Hoy, el tema de la seguridad de la información (en adelante, SI) de las empresas es uno de los más relevantes en el mundo. Y esto no es sorprendente, porque en muchos países hay un endurecimiento de los requisitos para las organizaciones que almacenan y procesan datos personales. Actualmente, la legislación rusa exige que una proporción significativa del flujo de documentos se mantenga en papel. Al mismo tiempo, se nota la tendencia hacia la digitalización: muchas empresas ya almacenan una gran cantidad de información confidencial tanto en formato digital como en forma de documentos en papel.
Segun los resultados del Centro de Análisis Anti-Malware, el 86% de los encuestados señaló que durante el año tuvo que resolver incidentes al menos una vez luego de ataques cibernéticos o como resultado de violaciones a las normas establecidas por parte de los usuarios. En este sentido, la atención prioritaria en las empresas a la seguridad de la información se ha convertido en una necesidad.
En la actualidad, la seguridad de la información corporativa no es solo un complejo de medios técnicos, como antivirus o firewalls, ya es un enfoque integrado para manejar los activos de la empresa en general y la información en particular. Las empresas tienen diferentes enfoques para resolver estos problemas. Hoy nos gustaría hablar de la implementación de la norma internacional ISO 27001 como solución a tal problema. Para las empresas en el mercado ruso, la presencia de dicho certificado simplifica la interacción con clientes y socios extranjeros que tienen altos requisitos en este asunto. ISO 27001 es ampliamente utilizado en Occidente y cubre los requisitos de seguridad de la información que deben cubrir las soluciones técnicas utilizadas, además de ayudar a construir procesos comerciales. Así, esta norma puede convertirse en su ventaja competitiva y en un punto de contacto con empresas extranjeras.
Esta certificación del Sistema de Gestión de Seguridad de la Información (en adelante - SGSI) ha recogido las mejores prácticas para el diseño de un SGSI y, muy importante, ha contemplado la posibilidad de elegir controles para asegurar el funcionamiento del sistema, los requisitos de seguridad tecnológica e incluso para la proceso de gestión de personal en la empresa. Después de todo, es necesario comprender que las fallas técnicas son solo una parte del problema. En materia de seguridad de la información, el factor humano juega un papel muy importante, mucho más difícil de excluir o minimizar.
Si su empresa está a punto de obtener la certificación ISO 27001, es posible que ya haya intentado encontrar una manera fácil de hacerlo. Tendremos que decepcionarte: aquí no hay caminos fáciles. Sin embargo, hay ciertos pasos que ayudarán a preparar a una organización para los requisitos internacionales de seguridad de la información:
1. Obtenga apoyo de la gerencia
Puede pensar que esto es obvio, pero en la práctica este punto a menudo se pasa por alto. Además, esta es una de las principales razones por las que los proyectos para implementar ISO 27001 a menudo fallan. Sin comprender la importancia del proyecto para implementar el estándar, la gerencia no proporcionará suficientes recursos humanos ni suficiente presupuesto para la certificación.
2. Desarrollar un plan de preparación para la certificación
La preparación para la certificación ISO 27001 es una tarea compleja que incluye muchos tipos diferentes de trabajo, requiere la participación de un gran número de personas y puede llevar muchos meses (o incluso años). Por lo tanto, es muy importante elaborar un plan de proyecto detallado: asignar recursos, tiempo y participación de las personas a tareas estrictamente definidas y controlar el cumplimiento de los plazos; de lo contrario, es posible que nunca termine el trabajo.
3. Determinar el perímetro de certificación
Si tiene una organización grande con actividades diversificadas, probablemente tenga sentido certificar solo una parte del negocio de la empresa en ISO 27001, lo que reducirá significativamente los riesgos de su proyecto, así como su tiempo y costo.
4. Desarrollar una política de seguridad de la información
Uno de los documentos más importantes es la Política de Seguridad de la Información de la empresa. Debe reflejar los objetivos de su empresa en el campo de la seguridad de la información y los principios básicos de la gestión de la seguridad de la información, que deben ser observados por todos los empleados. El propósito de este documento es definir lo que la dirección de la empresa quiere lograr en el campo de la seguridad de la información, así como también cómo se implementará y controlará.
5. Definir una metodología de evaluación de riesgos
Una de las tareas más difíciles es definir las reglas para evaluar y gestionar los riesgos. Es importante comprender qué riesgos una empresa puede considerar aceptables y cuáles requieren una acción inmediata para mitigarlos. Sin estas reglas, el SGSI no funcionará.
Al mismo tiempo, vale la pena recordar la adecuación de las medidas desarrolladas para reducir los riesgos. Pero no debe dejarse llevar por el proceso de optimización, ya que implica, entre otras cosas, grandes costos financieros o de tiempo, o simplemente puede ser imposible. Le recomendamos que utilice el principio de "suficiencia mínima" al desarrollar medidas de mitigación de riesgos.
6. Gestionar los riesgos según la metodología aprobada
La siguiente etapa es la aplicación consistente de la metodología de gestión de riesgos, es decir, su evaluación y procesamiento. Este proceso debe llevarse a cabo regularmente con mucho cuidado. Al mantener actualizado el registro de riesgos de seguridad de la información, puede asignar de manera efectiva los recursos de la empresa y prevenir incidentes graves.
7. Planifica tu tratamiento de riesgos
Los riesgos que excedan el nivel aceptable para su empresa deben incluirse en el plan de tratamiento de riesgos. Debe registrar las acciones encaminadas a reducir los riesgos, así como los responsables de las mismas y la oportunidad.
8. Complete la Declaración de aplicabilidad
Este es el documento clave que será examinado por la autoridad certificadora durante la auditoría. Debe describir qué controles de seguridad de la información se aplican a las operaciones de su empresa.
9. Determinar cómo se medirá la eficacia de los controles de seguridad de la información
Toda acción debe tener un resultado que conduzca al cumplimiento de las metas establecidas. Por lo tanto, es importante definir claramente los parámetros por los cuales se medirá el logro de los objetivos tanto para todo el sistema de gestión de seguridad de la información como para cada mecanismo de control seleccionado del Anexo de Aplicabilidad.
10. Implementar controles de seguridad de la información
Y solo después de implementar todos los pasos anteriores, debe comenzar a implementar los controles de seguridad de la información aplicables del Apéndice de aplicabilidad. El mayor desafío aquí, por supuesto, será la implementación de una forma completamente nueva de hacer las cosas en muchos de los procesos de su organización. La gente suele resistirse a las nuevas políticas y procedimientos, así que preste atención al siguiente punto.
11. Implementar programas de capacitación para empleados
Todos los puntos descritos anteriormente carecerán de sentido si sus empleados no comprenden la importancia del proyecto y no actúan de acuerdo con las políticas de seguridad de la información. Si desea que su personal cumpla con todas las nuevas reglas, primero debe explicar a las personas por qué son necesarios y luego brindar capacitación sobre el SGSI, destacando todas las políticas importantes que los empleados deben considerar en su trabajo diario. La falta de capacitación del personal es una razón común por la que falla un proyecto ISO 27001.
12. Mantener los procesos del SGSI
En esta etapa, ISO 27001 se convierte en una rutina diaria en su organización. Para confirmar la implementación de controles de seguridad de la información de acuerdo con el estándar, los auditores deberán proporcionar registros, evidencia de la operación real de los controles. Pero ante todo, los registros deberían ayudarlo a realizar un seguimiento de si sus empleados (y proveedores) están realizando sus tareas de acuerdo con las reglas aprobadas.
13. Monitorear el SGSI
¿Qué sucede con su SGSI? ¿Cuántos incidentes tienes, de qué tipo son? ¿Se siguen correctamente todos los procedimientos? Con estas preguntas, debe verificar si la empresa está logrando sus objetivos de seguridad de la información. Si no, debe desarrollar un plan para corregir la situación.
14. Realizar una auditoría interna del SGSI
El propósito de una auditoría interna es revelar la discrepancia entre los procesos reales de la empresa y las políticas de SI aprobadas. En su mayor parte, esta es una prueba de cómo sus empleados cumplen con las reglas. Este es un punto muy importante, porque si no controlas el trabajo de tu personal, la organización puede resultar dañada (intencionalmente o no). Pero el punto aquí no es encontrar a los perpetradores e imponerles sanciones disciplinarias por incumplimiento de las políticas, sino corregir la situación y prevenir problemas futuros.
15. Organizar la revisión de la gestión
La gerencia no tiene que configurar su firewall, pero sí necesitan saber qué está pasando en el SGSI, por ejemplo, si están cumpliendo con todas sus responsabilidades y si el SGSI está logrando los resultados previstos. Con base en esto, la gerencia debe tomar decisiones clave para mejorar el SGSI y los procesos comerciales internos.
16. Introducir un sistema de acciones correctivas y preventivas
Como cualquier norma, la ISO 27001 requiere "mejora continua": la corrección y prevención sistemáticas de inconsistencias en el sistema de gestión de seguridad de la información. Las acciones correctivas y preventivas pueden corregir la no conformidad y evitar que vuelva a ocurrir en el futuro.
En conclusión, me gustaría decir que en realidad es mucho más difícil obtener la certificación de lo que se describe en varias fuentes. La confirmación es el hecho de que en Rusia hoy solo han sido certificados para el cumplimiento. Al mismo tiempo, en el extranjero es uno de los estándares más populares que satisfacen las crecientes necesidades de las empresas en el campo de la seguridad de la información. Tal demanda de implementación se debe no solo al crecimiento y la complicación de los tipos de amenazas, sino también a los requisitos de la ley, así como a los clientes que necesitan mantener la total confidencialidad de sus datos.
A pesar de que la certificación ISMS no es una tarea fácil, el mero hecho de cumplir con los requisitos de la norma internacional ISO/IEC 27001 puede otorgar una importante ventaja competitiva en el mercado global. Esperamos que nuestro artículo haya brindado una comprensión básica de las etapas clave en la preparación de una empresa para la certificación.
Fuente: habr.com