En la era de la digitalización, es la información valiosa la que debe preservarse o protegerse por encima de todo. Para las empresas, esto significa que, además de la protección de datos, la seguridad de la información es una necesidad absoluta. La buena noticia es que las empresas que disponen de un sistema de gestión de la calidad certificado según la norma ISO 9001 ya han creado una buena base para la introducción, paso a paso, de una seguridad de la información totalmente completa.
CONTENIDO
- Paso a paso hacia una mayor seguridad de la información
- Seguridad de la información y gestión de la calidad
- Seguridad de la información: riesgos y oportunidades
- Identificación y tratamiento de los riesgos
- El anexo A de la norma ISO 27001 proporciona orientación
- SGSI y SGC - cuál es el mejor enfoque
- Cuáles son los beneficios
- DQS: Aprovechando simplemente la calidad
El tema de la seguridad de la información no es nuevo. Los peligros que amenazan el amplio panorama de la información en las organizaciones son conocidos desde hace tiempo. Según la "Encuesta de Ciberseguridad" de BSI de abril de 2019, el 43% de las grandes empresas declararon haberse visto afectadas por incidentes de ciberseguridad en 2018.
Para las pequeñas y medianas empresas, la cifra fue del 26%. Y según el "Informe de la situación de la seguridad informática en Alemania 2021" de la Oficina Federal de Seguridad de la Información (BSI), los casos de ciberdelincuencia han vuelto a aumentar significativamente. En el período del informe, del 1 de junio de 2020 al 31 de mayo de 2021, no solo se produjo un aumento de un buen 22 por ciento en las nuevas variantes de malware (alrededor de 144 millones), sino que la calidad de los ataques también siguió aumentando considerablemente. En el proceso, muchos perpetradores explotaron la angustia de Corona de muchas empresas y personas.
Sin embargo, se sigue descuidando la seguridad de la información confidencial de las empresas. A menudo hay una falta de precaución y previsión a la hora de procesar y almacenar la información. La concienciación sobre las consecuencias del robo de datos y similares tampoco está suficientemente desarrollada en todas partes. En algunos lugares, las empresas también son reacias a invertir el tiempo y el esfuerzo necesarios para proteger eficazmente su información sensible.
Paso a paso hacia una mayor seguridad de la información
Pero el esfuerzo requerido para la seguridad de los datos no tiene por qué ser tan grande. La buena noticia es que muchas empresas no tienen que implantar un sistema completo de gestión de la seguridad de la información de un solo golpe. En cambio, en el caso de las infraestructuras críticas (CRITIS), así lo exige la Ley de Seguridad Informática alemana.
También es concebible un enfoque gradual. Esto significa que el primer paso, al menos en las empresas que tienen un sistema de gestión de calidad (QM) de acuerdo con la norma ISO 9001, puede ser una actualización del enfoque basado en el riesgo requerido - pero ya con vistas a los requisitos correspondientes de la importante norma de seguridad de la información ISO 27001.
Seguridad de la información y gestión de la calidad
ISO 27001 vs. ISO 9001: ¿Dónde están las conexiones? En primer lugar, hay que señalar que la norma de gestión de la calidad ISO 9001 exige un enfoque basado en el riesgo en todos los ámbitos. Sin embargo, la aplicación de este requisito del sistema de gestión depende en gran medida de su organización. Por ejemplo, la gestión de la calidad no requiere un proceso separado para la evaluación de riesgos, pero esto es indudablemente demasiado poco con respecto a la seguridad de la información. No obstante:
La evaluación de riesgos para la gestión de la calidad puede ampliarse fácilmente para incluir la seguridad de la información.
Para ello, resulta útil examinar los requisitos de identificación y tratamiento de los riesgos de seguridad de la norma ISO 27001 para un sistema de gestión de la seguridad de la información (SGSI). La mayoría de los aspectos pueden ser implementados por los usuarios de un sistema de gestión de la calidad con un esfuerzo razonable - como un primer paso en el camino hacia la seguridad de la información holística, eso sí.
Seguridad de la información: riesgos y oportunidades
Ambas normas internacionales, la ISO 27001 para la seguridad de la información y la ISO 9001 para la gestión de la calidad, tratan los temas pertinentes en el capítulo 6.1 "Medidas para hacer frente a los riesgos y oportunidades". En esencia, se trata de garantizar tres aspectos esenciales en el sistema de gestión:
- Lograr los resultados previstos de la organización
- Prevenir o reducir los efectos no deseados
- Lograr la mejora continua mediante el cumplimiento de determinadas normas
Con respecto a la seguridad de la información, estos son principalmente los tres objetivos esenciales de protección:
- Pérdida de la confidencialidad
- Integridad de la información
- Disponibilidad de la información
La norma ISO 27001 de SGSI especifica los siguientes requisitos (sección 6.1.1)
- Determinar los riesgos y las oportunidades
- Planificar las medidas para hacer frente a los riesgos y oportunidades identificados
- Planificar cómo se integrarán las medidas en los procesos de la empresa y cómo se implementarán
Identificar y tratar los riesgos
El siguiente subcapítulo (6.1.2) de la norma ISO 27001 requiere el establecimiento y la aplicación de un proceso de evaluación de riesgos para la seguridad de la información. Este proceso debe establecer y mantener los criterios de riesgo para la seguridad de la información. Esto incluye, en particular, los criterios de aceptación de riesgos y la realización de evaluaciones de riesgos de seguridad de la información.
Breve Introducción a ISO 27001- Sistema de Gestión de Seguridad de la Información
Contar con un sistema de gestión de seguridad de la información de acuerdo a ISO 27001, le brinda las pautas, reglas y métodos para garantizar la seguridad de la información sensible. Además, proporciona un modelo para la introducción, implementación, monitoreo y mejora del nivel protección.
Además, el proceso debe garantizar que "las evaluaciones repetidas de los riesgos para la seguridad de la información produzcan resultados coherentes, válidos y comparables", como establece la norma del SGSI. Los siguientes subpuntos podrían ser significativos teniendo en cuenta un primer paso:
- Identificar los riesgos para la seguridad de la información
- Analizar los riesgos para la seguridad de la información
- Evaluar los riesgos para la seguridad de la información
Los requisitos del punto 6.1.3 exigen que se establezca y aplique un proceso para abordar el riesgo de seguridad de la información con el fin de lograr lo siguiente:
- Seleccionar las opciones adecuadas para abordar el riesgo de seguridad, con respecto a los resultados de la evaluación de riesgos
- Determinar todas las medidas necesarias para aplicar las opciones seleccionadas para hacer frente al riesgo de seguridad
- Comparar las medidas definidas con los controles especificados en el Anexo A de la norma ISO 27001 (acciones objetivo)
- Preparar una declaración de aplicabilidad con respecto a las razones para (no) incluir los controles del Anexo A
- Formular un plan para el tratamiento de los riesgos de seguridad
- Obtener la aprobación y aceptación de este plan por parte de los propietarios de los riesgos
Certificación en ISO 27001
¿Qué esfuerzo debe esperar para que su sistema de gestión de la seguridad de la información se certifique según la norma ISO 27001? Descúbralo.
El anexo A de la norma ISO 27001 ofrece orientación
El Anexo A de la conocida norma de sistemas de gestión ISO/IEC 27001 tiene un carácter normativo explícito. Puede entenderse como una especie de lista de comprobación que contiene objetivos (controles) y medidas. Puede utilizar esta guía para asegurarse de que no se ha pasado por alto ningún punto esencial para hacer frente a los riesgos de seguridad. Sin embargo, no pretende ser exhaustiva.
Seguridad de la información y gestión de la calidad: ¿cuál es el mejor enfoque?
La norma ISO 27001 exige dos procesos distintos para evaluar y tratar los riesgos de seguridad de la información. Sin embargo, para el primer paso, éstos podrían combinarse en un proceso que amplíe específicamente la evaluación de riesgos de la gestión de la calidad a lo largo de los requisitos mencionados para incluir el aspecto de la seguridad de la información. De este modo, las dos normas constituyen una buena base para aplicar medidas de protección de los datos y de la seguridad informática.
ISO/IEC 27001: 2013 - Tecnología de la información - Técnicas de seguridad - Sistemas de gestión de la seguridad de la información - Requisitos.
ISO 9001: 2015 - Sistemas de gestión de la calidad - Requisitos.
Ambas normas están disponibles en el sitio web de ISO.
ISO 27001 vs. ISO 9001: La profundidad con la que el proceso mencionado aborda finalmente cada requisito depende directamente de la complejidad del panorama de la información de su organización y de los datos que requieren protección. En cualquier caso, es aconsejable que se verifique su eficacia en una auditoría externa. Esto es aconsejable, por ejemplo, en el curso de una auditoría de certificación de su sistema de gestión de la calidad de acuerdo con la norma ISO 9001, que está prevista de todos modos.
La seguridad de la información se une a la gestión de la calidad: ¿cuáles son las ventajas?
- Un proceso que analice a fondo los riesgos de la seguridad de la información puede ser un primer e importante paso hacia un sistema de gestión integral de la seguridad de la información conforme a la norma ISO/IEC 27001.
- Mediante la aplicación de este proceso, la alta dirección refuerza la conciencia de la seguridad de la información y de los datos (protección de datos) a todos los niveles.
- Con la consideración específica de los riesgos para la seguridad de la información, una empresa tiene la oportunidad de descubrir la necesidad de actuar y de tomar las medidas adecuadas (orientadas a la norma ISO 27001, Apéndice A).
- La evaluación de riesgos ampliada para incluir la seguridad de la información, por ejemplo como parte de la gestión de la calidad, refuerza el enfoque global de una empresa basado en los riesgos.
- Tanto los recursos financieros como los humanos necesarios para la aplicación y las pruebas de eficacia son manejables.
DQS: Aprovechar simplemente la calidad
En el acto de equilibrio entre la dinámica y la estabilidad, los sistemas de gestión certificados son cada vez más importantes, una evolución que DQS considera positiva. Porque las empresas y organizaciones de éxito utilizan las conclusiones de nuestras auditorías para mejorar continuamente sus resultados. Y utilizan nuestros certificados mundialmente reconocidos como prueba objetiva de su capacidad de calidad. Esto genera confianza, tanto a nivel interno como externo a su organización.
DQS emitió el primer certificado de gestión de calidad de Alemania en 1986. La primera auditoría, realizada en agosto de 1986, se basó en un borrador de la norma. En 1991, DQS recibió su primera acreditación para la norma ISO 9001/2/3 por la entonces TGA Trägergemeinschaft für Akkreditierung GmbH (hoy: DAkkS). La acreditación para la certificación de la seguridad de la información según la norma británica BS 7799-2 le siguió en el año 2000.
Más de tres décadas de conocimientos técnicos
Nuestros textos y folletos están redactados exclusivamente por nuestros expertos en normas o auditores con muchos años de experiencia. Si tiene alguna pregunta al autor sobre los contenidos o nuestros servicios, no dude en ponerse en contacto con nosotros.
Boletín DQS
Gert Krueger
Experto y director de proyectos de seguridad de la información, BSI-KritisV y protección de datos en DQS. Además, es auditor desde hace tiempo de la gestión de la calidad y el medio ambiente.