Autor: John Gil Vargas/ Centro de Seguridad Informática y Certificación Electrónica (CSICE).FIIIDT.
No es para menos el pensar que hoy en día ya no sólo los patrones de comercio y globalización exigen que todas las organizaciones garanticen el cumplimiento básicos en sus productos y/o servicios, si no que además deben hallar la manera de mantenerse a flote elevando e su capacidad de reacción a eventos tan desafortunados como el que se esta viviendo.
Si bien es cierto que no sabemos con certeza el alcance de afectación que tiene este nuevo virus sabemos que, en el marco institucional, debemos transmitir a nuestros clientes o usuarios un mensaje claro para asegurar la eficiencia, la calidad, la confianza y la continuidad del negocio. En este contexto, las organizaciones entienden que el bien más valioso ya no son los grandes servidores o simplemente los activos de oficina que poseen actualmente, ya no, hoy en día el bien activo más valioso de toda organización es la información que manejan, sus datos, sus registros históricos, sus formulaciones, entre otros.; y como tal entienden que es imperativo conocer, mitigar y combatir los riesgos a los que están expuestos estos datos; ataques maliciosos por entes u organizaciones que se dedican al hurto de datos sensibles, fuga de intelecto, entre otros. Es por ello que la implementación de un Sistema de Gestión y Resguardo de la Información es de vital importancia ya que esto proporciona elementos y herramientas para mejorar y fortalecer los procesos, además de incrementar la productividad y la competitividad.
Así es como en el año 2005 nace la norma ISO 27001:2005 “Tecnología de la información -Técnicas de seguridad – Sistemas de gestión de la seguridad de la información – Requisitos”, cuya primera revisión fue publicada ese mismo año por la International Organitation for Standardization (ISO) y fue desarrollada en base a la norma británica BS7799-2.
El objetivo principal de esta normativa internacional es el aseguramiento de la confidencialidad e integridad de los datos y su disponibilidad así como la integridad de los sistemas y equipos que los procesan. Pretende abarcar todos los aspectos relacionados al control de los riesgos a los que se expone la información y en consecuencia la organización.
Es un estándar por excelencia para la Gestión de Sistemas de Información y en su última revisión publicada en el año 2013, cuyo nombre completo es ISO/IEC 27001:2013“Tecnología de la información -Técnicas de seguridad – Sistemas de gestión de la seguridad de la información – Requisitos” , se presentan una serie de cambios respecto a su predecesora que a pesar de ampliar su número de dominios de 11 a 14 muchos de los controles o requerimientos estrictos fueron reducidos. Esto bien sea por que fueron eliminados, generalizados o en el mejor de los casos fusionados lo que implica una mejora importante en la adaptación de esta normativa a las nuevas realidades tecnológicas. De los cambios generales más relevantes podemos citar:
- Se han reducido significativamente el número de controles.
- Se presentan 14 dominios en esta nueva versión.
- Cuenta con 35 objetivos de control.
- Se detallan un total de 114 controles.
- Buscan enfatizar un mayor número de opciones para calcular los riesgos. Esto implica que las vulnerabilidades, los activos y las amenazas ya no son tomadas como base única para la evaluación de riesgos, si no que se presenta como una forma de tantas.
- Da un nuevo enfoque al aplicar la evaluación de riesgo a la fase de Planificación y de Operación.
- La Respuesta a Incidentes pasa a tener mayor énfasis al centrarse en la evaluación y aprendizaje de los eventos de seguridad.
- La bien conocida estrategia del ciclo PDCA (Plan, DO, Check and Act) ya no se presenta como una única y obligatoria alternativa a seguir en la ISO/IEC 27001:2013, esto debido a que se permite el uso, de otras metodologías que según, la estructura de cada organización, permitiendo alcanzar la tan esperada mejora continua.
Las organizaciones que deseen aplicar para obtener una certifica ISO/IEC 27001:2013 o que simplemente deseen implementar esta normativa, a cualquier nivel, para organizar sus operaciones y brindar una mayor seguridad a la información que manejan deberán evaluar todos los aspectos propios de la estructura de la norma ISO/IEC 27001:2013. Su estructura organizacional y operativa debe ser sometida a la evaluación de los 14 requisitos y que se pueden resumir en estos diez (10) puntos estructurales de la norma:
- Definir Los objetivos y campo de aplicación: En este apartado se requiere de la participación directa de los altos líderes de la organización para definir el alcance, la finalidad y la forma en la que será aplicada.
- Normativas de referencia: Por si sola la ISO/IEC 27001:2013 no engloba todos aspectos normativos que requiere la organización, es por ello que se requiere del apoyo de otros documentos ISO como complemento y que se sugieren sean consultados como requisito para la aplicación de la ISO 27001.
- La definición de la terminología debe contener los términos y definiciones aplicables.
- La organización y su contexto: En este apartado se defines las expectativas y las necesidades de la organización considerando el conocimiento y el contexto de la misma con la finalidad de definir el alcance del Sistema de Gestión de la Información (SGSI) a desarrollar.
- Liderazgo: Se asignan roles, responsabilidadesy autoridades definidas por las políticas de la organización a implementar, donde el liderazgo y el compromiso de la alta dirección será fundamental para la definición y elaboración de dichas políticas y contribuir al establecimiento de la norma.
- Planificación: Losobjetivosde la Seguridad e la información y el modo de cómo alcanzarlos son parte de planificar un SGSI permitiendo definir los riesgos y las oportunidades del sistema.
- Soporte: Pará el buen funcionamiento del SGSI es fundamenta que la organización cuente con información documenta, recursos, conocimiento, comunicación y conciencia de sí misma.
- Operación: Este punto se refiere a la planificación, implementación y control de los procesos de la organización como una herramienta de valoración de los riesgos de la Seguridad de la Información.
- Evaluación de desempeño: La revisión de la dirección del SGSI debe ser revisada constantemente por ello en este apartado se definen las necesidades y formas para el seguimiento, la medición, el análisis, evaluación y las auditorías internas en función de lo planificado.
- Mejora: Este apartado Se destacan las obligaciones que tendrá la organización ante la importancia de la mejora continua, la adecuación constante y la eficiencia de la SGSI.
La aplicación de esta normativa significa un elemento diferenciador que respecto al resto y da una ventaja competitiva superior, hecho que se evidencia en el marco de crisis sanitaria que se vive en la actualidad. A quienes ya poseen la certificación y han desarrollado sus operaciones en el marco de la ISO 27001:2013, tienen una ventaja con respecto a la capacidad de respuesta ante eventos de este tipo ya que desarrollaron estrategias que garantizan su funcionamiento y seguridad, sin embargo quienes por el contrario vieron al proceso ISO como un elemento burocrático sin un propósito, lo que a empuja a miles de organización a desempolvar viejos procedimientos o sucumbir ante la crisis actual, se ven forzados a recurrir a dicha norma para brindar continuidad, seguridad y operatividad a sus actividades dadas las circunstancias. Teletrabajo, riesgo de hurto de información, copias no autorizadas de documentos oficiales en ordenadores personales y muchos otros factores de riesgo reales que afectan hoy día la operatividad de muchas organizaciones.
Bajo este marco de conceptos de riesgos la ISO 27001:2013 tiene como finalidad mitigar y reducir los riesgos a los que están expuestas las organizaciones. Diseñando un SGSI adaptado a la realidad de cada organización y centrándose en la determinación de riesgos y las oportunidades para controlarlos.
Referencia:
Contacto: Jgvargasfii@gmail.com