El estándar internacional ISO 27000 o también conocido como la serie de estándares enfocados en la seguridad de la información, es conocido por fortalecer a empresas de todo tipo, ya sea empresas comerciales, entidades de gobierno y organizaciones sin fines de lucro. Y en nuestro ámbito de servicios, audit ha fortalecido a muchas empresas para definir la cultura adecuada para le cumplimiento con esta norma, pero ¿Qué comprende esta serie de estándares? veamos

Los números

La ISO 27001 contiene las especificaciones para un Sistema de Gestión de Seguridad de la Información, la ISO 27002 describe controles potenciales y mecanismos de control para reducir los riesgos de seguridad de la información, mientras que la ISO 27004 cubre las mediciones y métricas del sistema de gestión de seguridad de la información, y la ISO 27005 establece una metodología independiente para la gestión de riesgos de seguridad de la información. Al menos, los ahora mencionados, son los más conocidos y aplicados en las empresas. Pero hay más, la ISO 27006 brinda una guía para acreditar a empresas que ofrezcan certificaciones de Sistemas de Gestión de Seguridad de la Información, y la ISO 27003 es un estándar que brinda una guía para la implementación de un Sistema de Gestión de Seguridad de la Información.

El alcance de la nube

Si las empresas cuentan con un modelo de Cloud mencionado en nuestro artículo anterior, estas deben establecer cuales de estos recursos en la nube participan en el alcance seleccionado a gestionar. Ojo, esto dependerá de las necesidades de la alta dirección, segregadas en toma de decisiones de la gerencia de TI y además de los recursos con los que cuenta la empresa, ya que no necesariamente todo debe estar gestionado en el sistema de gestión de seguridad de la información. Para ello básese en un proceso, un área, o un flujo de información crítica del negocio, e identifique qué recursos de la nube participan en ello.

Identifique

Identificar es un proceso que está apoyado de las perspectivas internas y externas (consultores), y que logren identificar potenciales pérdidas para la empresa, internamente tiene los pasos importantes como la identificación de activos (que está basado en el alcance, mencionado en el párrafo anterior), identificación de amenazas e identificación de consecuencias. Esto es la base para la estimación de riesgo, el cual brinda un puntaje al riesgo en base a su probabilidad e impacto, esta estimación suele mostrarse en términos cualitativos o cuantitativos. El resultado es tener claro que controles de la ISO 27002 serán necesarios aplicar para reducir la estimación de los riesgos.

Consejo audit

No trate de implementar la norma ISO 27001 a toda su empresa, demandará mucho tiempo invertido innecesario, que hasta puede ser una observación mayor en una postulación de certificación internacional. Preocúpese por general valor a corto, mediano y largo plazo, no sólo a largo plazo. En audit lo apoyamos para la implementación de su Sistema de Gestión de Seguridad de la Información basado en ISO 27001.