Hoy, el tema de la seguridad de la información (en adelante, IS) de las empresas es uno de los más relevantes del mundo. Y esto no es sorprendente, porque en muchos países hay un endurecimiento de los requisitos para las organizaciones que almacenan y procesan datos personales. Actualmente, la legislación rusa requiere el mantenimiento de una parte significativa del papeleo. Al mismo tiempo, la tendencia de digitalización es notable: muchas compañías ya almacenan una gran cantidad de información confidencial tanto en formato digital como en forma de documentos en papel.
Según una
encuesta realizada por el Centro de Análisis Anti-Malware, el 86% de los encuestados dijeron que tenían que resolver incidentes después de ataques cibernéticos o como resultado de que los usuarios violaran las reglas establecidas al menos una vez al año. En este sentido, la atención prioritaria en las empresas a la seguridad de la información se ha convertido en una necesidad.
En la actualidad, la seguridad de la información corporativa no es solo un complejo de medios técnicos, como antivirus o cortafuegos, sino que ya es un enfoque integrado para la gestión de los activos de la empresa en general y la información en particular. Las empresas tienen diferentes enfoques para resolver estos problemas. Hoy nos gustaría hablar sobre la implementación de la norma internacional ISO 27001 como una solución a este problema. Para las empresas en el mercado ruso, la presencia de dicho certificado simplifica la interacción con clientes y socios extranjeros que tienen altos requisitos en este asunto. ISO 27001 se usa ampliamente en Occidente y cubre los requisitos en el campo de la seguridad de la información, que deben estar cubiertos por las soluciones técnicas utilizadas, así como ayudar a construir procesos comerciales. Por lo tanto, este estándar puede convertirse en su ventaja competitiva y en un punto de contacto con empresas extranjeras.
Esta certificación del Sistema de Gestión de Seguridad de la Información (en adelante, ISMS) ha reunido las mejores prácticas de diseño de ISMS y, lo que es más importante, ha brindado la posibilidad de elegir herramientas de gestión para garantizar el funcionamiento del sistema, los requisitos de seguridad tecnológica e incluso el proceso de gestión de personal en la empresa. Después de todo, debe comprender que las fallas técnicas son solo una parte del problema. En materia de seguridad de la información, el factor humano juega un papel muy importante, que es mucho más difícil de eliminar o minimizar.
Si su empresa va a obtener la certificación según ISO 27001, es posible que ya haya intentado encontrar una manera fácil de hacerlo. Tendremos que decepcionarte: no hay formas fáciles. Sin embargo, hay ciertos pasos que ayudarán a preparar a la organización para los requisitos internacionales de seguridad de la información:
1. Obtenga soporte administrativoPuede considerar esto obvio, pero en la práctica este punto a menudo se pasa por alto. Además, esta es una de las principales razones por las cuales los proyectos que implementan ISO 27001 a menudo fallan. Sin comprender la importancia del proyecto de implementación estándar, la administración no proporcionará recursos humanos suficientes o un presupuesto suficiente para la certificación.
2. Desarrollar un plan de preparación de certificación.La preparación para la certificación de acuerdo con ISO 27001 es una tarea compleja que incluye varios tipos de trabajo, requiere la participación de una gran cantidad de personas y puede durar muchos meses (o incluso años). Por lo tanto, es muy importante elaborar un plan de proyecto detallado: asignar recursos, tiempo y personas a tareas estrictamente definidas y supervisar el cumplimiento de los plazos; de lo contrario, es posible que nunca termine el trabajo.
3. Definir el perímetro de certificación.Si tiene una organización grande con actividades diversificadas, probablemente tenga sentido certificar de acuerdo con ISO 27001 solo una parte del negocio de la compañía, lo que reducirá significativamente los riesgos de su proyecto, así como su tiempo y costo.
4. Desarrollar una política de seguridad de la información.Uno de los documentos más importantes es la Política de seguridad de la información de la compañía. Debe reflejar los objetivos de su empresa en el campo de la seguridad de la información y los principios básicos de la gestión de la seguridad de la información, que deben ser observados por todos los empleados. El propósito de este documento es determinar lo que la gerencia de la compañía quiere lograr en el campo de la seguridad de la información, así como también cómo se implementará y controlará.
5. Definir una metodología de evaluación de riesgos.Una de las tareas más difíciles es determinar las reglas para evaluar y gestionar los riesgos. Es importante comprender qué riesgos la empresa puede considerar aceptables para sí misma y cuáles requieren una acción inmediata para reducirlos. Sin estas reglas, el SGSI no funcionará.
Al mismo tiempo, vale la pena recordar la idoneidad de las medidas adoptadas para reducir los riesgos. Pero no se deje llevar por el proceso de optimización, ya que implican, entre otras cosas, un gran tiempo o costos financieros o simplemente pueden ser inviables. Recomendamos que utilice el principio de "suficiencia mínima" al desarrollar medidas de reducción de riesgos.
6. Gestionar el riesgo de acuerdo con una metodología aprobadaLa siguiente etapa es la aplicación coherente de la metodología de gestión de riesgos, es decir, su evaluación y procesamiento. Este proceso debe llevarse a cabo regularmente con gran cuidado. Al mantener actualizado el registro de riesgos de IS, puede distribuir eficientemente los recursos de la empresa y evitar incidentes graves.
7. Plan de tratamiento de riesgosLos riesgos que exceden el nivel aceptable para su empresa deben incluirse en el plan de tratamiento de riesgos. Debe contener acciones destinadas a reducir los riesgos, así como a los responsables de los mismos y los términos.
8. Complete el Reglamento sobre AplicabilidadEste es un documento clave que será estudiado por especialistas del organismo de certificación durante la auditoría. Debe describir qué mecanismos de control en el campo de la seguridad de la información son aplicables a las actividades de su empresa.
9. Determine cómo se medirá la efectividad de los controles IS.Cualquier acción debe tener un resultado que conduzca al logro de los objetivos establecidos. Por lo tanto, es importante determinar claramente con qué parámetros se medirá el logro de los objetivos tanto para todo el sistema de gestión de SI como para cada mecanismo de control seleccionado del Apéndice de Aplicabilidad.
10. Implementar herramientas de gestión de SIY solo después de la implementación de todos los pasos anteriores, es necesario comenzar la implementación de las herramientas de administración de SI aplicables desde el Apéndice de Aplicabilidad. La mayor dificultad aquí, por supuesto, será la introducción de un curso de acción completamente nuevo en muchos procesos de su organización. La gente generalmente se resiste a las nuevas políticas y procedimientos, así que preste atención al siguiente párrafo.
11. Introducir programas de entrenamiento para empleadosTodos los puntos descritos anteriormente no tendrán sentido si sus empleados no comprenden la importancia del proyecto y no actúan de acuerdo con las políticas de IS. Si desea que su personal cumpla con todas las nuevas reglas, primero debe explicar a las personas por qué son necesarias y luego llevar a cabo la capacitación del SGSI, destacando todas las políticas importantes que los empleados deben considerar en su trabajo diario. La falta de capacitación del personal es una causa común de falla del proyecto de acuerdo con ISO 27001.
12. Apoyar los procesos del SGSIEn este punto, ISO 27001 se convierte en su rutina diaria. Para confirmar la implementación de las herramientas de administración de SI de acuerdo con el estándar, los auditores deberán proporcionar registros, evidencia del trabajo real de los mecanismos de control. Pero, ante todo, los registros deberían ayudarlo a realizar un seguimiento de si sus empleados (y proveedores) realizan sus tareas de acuerdo con las normas aprobadas.
13. Monitoree el SGSI¿Qué le sucede a su SGSI? ¿Cuántos incidentes tiene, qué tipo de incidentes son? ¿Se realizan todos los procedimientos correctamente? Con estas preguntas, debe verificar si la empresa está logrando sus objetivos de seguridad de la información. Si no, debe desarrollar un plan de recuperación.
14. Realizar una auditoría interna del SGSIEl propósito de la auditoría interna es identificar inconsistencias entre los procesos reales de la empresa y las políticas de SI aprobadas. En su mayor parte, esta es una prueba de cómo sus empleados cumplen con las reglas. Este es un punto muy importante, porque si no controla el trabajo de su personal, la organización puede sufrir daños (intencionales o no). Pero la tarea aquí no es encontrar a los autores e imponerles sanciones disciplinarias por incumplimiento de las políticas, sino corregir la situación y prevenir futuros problemas.
15. Organizar revisiones de gestiónLa administración no debe configurar su firewall, pero debe saber lo que está sucediendo en el SGSI: por ejemplo, si cumplen con todas sus responsabilidades y si el SGSI logra los resultados deseados. En base a esto, la gerencia debe tomar decisiones clave para mejorar el SGSI y los procesos comerciales internos.
16. Introducir un sistema de acciones correctivas y preventivas.Como cualquier norma ISO 27001 requiere "mejora continua": corrección sistemática y prevención de inconsistencias en el sistema de gestión de seguridad de la información. Con la ayuda de acciones correctivas y preventivas, es posible corregir la discrepancia y evitar su reaparición en el futuro.
En conclusión, quiero decir que, de hecho, la certificación es mucho más difícil de lo que se describe en varias fuentes. La confirmación es el hecho de que hoy en Rusia solo
78 empresas han aprobado la certificación de cumplimiento. Al mismo tiempo, en el extranjero es uno de los estándares más populares que satisfacen las crecientes demandas de la empresa en el campo de la seguridad de la información. Tal demanda de implementación se debe no solo al crecimiento y la complicación de los tipos de amenazas, sino también a los requisitos de la ley, así como a los clientes que necesitan mantener la confidencialidad completa de sus datos.
A pesar de que la certificación de ISMS no es una tarea fácil, el hecho de cumplir con los requisitos de la norma internacional ISO / IEC 27001 puede brindar una seria ventaja competitiva en el mercado global. Esperamos que nuestro artículo haya dado una comprensión inicial de los pasos clave para preparar una empresa para la certificación.