Comienza a aplicar la Seguridad de la Información -sin reinventar la rueda: ISO 27000

¿Quieres comenzar a asegurar la información de tu empresa y no sabes por donde empezar? Pues bien, conocer sobre los estándares será tu mejor inicio.

En la vida diaria, los estándares nos ayudan a evitar que reinventemreinvent-wheelos la rueda.

 

 

Esto también aplica para la seguridad de la información de tu empresa.

 ¿Qué es un estándar?

Un estándar es un documento, o conjunto de documentos, que proveen guías, especificaciones o características sobre algún tema específico y están basados en las mejores prácticas, bien probadas, validadas y ampliamente utilizadas.

Mas corto? OK, Un estándar es una guía con las mejores prácticas sobre un tema.

¿Quién hace los estándares?

Existen diversos organismos encargados de generar estándares. Los dos organismos más importantes a nivel mundial son ISO e IEC:

ISO_IEC

Ambas son organizaciones independientes, no gubernamentales, sin fines de lucro que desarrollan y publican estándares internacionales ampliamente consensados.

La misión de estas empresas es promover el desarrollo de la estandarización y las actividades relacionadas en el mundo buscando facilitar el intercambio de servicios y bienes a nivel internacional.

ISO/IEC 27000, El estándar para la Seguridad de la Información

En un mundo conducido por la información, era obvio que tenía que existir algún estándar sobre la información y su seguridad. (Aquí te dejo los 5 puntos para entender la seguridad de la información)

En el universo de estándares ISO, existen unos orientados a la seguridad de la información de las organizaciones: La familia ISO/IEC 27000. (ISO agrupa sus estándares en familias).

ISO 27000 está dedicada a ayudar a las organizaciones a administrar la seguridad de sus activos de información, incluyendo información financiera, propiedad intelectual, detalles de empleados o información de un tercero confiada a tu organización.

Esta familia tiene varios integrantes: ISO 27001, ISO 27002, ISO 27003, ISO 27004… para no duplicar esfuerzos en presentaciones, te dejo la liga familia-normas-iso-27000 de isotools.org con una breve presentación de cada miembro.

Asegura TODA tu información

Al buscar la seguridad de tu información, no solo te enfoques en los sistemas informáticos o en la información guardada en los servidores y las computadoras; los activos de la información de una empresa incluyen la información en papel, contratos firmados, respaldos y archivos de soporte, otros formatos como audio o video, patentes, información de terceros (clientes, proveedores, colaboradores), incluso hasta la comunicación verbal, la información compartida en reuniones y el conocimiento y experiencia de tus colaboradores forma parte del ámbito de la seguridad de la información.

Incluso hasta la comunicación verbal, la información compartida en reuniones y el conocimiento y experiencia de tus colaboradores forma parte del ámbito de la seguridad de la información.

Ya sabes por donde comenzar, ¿Cuál es el siguiente paso?

Pues bien, ya hemos visto la familia ISO/IEC 27000, entonces ya sabemos por dónde comenzar, ¿cierto? ammm… Casi, nos falta aterrizar qué haremos con las normas 27000.

Primero, debemos tener en cuenta que mantener la seguridad de la información implica un conjunto de actividades, no es un evento único.

Incluye un conjunto de políticas, procesos, procedimientos, organización, controles,  software así como la participación de las personas. Todo esto tiene un nombre: Sistema de Gestión de la Seguridad de la Información (SGSI).  

Dato técnico!:

An ISMS is a systematic approach to managing sensitive company
information so that it remains secure. It includes people, processes and IT systems by applying a risk management process.

Definición formal de iso27001

Traducción: Un SGSI es un enfoque sistemático para la gestión de la información confidencial de la empresa para que siga siendo seguro. Incluye personas, procesos y sistemas de TI mediante la aplicación de un proceso de gestión de riesgos.

Ahora hagamos un paréntesis, para recordar que un sistema es un conjunto de elementos relacionados entre sí y que funcionan como un todo. Con esto solo quiero evitar el error conceptual de pensar que un SGSI es un software. SGSI es un sistema porque está integrado por Lineamientos, Procesos, Personas y Recursos tecnológicos.

Aterrizando, nuestra idea final

Hemos llegado al final del artículo y me gustaría que te llevaras esta idea concreta:ideafinal

Comienza a aplicar la Seguridad de la Información, implementando un SGSI, basado en los estándares iso27000.

No necesitas reinventar la rueda, con iso27000 tendrás los requerimientos, las mejores prácticas para los controles de seguridad y guías de implementación.

P.D.

En próximas entradas te platicaré sobre los primeros pasos que seguí cuando establecí mi primer SGSI.

Si necesitas más información, tienes dudas más técnicas o sugerencias, dejo la invitación abierta para que me hagas llegar tus comentarios.

Anuncios

2 comentarios en “Comienza a aplicar la Seguridad de la Información -sin reinventar la rueda: ISO 27000

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s