¿Qué es una auditoría ISO 27001? ¿Mi empresa la necesita?
En nuestro mundo de datos mercantilizados, los estándares de ciberseguridad deben ser altísimos y precisos. La mayoría de las empresas, incluso si no están relacionadas de inmediato con la tecnología, eventualmente se encontrarán con la necesidad de ceñirse desde adentro.
Hace más de una década, la Organización Internacional de Normas adoptó una especificación llamada ISO 27001. Entonces, ¿qué es exactamente? ¿Qué nos puede decir una auditoría ISO 27001 sobre las maquinaciones internas de una organización? ¿Y cómo decide si su empresa debe ser auditada?
¿Qué es un sistema de gestión de seguridad de la información (SGSI)?
Un Sistema de Gestión de Seguridad de la Información (SGSI) es la principal línea de defensa de una organización contra las filtraciones de datos y otros tipos de ciberamenazas externas.
Un SGSI eficaz garantiza que la información que se protege permanezca confidencial y segura, fiel a la fuente y accesible para las personas que tienen la autorización para trabajar con ella.
Un error común es asumir que un SGSI equivale a un cortafuegos u otro medio técnico de protección. En cambio, un SGSI totalmente integrado está igualmente presente en la cultura de la empresa y en cada empleado, ingeniero o de otro tipo. Va mucho más allá del departamento de TI.
Más que una mera política y procedimiento oficial, el alcance de este sistema también incluye la capacidad del equipo para administrar y refinar el sistema. La ejecución y la forma en que se aplica realmente el protocolo son primordiales.
Esto implica adoptar un enfoque a largo plazo para la gestión y mitigación de riesgos. Los directores de una empresa deben estar íntimamente familiarizados con los riesgos asociados con la industria en la que trabajan específicamente. Armados con esta idea, podrán construir los muros a su alrededor en consecuencia.
¿Qué es la ISO 27001 exactamente?
En 2005, la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC) renovaron el BS 7799, un estándar de gestión de seguridad establecido por primera vez por BSI Group 10 años antes.
Ahora conocida oficialmente como ISO / IEC 27001: 2005, ISO 27001 es un estándar internacional de cumplimiento otorgado a empresas que son ejemplares en la gestión de la seguridad de la información.
Esencialmente, es una colección rigurosa de estándares que el sistema de gestión de seguridad de la información de una empresa puede ser contraria. Este marco permite a los auditores evaluar la tenacidad del sistema en su conjunto. Las empresas pueden optar por realizar una auditoría cuando quieran asegurarles a sus clientes y clientes que sus datos están seguros dentro de sus muros.
En este conjunto de disposiciones se incluyen: especificaciones relativas a la política de seguridad, clasificación de activos, seguridad ambiental, gestión de redes, mantenimiento del sistema y planificación de la continuidad del negocio.
La ISO condensó todas estas facetas de la carta original de BSI y las destiló en la versión que reconocemos hoy.
Profundizando en la política
¿Qué se evalúa exactamente cuando una empresa se somete a una auditoría ISO 27001?
El objetivo de la norma es formalizar una política de información segura y eficaz a nivel internacional. Incentiva una postura proactiva, una que busca evitar problemas antes de que sucedan.
La ISO enfatiza tres aspectos importantes de un SGSI seguro:
1. Análisis constante y reconocimiento del riesgo : incluye tanto los riesgos actuales como los que puedan presentarse en el futuro.
2. Un sistema robusto y seguro : incluye el sistema tal como existe en un sentido técnico, así como los controles de seguridad que utiliza la organización para protegerse contra los riesgos antes mencionados. Estos se verán muy diferentes, según la empresa y la industria.
3. Un equipo dedicado de líderes : estas serán las personas que realmente pongan los controles a trabajar en defensa de la organización. El sistema es tan eficaz como los que trabajan al timón.
El análisis de estos tres factores contribuyentes clave ayuda al auditor a obtener una imagen más completa de la capacidad de una empresa determinada para operar de forma segura. Se favorece la sostenibilidad frente a un SGSI que se basa únicamente en la fuerza técnica bruta.
Hay un elemento humano importante que debe estar presente. La forma en que las personas dentro de la empresa ejercen control sobre sus datos y su SGSI se lleva a cabo por encima de todo. Estos controles son los que realmente mantienen los datos seguros.
¿Qué es el Anexo A de ISO 27001?
Los ejemplos específicos de "controles" dependen de la industria. El anexo A de la norma ISO 27001 ofrece a las empresas 114 medios de control oficialmente reconocidos sobre la seguridad de sus operaciones.
Estos controles caen en una de las catorce clasificaciones:
A.5— Políticas de información y seguridad : las políticas y procedimientos institucionalizados que sigue una empresa.
A.6— Organización de la Seguridad de la Información : la asignación de responsabilidad dentro de la organización con respecto al marco del SGSI y su implementación. Curiosamente, también se incluye aquí la política que rige el teletrabajo y el uso de dispositivos dentro de la empresa .
A.7— Seguridad de los recursos humanos : se refiere a la incorporación, la baja y los cambios de roles de los empleados dentro de la organización. Aquí también se describen los estándares de detección y las mejores prácticas en educación y capacitación.
A.8— Gestión de activos : involucra los datos que se manejan. Los activos deben inventariarse, mantenerse y mantenerse privados, incluso a través de las líneas departamentales en algunos casos. La propiedad de cada activo debe establecerse claramente; esta cláusula recomienda que las empresas elaboren una "Política de uso aceptable" específica para su línea de negocio.
A.9— Control de acceso : ¿quién puede manejar sus datos y cómo limitará el acceso solo a empleados autorizados? Esto puede incluir el establecimiento de permisos condicional en un sentido técnico o el acceso a edificios cerrados con llave en el campus de su empresa.
A.10— Criptografía : se ocupa principalmente del cifrado y otras formas de proteger los datos en tránsito. Estas medidas preventivas deben gestionarse de forma activa; la ISO desalienta a las organizaciones a considerar el cifrado como una solución única para todos los desafíos profundos asociados con la seguridad de los datos.
A.11— Seguridad física y ambiental : evalúa la seguridad física de cualquier lugar donde se encuentren datos sensibles, ya sea en un edificio de oficinas real o en una pequeña sala con aire acondicionado llena de servidores.
A.12— Seguridad de las operaciones : ¿cuáles son sus reglas internas de seguridad en lo que respecta al funcionamiento de su empresa? La documentación que explique estos procedimientos debe mantenerse y revisarse con frecuencia para satisfacer las nuevas necesidades comerciales emergentes.
La gestión del cambio, la gestión de la capacidad y la separación de los diferentes departamentos se incluyen en este apartado.
A.13— Gestión de la seguridad de la red : las redes que conectan cada sistema dentro de su empresa deben ser herméticas y cuidadas cuidadosamente.
Las soluciones generales, como los firewalls, se vuelven aún más efectivas cuando se complementan con cosas como puntos de control de verificación frecuentes, políticas de transferencia formalizadas o prohibiendo el uso de redes públicas mientras se manejan los datos de su empresa, por ejemplo.
A.14— Adquisición, desarrollo y mantenimiento de sistemas : si su empresa aún no cuenta con un SGSI, esta cláusula explica lo que aporta un sistema ideal. Le ayuda a garantizar que el alcance del SGSI cubra todos los aspectos de su ciclo de vida de producción.
Una política interna de desarrollo seguro brinda a sus ingenieros el contexto que necesitan para construir un producto compatible desde el día en que comienza su trabajo.
A.15— Política de seguridad de proveedores : al hacer negocios con proveedores externos fuera de su empresa, ¿qué precauciones se toman para evitar fugas o violaciones de los datos compartidos con ellos?
A.16— Gestión de incidentes de seguridad de la información : cuando las cosas van mal, es probable que su empresa proporcione algún marco sobre cómo se debe informar, abordar y prevenir el problema en el futuro.
La ISO busca sistemas de represalia que permitan a las figuras de autoridad dentro de la empresa actuar con rapidez y con gran prejuicio después de que se ha detectado una amenaza.
A.17— Aspectos de seguridad de la información de la gestión de la continuidad del negocio : en caso de un desastre o algún otro incidente improbable que interrumpa sus operaciones de manera irrevocable, será necesario establecer un plan para preservar el bienestar de la empresa y sus datos hasta el negocio se reanuda normalmente.
La idea es que una organización necesita alguna forma de preservar la continuidad de la seguridad en tiempos como estos.
A.18— Cumplimiento : finalmente, llegamos al contrato real de acuerdos que una empresa debe suscribir para cumplir con los requisitos para la certificación ISO 27001. Sus obligaciones se presentan ante usted. Todo lo que le queda por hacer es firmar en la línea de puntos.
La ISO ya no requiere que las empresas en cumplimiento empleen solo controles que se ajusten a las categorías enumeradas anteriormente. Sin embargo, la lista es un gran lugar para comenzar si recién está comenzando a sentar las bases del SGSI de su empresa.
¿Debería auditarse mi empresa?
Eso depende. Si es una empresa muy pequeña que trabaja en un campo que no es sensible o de alto riesgo, probablemente pueda esperar hasta que sus planes para el futuro sean más seguros.
Más adelante, a medida que su equipo crezca, podría encontrarse en una de las siguientes categorías:
- Es posible que esté trabajando con un cliente importante que solicita que evalúen su empresa para asegurarse de que estarán seguros con usted.
- Es posible que desee realizar la transición a una oferta pública inicial en el futuro.
- Ya ha sido víctima de una infracción y necesita reconsiderar la forma en que administra y protege los datos de su empresa.
Puede que no siempre sea fácil predecir el futuro. Incluso si no se ve a sí mismo en ninguno de los escenarios anteriores, no está de más ser proactivo y comenzar a incorporar algunas de las prácticas recomendadas por ISO en su régimen.
El poder está en tus manos
Preparar su SGSI para una auditoría es tan simple como realizar la debida diligencia, incluso mientras trabaja hoy. La documentación siempre debe mantenerse y archivarse, brindándole la evidencia que necesitará para respaldar sus afirmaciones de competencia.
Es como en la escuela secundaria: haces la tarea y obtienes la calificación. Los clientes están sanos y salvos, y su jefe está muy contento con usted. Estos son hábitos sencillos de aprender y mantener. Te lo agradecerás más tarde, cuando el hombre con un portapapeles finalmente venga a llamar.