Controles de acceso ISO 27001

Los controles de acceso ISO 27001 son los pilares de la seguridad del Sistema de Seguridad de la información.  Si no es posible controlar quiénes pueden acceder a determinada información, no podremos garantizar la seguridad de ella.  Es esa la razón por la que los controles de acceso, concentran el interés de los equipos de seguridad, pero también de quienes desean acceder de forma ilícita a información restringida.

Son muchos los controles de acceso que utilizamos hoy en día. Los más comunes son las contraseñas o “passwords”. Pero también existen los controles biométricos, tarjetas de acceso, como mecanismos para impedir el acceso no autorizado y prevenir ataques contra los datos y la información.

Sin embargo, ante la sofisticación de los ataques cibernéticos, y como una forma de preservar la integridad de la información, las organizaciones encuentran que la autenticación de dos factores, resulta eficiente y eficaz en el cumplimiento del propósito de blindar el sistema de Seguridad de la Información.

Controles de acceso ISO 27001 – Función de autenticación

Antes que nada, entendamos que los controles de acceso eficientes deben considerar tres conceptos, que deben seguir esta secuencia:

• Identificación

Métodos que proporcionan una identidad a la persona u organización que pretende ingresar al sistema. Puede ser una cuenta de usuario, el número de seguro social, de cédula de identidad, pasaporte, etc.

• Autenticación

En esta instancia, el password, el control biométrico, una tarjeta de acceso, la huella dactilar, entre otros, garantizan que la persona que intenta ingresar, es la que está autorizada para acceder al sistema.

• Autorización

Los niveles de autorización pueden restringir las acciones que puede efectuar un usuario por medio de listas de permisos, y de esta forma controlar de acuerdo con la categoría o nivel de permisos, el acceso a la información.

Factores que permiten cumplir con los controles de acceso ISO 27001

Los métodos de autenticación, pueden utilizar diferentes conceptos o factores, que, a su vez, pueden funcionar combinados o por separado. Veamos algunos de ellos:

• Un dato que el usuario debe conocer

El caso más representativo es el de las contraseñas. Un PIN, número de identificación, de seguro social… Aunque es menos costoso en su implementación, también es menos seguro.

• Un objeto

Con una tarjeta inteligente accedemos a nuestras cuentas bancarias, en un cajero electrónico. Pero también existen llaves y fichas, por ejemplo. Es un poco más caro, pero seguro, sobre todo cuando se implementa en combinación con el método anterior.

• Algo que solo posee el usuario

La huella dactilar es el mejor ejemplo. Pero también se suele utilizar la retina, reconocimiento de voz e incluso ADN. Es el tipo de control más costoso y complejo de implementar, pero sin duda el más seguro.

Cuando hablamos entonces de autenticación de dos factores, hacemos referencia a la combinación de dos de estos métodos.

¿Por qué es importante utilizar dos o más factores de autenticación?

Dejar la seguridad en manos de un solo factor de autenticación, hace que esta se vea comprometida cuando cualquier persona conozca la variable que le permita asumir el papel del usuario autorizado.

Sabemos que muchos usuarios comparten sus contraseñas, las escriben en lugares que no son seguros, o incluso, utilizan algunas muy obvias, como la fecha de nacimiento.

Los objetos, como tarjetas, tokens, fichas o llaves, pueden extraviarse, ser robados o duplicados. Y aún, los patrones biométricos, son susceptibles de ser generados por distintos medios.  La selección de más de un factor de autenticación, reduce en forma ostensible la posibilidad de suplantación de un usuario.

Por supuesto, ello depende de la evaluación del riesgo que se lleve a cabo de acuerdo con ISO 27001. Aunque los controles descritos en el Anexo A, hacen referencia a información secreta como medio eficaz de autenticación, ISO 27002, que aporta recomendaciones para el uso de los controles de acceso ISO 27001, recomienda el uso de prácticas de autenticación en un número significativo de controles, con el fin de hacer que el sistema sea más fuerte y seguro.

ISOTools Excellence

Las organizaciones pueden utilizar autenticación con base en varios factores a través de la plataforma tecnológica de ISOTools Excellence. Así, las organizaciones pueden alcanzar mayores niveles de seguridad, cumpliendo con los requisitos de ISO 27001.

Si desea aumentar los niveles de seguridad de su información, solicite que uno de nuestros consultores expertos se ponga en contacto con usted. De esta forma podremos ayudar a su organización a adaptar la plataforma ISOTools Excellence a las necesidades de su organización.

La entrada Cómo la autenticación de dos factores permite cumplir con los controles de acceso ISO 27001 se publicó primero en ISOTools Chile.

Implementar ISO 27001 en una organización puede ser un proceso complejo para llevar a cabo, ISOTools ayuda con la certificación ISO 27001 para los Sistemas de Gestión de Seguridad de la Información (SGSI) de una organización, independientemente de su sector o tamaño.

En la actualidad, las organizaciones se ven envueltas en plena tormenta digital con cambios incesantes y continuos, a menudo provocado por la rápida evolución de la tecnología, por ello, la seguridad de la información debe ser un  punto central para todos los proyectos y procesos.

ISO 27001 proporciona un marco para gestionar la seguridad de la información, basado en evaluaciones regulares del riesgo que consideran escenarios siempre cambiantes. Y así, ISOTools ayuda con la certificación ISO 27001 para gestionar la documentación, auditorías, riesgos y proveedores de ISO 27001 de manera sencilla, segura y eficaz.

Cómo ISOTools ayuda con la certificación ISO 27001

La planificación de un Sistema de Gestión de Seguridad de la Información es un requisito fundamental de la certificación ISO 27001.

ISOTools ayuda con la certificación ISO 27001 en la gestión de documentos

ISO 27001 establece un proceso por etapas para la gestión de documentos. La documentación que se genere a través de este proceso, definirá el alcance de su sistema, es decir, la información que su organización intenta proteger, el contexto de su organización y su enfoque detallado para mantener segura la información. Este proceso debe estar integrado en todas las organizaciones.

ISOTools permite compartir fácilmente los documentos obligatorios, como son la política de seguridad de la información, la metodología de evaluación de riesgos y la declaración de aplicabilidad, con las partes interesadas de una organización, asegurando que siempre se tendrá acceso a la versión más reciente de los documentos.

Difundir la información abiertamente puede exponer a una organización a riesgos innecesarios. Con ISOTools puede reducir al mínimo la exposición al riesgo y las funciones de acceso o niveles de autorización respecto a la gestión de documentos.

ISOTools ayuda con la certificación ISO 27001 en la gestión de riesgos

La evaluación del riesgo es una de las partes más complejas a la hora de implementar la norma ISO 27001, y uno de los aspectos más importantes. ISOTools ayuda con la certificación ISO 27001 para crear una metodología de evaluación de riesgos.

Si bien, a raíz de un Mapa de procesos, cualquier organización puede gestionar los riesgos, realizando una identificación efectiva y a través del análisis de los procesos, con el objetivo de mostrar las oportunidades y riesgos potenciales.

Cómo #ISOTools ayuda con la #Certificación #ISO27001
Click To Tweet

Una organización puede tratar los riesgos a los que puede estar expuesta, una vez que los ha identificado, de manera que, a través de un flujo de trabajo, pueda rastrear la evaluación de riesgos en cada etapa.

Una vez que se realice el análisis de los procesos exhaustivamente y se identifiquen los riesgos y oportunidades de tales procesos, ISOTools permite el registro de los mismos y la evaluación del riesgo según la gravedad y prioridad que presente, o su posible ocurrencia.

Gracias a una gestión de informes de la evaluación de riesgos en tiempo real, puede gestionar de manera proactiva los riesgos del Sistema de Gestión de Seguridad de la Información.

ISOTools ayuda con la certificación ISO 27001 en las auditorías de su SGSI

Con ISOTools puede gestionar y planificar un programa de auditoría de forma más sencilla y eficaz, dado que, permite considerar en dicha planificación de auditoría, las fechas de inicio, revisiones de los responsables, así como la aprobación y ejecución de cada auditoría.

Así mismo, puede informar de la correcta ejecución de la auditoría, o en caso de no haberse realizado correctamente, el sistema permite dar pasos hacia atrás para corregir aquellos puntos que sean necesarios.

Software ISO 27001

A través de la plataforma tecnológica de ISOTools Excellece las organizaciones pueden realizar una correcta implementación de su Sistema de Gestión de la Seguridad de la Información de manera automatizada, dado que, ISOTools ayuda con la certificación ISO 27001, y gracias a las funcionalidades que incorpora, aumenta la agilidad y eficacia de su gestión con una mayor seguridad de la información.

La entrada Cómo ISOTools ayuda con la certificación ISO 27001 se publicó primero en ISOTools Chile.

Son muchas las organizaciones que se han emprendido el proceso de implementación de ISO 27001. Si su organización recién inicia el proceso, es probable que esté buscando una manera fácil de hacerlo.

Aunque parezca demasiado adusta la afirmación, lo cierto es que no hay una forma fácil de hacer el trabajo. Pero si podemos compartir con nuestros amables lectores, tres claves para la implementación de ISO 27001 y otras recomendaciones adicionales, que ofrecerán una guía amigable para emprender la tarea. Veamos:

3 claves para la implementación de ISO 27001

Escribir la política del Sistema de Gestión de la Seguridad de la Información

La política de SGSI es el documento de más alto nivel en el sistema. Si bien, es un documento esencial, no debe ser demasiado detallado, pero si debe definir algunas cuestiones básicas de seguridad de la información en la organización.

Tal vez usted se pregunte ¿Cuál es el objetivo si no se permite el detalle?: el objetivo es que el documento exprese la gestión en su conjunto, los objetivos que se quieren lograr y como conseguirlos. Dentro de esos objetivos, sin duda ocupa lugar preponderante, establecer una metodología para la evaluación del riesgo.

La evaluación de riesgos es la más compleja tarea, que ordena la norma ISO 27001. El objetivo es definir las reglas para la identificación de los activos, vulnerabilidades, amenazas, impactos, probabilidades, todo ello con el fin de definir el nivel de riesgo aceptable.

Si estas reglas no están claramente definidas, es probable que los resultados del trabajo resulten inutilizables.

Llevar a cabo la evaluación y el tratamiento de los riesgos

Es necesario poner en práctica lo que definimos en el paso anterior. Esto pude tomar varios meses, sobre todo en organizaciones de gran tamaño, por lo que es necesario coordinar esta labor con mucha atención. El objetivo es obtener una visión completa de los riesgos a los que está expuesta la información de la organización.

El propósito del proceso de tratamiento de riesgos es reducir los riesgos que no son aceptables. Esto, normalmente se hace mediante el uso de los controles descritos en el Anexo A.

En esta etapa, usted debe escribir un informe de evaluación de riesgos, que documente las medidas adoptadas durante el proceso de evaluación y tratamiento de riesgos. Además, se debe obtener la aprobación de los riesgos residuales, ya sea como un documento separado o como parte de la Declaración de Aplicabilidad.

Una vez completado el proceso del tratamiento del riesgo, usted sabrá exactamente qué controles del Anexo A son requeridos. El Anexo, consta de 114 controles, pero no todos ellos son necesarios en todas las organizaciones.

La declaración de aplicabilidad es también el documento más adecuado para obtener la autorización para poner práctica la gestión del SGSI.

3 claves de la #Implementación de #ISO27001 para el #SGSI
Click To Tweet

Preparar el plan de tratamiento del riesgo

Aunque usted piense que ya son suficientes los documentos relacionados con los riesgos de la información, aún falta uno: el plan de tratamiento del riesgo. El propósito de este plan de riesgos, es definir exactamente como se deben implementar los controles del Anexo A. ¿Quién va a hacer el trabajo?, ¿Cuándo se va a llevar a cabo?, ¿Con que presupuesto se puede contar?

Este documento es en realidad un plan de implementación enfocado en los controles, sin lo cual no sería posible coordinar los próximos pasos del proyecto.

Otra tarea que a menudo se subestima, es la medición de la efectividad de los controles. Y es que, ¿si no se pueden medir el trabajo realizado, ¿cómo podemos estar seguros de que se ha cumplido con los objetivos? Así es que no debemos olvidar establecer mecanismos para medir el cumplimiento de los objetivos establecidos, tanto para todo el SGSI y para los controles que son aplicables en la Declaración de Aplicabilidad.

Esperamos que estas claves resulten de utilidad durante la implementación de ISO 27001, que, como hemos advertido no es una tarea fácil, pero no necesariamente complicada. Solo es necesario planificar cuidadosamente cada paso, en el camino hacia la certificación.

Software ISOTools Excellence

Desde ISOTools Excellece, ponemos a disposición de las organizaciones la plataforma tecnológica, donde pueden realizar una correcta implementación de su Sistema de Gestión de la Seguridad de la Información basada en la norma ISO 27001. Así mismo, aumenta la eficacia y la agilidad de la gestión de manera automatizada.

La entrada 3 claves de la implementación de ISO 27001 para el Sistema de Gestión de la Seguridad de la Información se publicó primero en ISOTools Chile.

La definición del alcance SGSI (Sistema de Gestión de la Seguridad de la Información), requiere un entendimiento claro sobre qué proteger para minimizar los riesgos de compromiso de información, y los servidores implementados en entornos could, donde la gestión de la información está de manera virtual en manos de la persona que contrata los servicios de la nube.

Las soluciones en la nube ofrecen muchas opciones para que una organización pueda elegir correctamente a la hora de satisfacer sus necesidades, pero también, pueden repercutir en diferentes escenarios de riesgo que tengan una influencia en los controles de seguridad aplicables y en la definición del alcance.

Hoy hablaremos sobre cómo tener en cuenta las soluciones que hay en la nube para garantizar que, la definición del alcance SGSI basado en ISO 27001, esté alineado con las necesidades empresariales cubriendo la información que se va a proteger.

Soluciones de la nube más comunes

Los modelos más comunes de servicios en la nube son:

• Infraestructura como servicio (IaaS): ofrece infraestructura básica de computación (máquinas físicas y virtuales, ubicación, red, copia de seguridad, etc.)
• Plataforma como servicio (PaaS): ofrece un entorno de progreso para desarrolladores de aplicaciones (sistemas operativos, entorno de ejecución de lenguaje de programación, bases de datos, etc.)
• Software como servicio (SaaS): ofrece al usuario final acceso a software de aplicación y bases de datos (correo electrónico, intercambio de archivos, redes sociales, ERP, etc.)

Definición del alcance SGSI si los servidores están en la nube

Debemos tener en cuenta que las soluciones en la nube pueden implementarse tanto como nubes privadas, cuando el proveedor es el propio departamento de TI (tecnología de información) no un tercero, o como nubes públicas, cuando el proveedor es un tercero.

Definición del #Alcance #SGSI si los #Servidores están en la #Nube #ISO27001
Click To Tweet

Inversión en seguridad al alinear la definición del alcance SGSI

En una organización, gestionar el riesgo a través de terceros puede ser una solución eficaz cuando se demuestre que éstos pueden proporcionar una solución mejor que la propia organización.

No obstante, los beneficios pueden no ser suficientes si no se tienen en cuenta los niveles de seguridad adecuados en el alcance de la organización, por ello, una organización debe considerar los controles ISO 27001, estableciendo cláusulas de seguridad en contratos y acuerdos de servicio con terceros, como por ejemplo en el Anexo A.

Siguiendo los requisitos y controles de ISO 27001, una organización puede constituir una base sólida para definir el alcance del SGSI y el reparto de responsabilidades.

Software ISO 27001

A través de la plataforma tecnológica de ISOTools Excellece las organizaciones pueden realizar una correcta implementación de su Sistema de Gestión de la Seguridad de la Información de manera automatizada, y gracias a las funcionalidades que incorpora, aumenta la agilidad y eficacia de su gestión con una mayor seguridad de la información.

La entrada ISO 27001: Definición del alcance SGSI si los servidores están en la nube se publicó primero en ISOTools Chile.

La norma ISO 27001 pide a la Alta Dirección de la organización, proporcionar, donde y cuando sea necesario, los recursos para implementar y mantener el Sistema de Gestión de Gestión de Seguridad de la información. Pero ¿cómo demostrar la provisión de recursos en ISO 27001 y cuáles son esos recursos?

Aunque tal provisión puede representar un serio obstáculo para muchas organizaciones, sorprende lo escueto del tratamiento que de él hace la norma, ya que solo dedica una cláusula de dos líneas para atender tan importante tema.

Sin embargo, con la lectura juiciosa de la norma, podemos verificar que el asunto es tratado en diversos capítulos a lo largo de todo el texto del estándar. En el cumplimiento de nuestro objetivo pedagógico e formativo, extractamos un compendio de los apartes de la norma en los que se hace alusión a la provisión de los recursos en ISO 27001. Iniciemos precisando cuáles son esos recursos para demostrar la provisión de recursos en ISO 27001:

Demostrar la provisión de recursos en ISO 27001 – ¿Cuáles son?

La cláusula 7.1 de la norma define los recursos necesarios para la implementación del Sistema y para asegurar la mejora continua. Los recursos – que son muchos -, pueden ser agrupados en cuatro. Veamos:

• Capital: por supuesto se refiere al dinero o a la disponibilidad financiera para afrontar situaciones críticas imprevistas, que no para la adquisición de equipos o adecuación de infraestructura, que ya están contempladas en otros grupos.
• Instalaciones: hace referencia a los edificios y estructuras físicas acondicionadas para soportar los niveles de seguridad, acordes con los riesgos a los que está expuesta la información de la organización.
• Equipos: maquinaría y equipos, incluido el software, necesarios para almacenar, procesar, distribuir, tratar o modificar la información, en las condiciones de seguridad exigidas por el sistema.
• Personas: el recurso humano lo debemos considerar desde dos puntos de vista: el del número de personas necesarias, pero también el de las habilidades, experiencias y conocimientos que estas personas pueden aportar a la implementación, sostenibilidad y mejora del sistema.

Demostrar la provisión de recursos en ISO 27001 – Garantizar la provisión

La cláusula 5.3 de la norma, requiere que se designen las personas necesarias para el diseño, planificación y puesta en práctica del Sistema. Es claro que, a estas personas, también corresponde determinar la exigencia de recursos y la verificación de la provisión de ellos, por parte de la Alta Dirección.

Esta planificación de recursos está presente en muchas fases del ciclo del Sistema, para diferentes propósitos y en diversos momentos. Es necesario contar con la intervención de varias personas, para garantizar el seguimiento de todas las actividades que verifiquen la adecuada asignación de recursos. Podemos considerar tres estrategias para lograr el objetivo:

• Hacer que todos los planes individuales estén disponibles por parte de las personas responsables del seguimiento y la verificación de los recursos.
• Asegurarse de que toda la información relativa para demostrar la provisión de recursos en ISO 27001 esté agrupada en un plan general de recursos.
• Compilar la información sobre recursos, en grupos, según el tipo de recurso.

Mira cómo demostrar la #ProvisiónRecursos en #ISO27001 #SGSI
Click To Tweet

Cualquier estrategia que se decida utilizar, atenderá a factores como el tamaño de la organización, el número de recursos o la diversidad de planes de asignación que existan.

¿Qué podemos concluir? Dos cosas: que la norma ISO 27001 si hace una mención generosa de los recursos necesarios para la implementación del Sistema y su continuo mejoramiento. Sin embargo, en ninguna parte del estándar, se establece un procedimiento para verificar y demostrar la provisión de los recursos.

Es claro que se trata de una necesidad esencial. Pero hasta que no se determine lo contrario, asegurar los recursos es responsabilidad de la Alta Dirección y verificar y comprobar corresponde a los encargados del Sistema.

ISOTools Excellence

Con la plataforma tecnológica de ISOTools Excellence puede realizar una implementación automatizada la norma ISO 27001 sobre la seguridad de la información en su organización, encontrando información sobre la certificación de la norma que agiliza la puesta en marcha, y optimiza y gestiona el mantenimiento del Sistema de Gestión de la Seguridad de la Información.

La entrada Cómo demostrar la provisión de recursos en ISO 27001 se publicó primero en ISOTools Chile.

La seguridad de la información, al igual que la calidad o la salud ocupacional, es un tema que ha sido abordado por ISO. ISO 27001 es la norma y la referencia internacional para la gestión de seguridad de la información. Son varios los beneficios de ISO 27001 para cada industria, dependiendo de su perfil y su actividad.

Beneficios de implementar ISO 27001

La adopción de la norma ISO 27701 permite a las organizaciones establecer un modelo que les permite operar, monitorear, revisar y gestiona información, propia o de las partes interesadas, con seguridad.

Se trata de un sistema integral, resultado de un enfoque total sobre el tema de la seguridad de la información, que aborda múltiples problemas como el de las telecomunicaciones, la seguridad de las aplicaciones, la protección física de la información, los recursos humanos, la continuidad del negocios y licencias, entre otros.

ISO 27001 es independiente de los fabricantes, ya que tiene por objeto establecer procesos y procedimientos que pueden materializarse en la realidad de cada organización de manera diferente, teniendo en cuenta lo específico de cada entorno tecnológico y organizativo.

A nivel general, podemos considerar los siguientes beneficios para las organizaciones que la adopten:

• Demuestra el compromiso de la Organización con la seguridad de la información, lo cual se traduce en un aumento de la confianza de los clientes y una mejor percepción de la marca.
• Aumenta la fiabilidad y la seguridad de la información en términos de confidencialidad, disponibilidad e integridad.
• Garantiza la realización de inversiones más eficientes, orientadas hacia la disminución de riesgos, en lugar de inversiones apenas basadas en tendencias.
• Incrementa los niveles de sensibilidad, participación y motivación de los colaboradores de la organización con la seguridad de la información.
• Aumenta la confianza y satisfacción de los clientes y proveedores, lo que proporciona una mayor potencia para la realización de nuevos negocios.
• Identifica formas y oportunidades para mejorar la seguridad de la información.
• La implementación de controles, provenientes de los requisitos de la norma, permite analizar riesgos, y mejorar el desempeño operacional de las organizaciones.
• Proporciona a la organización un sistema de control de gestión que aumenta la eficacia de la organización.

Cada industria, puede obtener un aprovechamiento diferente de la norma. Veamos los casos más representativos:

Conoce los #Beneficios de #ISO27001 para cada #Industria
Click To Tweet

Beneficios de ISO 27001 para cada industria

Empresas de tecnología, proveedoras de servicios en la nube, desarrollares de software, entre otros

Para este tipo de organización, la confianza de los clientes es su mayor activo. Convencer a los clientes de que su información está a salvo y de que se protege de acuerdo con los más exigentes estándares de seguridad, es uno de los mayores beneficios de ISO 27001 para cada industria, que obtienen de implementar ISO 27001.

Proveedores de servicios (en línea y fuera de ella)

Disminuye las sanciones ocasionadas por la no disponibilidad del servicio. Implementar ISO 27001 aumenta la capacidad de la organización para responder a eventos traumáticos, disminuyendo la duración y la ocurrencia de ellos.

Instituciones financieras

ISO 27001 proporciona una metodología para gestionar la mayor parte de los riesgos operativos, que se presentan en instituciones financieras.

Organizaciones de salud

El riesgo principal en las organizaciones de salud, está relacionado con la protección de los registros de salud. ISO 27001 proporciona una metodología para la protección de todo tipo de información, pero especialmente aquella que es más sensible, como los datos personales de los pacientes y sus historias clínicas.

Organizaciones de alta tecnología

La protección de la propiedad intelectual, es para las organizaciones desarrolladoras de alta tecnología una de sus necesidades más apremiantes. ISO 27001 preserva la seguridad de información relativa a Know-How, desarrollo de nuevos productos, etc.

Empresas consultoras

Ofrece metodologías que ayudan a resolver los problemas de seguridad de los clientes, asegurando la confidencialidad de la información.

Los beneficios de ISO 27001 para cada industria son indiscutibles. Aunque su organización, no pertenezca a ninguno de los grupos que hemos referenciado el día de hoy, seguro encontrará productivo y redituable implementar este estándar.

ISOTools Excellence

Con ISOTools Excellence su organización puede implementar la norma ISO 27001 sobre la seguridad de la información sin problema, ya que, desde su plataforma tecnológica  puede encontrar información acerca de la certificación de manera automatizada que optimiza y agiliza el proceso de puesta en marcha y gestiona el mantenimiento del Sistema de Gestión de la Seguridad de la Información.

La entrada Los beneficios de ISO 27001 para cada industria se publicó primero en ISOTools Chile.

La seguridad de la información es un tema recurrente en todos los ámbitos empresariales. La creciente informatización de todos los datos de las organizaciones, obliga a la Alta Dirección a pensar en mantener la seguridad y la confidencialidad de la información que circula en su entorno y por ende en la aplicabilidad de la norma ISO 27001.

El tema es un poco más complejo cuando pensamos en la aplicabilidad de la norma ISO 27001 en la industria. Y lo es porque la seguridad física y la infraestructura tecnológica requieren que se garantice la invulnerabilidad de los sistemas, lo que involucra cuestiones tales como las políticas de acceso, auditorías, la criptografía, gestión de riesgos, seguridad de redes entre otros.

ISO 27001 define la forma en que la organización logra blindar su información contra varios tipos de amenazas, lo que permite la continuidad de las operaciones del negocio, minimizando pérdidas, aumentando el retorno de la inversión y multiplicando las oportunidades de negocio.

¿Cómo iniciar el proceso de aplicabilidad de la norma ISO 27001 en la industria?

Debemos tener claro que, ISO 27001 no es una norma para el uso exclusivo de organizaciones dedicadas a las tecnologías de la información. Por el contrario, ISO 27001 puede ser aplicada en cualquier tipo de organización, y por supuesto, también en la industria.

La norma reúne una serie de protocolos, que constituyen un marco de gestión para cualquier organización. Pero debemos tener en cuenta que, aunque cada día es mayor el número de información que se almacena por medios informáticos, garantizar la seguridad y la calidad de esta, resulta tan importante como velar por la información que se ha conservado en papel, o en formatos audiovisuales, e incluso la que solo vive en la experiencia de nuestros colaboradores.

Los primeros pasos

Conocer la norma podría ser el primer paso. Sin embargo, familiarizarse con el lenguaje común que se utiliza resulta aún más importante en la industria.

Una vez que todos los colaboradores de la organización, comprometidos con la seguridad de la información hablan el mismo idioma, es preciso obtener el apoyo de la Alta Dirección, lo cual resulta apenas obvio. Alguien puede pensar que esta iniciativa debe partir de la dirección. Generalmente, en organizaciones industriales no es así. Esta es una de las grandes diferencias entre la aplicabilidad de la norma ISO 27001 en la industria y en empresas de servicios o las llamadas TI.

Aplicabilidad de la norma #ISO27001 en la industria
Click To Tweet

Evaluar los riesgos y definir la metodología para la aplicabilidad de la norma ISO 27001 en la industria

Identificar y evaluar los riesgos resulta una labor dispendiosa en una organización dedicada a la industria. Y lo es, por cuanto los procesos son muchos y las variantes de cada uno forma una verdadera telaraña, que puede resultar, en ocasiones muy difícil de entender.

El objetivo de esta labor es identificar los procesos que encierren vulnerabilidades que comprometan la seguridad de la información, o las amenazas que tengan altas probabilidades de afectar la seguridad de la organización.

La declaración de aplicabilidad

Este es un término que se repite a menudo en la literatura acerca de ISO 27001. Una vez ha finalizado el proceso de evaluación e identificación de riesgos, lo procedente es diligenciar la declaración de aplicabilidad.

Este documento, que como ya lo hemos advertido, es mencionado de forma recurrente en cualquier texto que hable acerca de la norma, contiene 133 controles a establecer con el ánimo de garantizar la seguridad de la información en la organización.

Es probable que su industria no los requiera todos. Pero seguro si necesitará más que otro tipo de empresas. Es esta otra gran diferencia en cuanto a la aplicación de la norma en una organización de servicios y una que involucre procesos industriales.

Llegar a este punto implica que el camino de aplicación de la norma ha iniciado con éxito y que es irreversible. Implementar los programas pedagógicos de la norma, la capacitación y concienciación, así como el funcionamiento del SGSI, los procesos de auditoría y la aplicación de medidas preventivas y correctivas, forman parte del largo camino que aún falta por recorrer.

Le puede interesar conocer 12 Beneficios de Implantar un SGSI de acuerdo a ISO 27001.

ISOTools Excellence agiliza la implementación de ISO 27001

La plataforma tecnológica ISOTols Excellence permite a las organizaciones la implementación de ISO 27001 de forma automatizada agilizando y optimizando el proceso de puesta en marcha y de mantenimiento del Sistema de Gestión de Seguridad de la Información.

Contacte con uno de nuestros consultores si quiere conocer cómo esta herramienta tecnológica y nuestro equipo de expertos consultores puede ayudarle a implementar con éxito un SGSI basado en la norma ISO 27001.

La entrada Aplicabilidad de la norma ISO 27001 en la industria se publicó primero en ISOTools Chile.

La importancia de aplicar ISO 27001

Hoy día conocemos las normativas ISO y su gran aportación al ser implementados en instituciones y corporaciones. De hecho, este artículo muestra en concreto la importancia de aplicar ISO 27001, también conocida como ISO 27001:2013 debido a que es el último año que fue actualizado. Esta normativa vio la luz por primera vez en el año 2005.

La norma ISO 27001 ha sido revisada y mejorada con el paso del tiempo. Basta decir que la versión presentada en el año 2005 retoma el trabajo realizado por British Standards que data del año 1992 y que establece un código de prácticas y protocolos que tienen por objetivo el poder garantizar la seguridad en la gestión de información, en organizaciones de tipo gubernamental, privado, comercial o industrial.

Esta normativa es actualmente el fruto del esfuerzo de miles de profesionales que aportaron su conocimiento y experiencia para el establecimiento de un estándar confiable, estable y seguro.

Sin duda alguna, la ISO 27001 continuará evolucionando y su aplicación supone muchos beneficios para aquellas organizaciones que la implementan. No obstante, todavía es una realidad y un reto el tener que intentar convencer a la Alta Dirección acerca de la necesidad y la importancia de aplicar ISO 27001.

CEO Objetivo directo

Para la implementación de ISO 27001 en cualquier organización se requiere de un concurso de diversos profesionales a cargo de diferentes departamentos como sistemas, comunicaciones, logística o recursos humanos entre otros.

Sin embargo, ninguno de los mencionados será el que tome la decisión. El CEO se convierte en el blanco al que se deben enfocar nuestros esfuerzos, ya que representa el escalafón más alto de la organización. Esta persona tiene la capacidad de liderar el proyecto, unificando los esfuerzos de todos y cada uno de los empleados de la organización hacia una dirección: ver la importancia de aplicar ISO 27001 y cumplirla.

No se trata de una tarea sencilla conseguir una hora de atención por parte de este teórico CEO para poder exponer una presentación y esperar que sea lo suficientemente de su agrado como para que tome la decisión. A continuación se muestran algunas técnicas existentes que pueden resultar de gran ayuda para estos casos.

4 Técnicas cruciales para convencer a la Alta Dirección

1.- Aprovechar momentos informales

Conseguir hablar con un CEO el tiempo suficiente para poder exponerle una presentación no es fácil. No obstante, se pueden presentar diferentes oportunidades al día: en la cafetería, el ascensor o el aparcamiento son algunos ejemplos.

Obviamente no podemos ir andando con un ordenador y un proyector en cada mano para hacer una presentación en el momento en que se nos presente la oportunidad. Se recomienda el preparar un pequeño discurso y resumen sobre el tema que dure entre 30 y 60 segundos aproximadamente y que parezca una conversación casual entre compañeros de trabajo. De media, en una organización de tamaño medio se puede estar ante esta oportunidad dos o tres veces por semana, por lo cual resulta esencial tener preparado varios discursos de este tipo.

4 Tácticas cruciales para convencer a la Alta Dirección sobre la importancia de implementar #ISO27001
Click To Tweet

2.- Acceder a su círculo más cercano

En una organización existe un grupo de empleados que tiene contacto directo con el CEO durante las jornadas. Generalmente son personas en las que el CEO confía y escucha sus comentarios y aportaciones, siendo el perfil de estas personas jefes de diversos departamentos. Ser capaz de acceder y hablar con ellos es más sencillo y, por tanto, existen posibilidades de que nuestra idea llegue a oídos del CEO.

El exponer la importancia de aplicar ISO 27001 a estos jefes de departamento puede ser también un elemento positivo si ven los beneficios existentes de implementar dicha normativa, consiguiendo así un mayor apoyo por empleados de peso dentro de la organización.

3.- Ser breves y concisos

A pesar de lo comentado hasta ahora, no se debe desistir de la idea de realizar una presentación formal con otro enfoque. Marear al CEO con cifras y datos no es precisamente algo que ayude a convencerle de la importancia de aplicar ISO 27001.

Es recomendable realizar presentaciones con una regla clásica de 30-20-10 (Tamaño de fuente 30, 20 minutos de tiempo y 10 diapositivas). Por norma general, una presentación sobre ISO 27001 no debería de extenderse más allá de unos 20 minutos, contemplando 10 minutos de preguntas y respuestas.

4.- Utilizar las palabras adecuadas

Por último, es importante saber escoger las palabras adecuadas. Utilizar la correcta terminología es importante, especialmente cuando hablas con el CEO o jefes de departamentos, evitándose así malentendidos o confusiones.

Emplear palabras como «desastre», «siniestro» o «alarma» no deberían ser utilizadas por su carácter negativo y dramático. Intentar encontrar palabras de una naturaleza más positiva lleva a mejores resultados.

Formación en ISO 27001 y software

Si deseas poder ampliar tu formación y conocimiento en la normativa ISO 27001 gracias a nuestro ebook gratuito. Contiene información muy completa sobre la norma ISO 27001 y Sistemas de Gestión de Seguridad de la Información (SGSI) basados en la misma normativa, además de conocer diversos aspectos relacionados como su implementación, evaluación de riesgos o la automatización del sistema.

Además, la norma ISO 27001 es muy fácil de definir e implementar gracias al software de la Plataforma Tecnológica de ISOTools, ya que te permite la automatización e integración si se desea de tu SGSI y otros sistemas de gestión de normativos ISO.

La ISO27001 se transforma en una norma sencilla de definir e implementar gracias a la Plataforma Tecnológica de ISOTools, un software que permite automatizar todo el sistema y mantener el Sistema Gestión de la Seguridad en la Información,

La entrada 4 Técnicas cruciales para convencer a la Alta Dirección sobre la importancia de aplicar ISO 27001 se publicó primero en ISOTools Chile.

Procesos de mejora continua

A mediados del siglo XX, numerosas empresas en el mundo emprendieron la tarea de evaluar sus procesos internos y medir los efectos que tenían los productos en su entorno. Este tipo de medidas constituyeron lo que en la actualidad se conoce como procesos de mejora continua.

Como su nombre lo indica, un proceso de este tipo busca introducir mejoras en los productos y servicios derivados de la acción comercial.

Los procesos de mejora continua son una vía directa a la eficiencia y la sofisticación, tal como queda demostrado con aquellas empresas que han recibido las certificaciones de gestión más importantes: calidad (ISO 9001), medio ambiente (ISO 14001), salud y seguridad ocupacional (OHSAS 18001), o inocuidad alimentaria (ISO 22000).

Para que ello sea posible, deben intervenir al menos dos factores: a) la aplicación de una filosofía corporativa que estimule las mejoras; y b) la puesta en marcha de acciones correctivas y preventivas dentro de una compañía y de otras que midan factores como el impacto de los productos y la satisfacción de los clientes.

¿Qué debe tener un proceso de mejora continua?

Básicamente, una cosa: un clima laboral que promueva las mejoras continuas en cada uno de los niveles de la compañía. Algunas características de ese clima laboral son:

• Retroalimentación y revisión de los pasos de cada proceso.
• Responsabilidad y claridad.
• Poder de decisión en el grupo de trabajadores.
• Búsqueda de procesos originales y bien justificados.
• Gestión transparente.
• Capacidad de acuerdo y una comunicación eficaz.

Herramientas más empleadas para la mejora continua

Existen diversas herramientas básicas para la mejora continua  que facilitan el registro, control y seguimiento de los procesos y favorecen la toma de decisiones. Estas herramientas contribuyen en:

• La detección de incidencias en los procesos.
• La definición de los problemas detectados y su categorización.
• La determinación de los factores causantes de tales incidencias.
• La prevención de posibles errores.
• La medición de la mejora de los procesos.

Estos instrumentos, aplicados de manera eficiente, permitirán a su vez mejorar:

• La productividad.
• La calidad de los productos y servicios.
• La satisfacción del cliente.

1. Diagrama de causa-efecto:

Es una de las herramientas más empleadas en la gestión de calidad. Consiste en definir efectos concretos que pueden ser positivos (un objetivo) o negativos (un problema). La idea es que el grupo analice dicho efecto y trate de definir las causas potenciales que han podido originarlo. Esas causas no tienen por qué ser necesariamente reales; en un primer momento, son supuestos que los integrantes del equipo plantean y que, más adelante, sí que pueden abrir la puerta a investigaciones o estudios sobre el tema.

2. Diagrama de Pareto:

Esta herramienta plantea un seguimiento riguroso a los fallos o problemas que pueden surgir en el interior de las compañías. Por ejemplo, un cuadro de Pareto registra el número de veces que se repite un error de mensajería (paquetes perdidos, envíos con daños, retrasos, entre otros) en un período concreto de tiempo y elabora un gráfico con los datos obtenidos. Así, el responsable del área puede realizar un diagnóstico de las causas que están generando los incidentes e introducir medidas que aminoren el riesgo de que ocurran de nuevo.

3. Tormenta de ideas:

Plantea la interacción de un grupo de colaboradores y un facilitador. El objetivo es sugerir una serie de estrategias para dar solución a un problema. Delimitado el asunto, los participantes aportan activa y espontáneamente ideas, las cuales luego pasan a ser valoradas, fusionadas o suprimidas según sea el caso. En última instancia, el grupo tendrá numerosas vías de tratamiento del riesgo inicial y debatirá, por ejemplo, cómo aplicarla y cuál es la más adecuada. Si hay buen consenso entre el grupo, se elegirá una o dos y se pasará a la fase práctica.

4. Diagrama de flujo

También conocido por los nombres de Diagrama de actividades o flujograma, permite describir y analizar diversos procesos de manera gráfica, a través de la representación de los flujos de trabajo. Esta herramienta utiliza una simbología específica para detallar el alcance del proceso, su inicio y fin, las actividades que lo componen, la relación existente entre actividades o las decisiones tomadas. Además, suele complementarse con flechas que indican la dirección del flujo. Este diagrama favorece la comprensión de los procesos y la identificación de amenazas y oportunidades, al permitir observar, de un solo vistazo, el alcance de cada proceso, la secuencia temporal de cada uno uno de los pasos que lo componen y las decisiones tomadas.

Gestión por procesos

Otra herramienta que te ayudará en la gestión por procesos es la plataforma online de ISOTools, una solución tecnológica adaptada a tus necesidades, con la que podrás  automatizar la implantación y seguimiento de los modelos de gestión y excelencia

La entrada Herramientas para la mejora continua se publicó primero en ISOTools Chile.

Gestión de riesgos Corporativos

Una de las tareas clave en la dirección de empresas es la gestión de riesgos. Este término se refiere a todas aquellas acciones que buscan proteger y crear valor dentro de una compañía para alcanzar los objetivos propuestos y mejorar su competitividad.

Por «riesgo empresarial» entendemos todos los elementos que pueden generar incertidumbre o inestabilidad al interior de una empresa. Sin embargo, el riesgo no siempre tiene que suponer una amenaza, también puede generar oportunidades que la empresa debe ser capaz de identificar y aprovechar.

Generalmente se habla de riesgos económicos o financieros, pero este término también puede aplicarse a labores como inversiones, medios de financiación, operaciones de arbitraje, políticas empresariales, modelos de contratación, entre otros.

Una de las herramientas que las empresas tienen a su disposición para establecer un sistema de gestión de riesgos eficaz dentro de sus organizaciones, es la norma ISO 31000, establecida por la Organización Internacional de Normalización (ISO).

Se trata de una norma internacional que establece principios y estrategias sobre la gestión del riesgo en cualquier campo comercial y que puede ser aplicada por las organizaciones más allá de su tamaño, naturaleza o actividad.

¿Cuáles son las ventajas de incorporar una política de gestión de riesgos? ¿Cómo se beneficia la empresa que la aplica? ¿Dónde y cómo se ven los aportes?

Proceso de gestión de riesgos. ¿En qué consiste?

La norma ISO 31000 señala, en su texto introductorio, que todas las actividades comerciales de una empresa generan riesgos. Esto, antes que ser un aspecto negativo, sienta las bases para una política corporativa orientada a la valoración de los procesos. Es decir, incorpora el riesgo como parte fundamental de la labor comercial. De acuerdo a esto, toda empresa debe tener en cuenta tres aspectos a la hora de consolidar un plan de gestión de riesgos:

• El contexto. Es decir, el entorno que rodea la actividad comercial de la empresa, tanto a nivel interno como externo. El objetivo es determinar qué estrategias de mercado son más adecuadas en cada caso.
• Valoración de riesgos. Que es, en pocas palabras, la definición de los elementos que lo generan, así como sus causas y efectos.
• Tratamiento. Una vez establecidos esos riesgos y analizados sus efectos, la empresa debe dar otro paso y plantear estrategias para aminorarlos o, en el mejor de los casos, suprimirlos.

Este proceso de gestión de riesgo se completa con otros dos procesos, como son:

• Comunicación y consulta, considerado como el punto de partida para establecer las estrategias de riesgo que se llevarán a cabo. Este intercambio de información debe ser constante y estar presente en todas las etapas del proceso, para analizar la situación en cada momento y tomar las decisiones de actuación. Sólo así se podrá garantizar una eficiente gestión del riesgo.
• Monitoreo y revisión, parte esencial para la gestión del riesgo. Sólo a través de un seguimiento continuo y control exhaustivo es posible identificar a tiempo las posibles amenazas y oportunidades que se generan y desarrollar medidas que permitan la mejora de las herramientas, métodos y procesos que se llevan a cabo. Este seguimiento debe ser continuo, presente en todas las etapas, y  abarcar todos los procesos de gestión del riesgo, para que realmente sea efectivo.

Importancia de la gestión de riesgos

El establecimiento de  un Sistema de Gestión de Riesgos en la empresa, supone una serie de ventajas adicionales para la empresa

• Favorece la identificación de amenazas, obstáculos y oportunidades.
• Aumenta las posibilidades de alcanzar los objetivos. Los procesos que tengan más seguimiento y control tienden a ser más exitosos.
• Impulsa la proactividad. Incorporada la labor de gestión de riesgos, los jefes de departamento y los empleados en general asumen una actitud más dinámica para la consecución de objetivos.
• Mejora las labores de administración de una empresa.
• La empresa mejora su eficacia en la asignación de recursos para la gestión del riesgo. Es decir, ya no es un gasto que se efectúa de manera improvisada. Lo más común es que se destine una pequeña parte del presupuesto.
• Mejora la adaptación de la empresa al entorno social y económico al que pertenece. Identificar los riesgos permite acercarse al contexto.
• Potencia la confianza de los grupos de interés.
• Facilita la toma de decisiones.
• Fomenta la capacidad de transformación de la empresa.

 Software ISOTools

Automatizar la Gestión de los Riesgos Corporativos con la plataforma ISOTools te facilitará la gestión global de los riesgos, mejorar la identificación de oportunidades y amenazas y minimizar las pérdidas, entre otras ventajas.

La entrada ¿Por qué es importante la gestión de riesgos para tu empresa? se publicó primero en ISOTools Chile.