malware, los troyanos, los phishing y los spammers son amenazas importantes para nuestro sistema de información. El estudio encontró que la mayoría de las personas que cometieron el sabotaje eran trabajadores de TI que mostraban características que incluían discutir con sus compañeros de trabajo, ser paranoicos y descontentos, llegar tarde al trabajo y exhibir un desempeño laboral general deficiente. De los cibercriminales, el 86% estaban en puestos técnicos y el 90% tenía acceso de administrador o privilegiado a los sistemas de la empresa. La mayoría cometió los crímenes después de que se terminó su empleo, pero el 41% saboteó los sistemas mientras todavía eran empleados de la empresa. Las calamidades naturales como tormentas, tornados, inundaciones pueden causar daños importantes a nuestro sistema de información.

Incidentes de seguridad de la información: Los incidentes de seguridad de la información pueden causar interrupciones en las rutinas y procesos de la organización, disminución del valor para los accionistas, pérdida de privacidad, pérdida de ventaja competitiva, daño a la reputación que causa la devaluación de la marca, pérdida de confianza en TI, gastos en activos de seguridad de la información por datos dañados, robados, corruptos o pérdida en incidentes, rentabilidad reducida, lesiones o pérdida de vidas si fallan los sistemas críticos para la seguridad.

Pocas preguntas básicas:

• ¿Tenemos una política de seguridad de TI?

• ¿Alguna vez hemos analizado las amenazas / riesgos para nuestras actividades e infraestructura de TI?

• ¿Estamos preparados para calamidades naturales como inundaciones, terremotos, etc.?

• ¿Todos nuestros activos están asegurados?

• ¿Estamos seguros de que nuestra infraestructura / red de TI es segura?

• ¿Están seguros nuestros datos comerciales?

• ¿Es segura la red telefónica IP?

• ¿Configuramos o mantenemos características de seguridad de la aplicación?

• ¿Tenemos un entorno de red segregado para el servidor de desarrollo, prueba y producción de aplicaciones?

• ¿Están capacitados los coordinadores de oficina para cualquier brote de seguridad física?

• ¿Tenemos control sobre la distribución de software / información?

Introducción a ISO 27001:En los negocios, tener la información correcta para la persona autorizada en el momento adecuado puede marcar la diferencia entre ganancias y pérdidas, éxito y fracaso.

Hay tres aspectos de la seguridad de la información:

Confidencialidad: Proteger la información de la divulgación no autorizada, tal vez a un competidor o a la prensa.

Integridad: Proteger la información de modificaciones no autorizadas y garantizar que la información, como la lista de precios, sea precisa y completa

Disponibilidad: Garantizar que la información esté disponible cuando la necesite. Asegurar la confidencialidad, integridad y disponibilidad de la información es esencial para mantener la ventaja competitiva, el flujo de caja, la rentabilidad, el cumplimiento legal y la imagen comercial y la marca.

Sistema de gestión de seguridad de la información (SGSI): Esta es la parte del sistema de gestión general basado en un enfoque de riesgo comercial para establecer, implementar, operar, monitorear, revisar, mantener y mejorar la seguridad de la información. El sistema de gestión incluye estructura organizativa, políticas, actividades de planificación, responsabilidades, prácticas, procedimientos, procesos y recursos.

Sobre ISO 27001: – Un estándar internacional líder para la gestión de la seguridad de la información. Más de 12,000 organizaciones en todo el mundo certificadas según este estándar. Su propósito es proteger la confidencialidad, integridad y disponibilidad de la información. Los controles técnicos de seguridad, como los antivirus y los firewalls, normalmente no se auditan en las auditorías de certificación ISO / IEC 27001: se presume que la organización ha adoptado todos los controles de seguridad de la información necesarios. No se centra solo en la tecnología de la información, sino también en otros activos importantes de la organización. Se enfoca en todos los procesos comerciales y activos comerciales. La información puede o no estar relacionada con la tecnología de la información y puede o no estar en forma digital. Se publica por primera vez como Código de Prácticas del Departamento de Comercio e Industria (DTI) en el Reino Unido conocido como BS 7799. ISO 27001 tiene 2 partes ISO / IEC 27002 e ISO / IEC 27001

ISO / IEC 27002: 2005: es un código de práctica para la gestión de la seguridad de la información. Proporciona orientación sobre mejores prácticas. Se puede usar según sea necesario dentro de su negocio. No es para certificación.

ISO / IEC 27001: 2005:Se utiliza como base para la certificación. Es algo Programa de Gestión + Gestión de Riesgos. Tiene 11 dominios de seguridad, 39 objetivos de seguridad y 133 controles.

ISO / IEC 27001: El estándar contiene las siguientes secciones principales:

• Evaluación de riesgos
• Politica de seguridad
• Gestión de activos
• Seguridad de recursos humanos
• Seguridad Física y Ambiental
• Dirección de Comunicaciones y Operaciones
• Control de acceso
• Adquisición, desarrollo y mantenimiento de sistemas de información.
• Gestión de incidentes de seguridad de la información
• Gestión de continuidad del negocio
• Conformidad

Beneficios de los sistemas de gestión de seguridad de la información (SGSI):ventajas competitivas: Los socios comerciales y los clientes responden favorablemente a las compañías confiables. Tener un SGSI demostrará madurez y confiabilidad. Algunas compañías solo se asociarán con aquellos que tienen SGSI. La implementación del SGSI puede conducir a eficiencias en las operaciones, lo que lleva a reducir los costos de hacer negocios. Las empresas con SGSI también pueden competir en precios.

Razones para ISO 27001: Hay razones obvias para implementar un Sistema de gestión de seguridad de la información (ISO 27001). La norma ISO 27001 cumple con el cumplimiento legal o reglamentario. Los activos de información son muy importantes y valiosos para cualquier organización. La confianza de los accionistas, socios comerciales, clientes debe desarrollarse en la Tecnología de la Información de la organización para aprovechar las ventajas comerciales. La certificación ISO 27001 muestra que los activos de información están bien administrados teniendo en cuenta los aspectos de seguridad, confidencialidad y disponibilidad de los activos de información.

Institución del SGSI:Seguridad de la información: ¿desafío de gestión o problema técnico? La seguridad de la información debe verse como un desafío empresarial y de gestión, no simplemente como un problema técnico que debe entregarse a los expertos. Para mantener su negocio seguro, debe comprender tanto los problemas como las soluciones. Para instituir la gestión del SGSI desempeña un 80% de papel y un 20% de responsabilidad del sistema tecnológico.

Comenzando: – Antes de comenzar a establecer el SGSI, debe obtener la aprobación de la Administración / Titulares de estaca. Tienes que ver si estás intentando hacerlo para toda la organización o solo para una parte. Debe reunir un equipo de partes interesadas y profesionales calificados. Puede optar por complementar el equipo con consultores con experiencia en implementación.

Certificación ISMS (ISO 27001): Una verificación independiente por parte de un tercero de la garantía de seguridad de la información de la organización basada en las normas ISO 27001: 2005.

Precertificación: Etapa 1 – Auditoría de documentación

Etapa 2 – Auditoría de implementación

Postcertificación: Vigilancia continua durante 2 años Revaluación / recertificación del tercer año

Conclusión: Antes de la implementación del sistema de gestión para los controles de Seguridad de la Información, la organización tiene varios controles de valores sobre el sistema de información. Estos controles de seguridad tienden a ser algo desorganizados y desarticulados. La información, al ser un activo muy crítico para cualquier organización, debe estar bien protegida contra la filtración o el hackeo. ISO / IEC 27001 es un estándar para el sistema de gestión de seguridad de la información (SGSI) que garantiza que los procesos bien administrados se estén adaptando para la seguridad de la información. La implementación del SGSI conduce a eficiencias en las operaciones que conducen a la reducción de los costos de hacer negocios.