La seguridad de la información requisito indispensable
>> lunes, 22 de febrero de 2016
Buenas prácticas en Seguridad de la Información con la ISO 27001
http://www.dokumentalistas.com/ 22/02/2016
La seguridad de la información está siendo un requisito cada vez más importante en el entorno profesional. La legislación europea está siendo implacable con las organizaciones y los profesionales que desprotegen la información sensible, debido a las malas prácticas.
Los proyectos de informatización de los entornos empresariales, junto a la infraestructura TI, también deben incluir un sistema que permita conservar y mantener los datos y los documentos que los contienen durante, al menos, su período de vigencia legal. En la práctica se aplicará las mismas medidas de seguridad independientemente de la índole de los datos de los documentos, pudiéndose considerar la protección de datos un subconjunto dentro de la estrategia de seguridad de la información.
El cumplimiento con las disposiciones legales por parte de los sistemas de información, los procesos empresariales y los proyectos de consultoría, suele ser suficiente para un país determinado. Ya hemos visto que el Reglamento de la LOPD en España hace una definición precisa de los niveles de seguridad y resulta bastante concreto en cuanto a las medidas de seguridad para ficheros físicos y electrónicos. No obstante, aunque estas medidas coincidan con las necesidades de seguridad del entorno corporativo, se trata de una disposición legal y, como tal, no ha sido escrita con un enfoque de mejora de la gestión, sino para asegurar que se cumple la legalidad vigente. En última instancia, son los intereses de las personas físicas cuyos datos aparecen en esos documentos, y no los intereses empresariales, su principal propósito.
Por ello, las empresas necesitan valerse de una solución sistemática con la que puedan asegurar su información con un enfoque basado en la gestión, que al mismo tiempo cumpla con las exigencias jurídicas. El cumplimiento con las leyes relativas a seguridad es un paso importante, pero no garantiza la cobertura internacional de los proyectos y la importación / exportación de las soluciones de consultoría. En cambio, la norma ISO 27001 estandariza de forma universal los criterios jurídicos y permite evitar las amenazas mediante un enfoque basado en la gestión de riesgos. En la mayoría de los casos evitará tener que realizar adaptaciones a las exigencias legales en cada nuevo mercado en los que los productos, servicios y procesos se comercialicen o se pongan en práctica. No obstante, en aquellos casos en los que los sistemas de información y los procesos cumplan con las exigencias legales de la normativa de protección de datos, partirán de una posición más ventajosa respecto a aquellos casos en los que se parta desde cero.
La norma se centra en garantizar la confidencialidad, la integridad, la disponibilidad y la autenticidad de la información para intentar evitar que cualquier incidencia de tipo físico o lógico pueda comprometer los niveles de competitividad, de rentabilidad, de conformidad legal y de imagen empresarial, necesarios para lograr los objetivos de la organización y asegurar la continuidad del negocio. Realiza una evaluación de riesgos inicial con la que define los aspectos que necesitan mejorarse y plantea medidas para evitar catástrofes irreversibles (como incendios, inundaciones, etc.), el robo de los documentos y la pérdida negligente de información. Otorga una capa de seguridad a los entornos de gestión documental con las siguientes medidas de control:
Identificación de los cambios y revisiones de los documentos.
Acceso legible a las últimas versiones de los documentos.
Identificación correcta de los documentos internos y externos.
Disponibilidad de los documentos para aquellos que los precisen en su ejercicio laboral.
Control de la distribución de los documentos.
Prevenir el uso indebido de documentos obsoletos en procesos de negocio actuales y asegurar la disponibilidad de su consulta en cualquier caso.
Constituye un modelo flexible que se adapta a cualquier tipo y tamaño de organización y permite obtener el reconocimiento adicional por parte de una entidad de certificación independiente, lo cual demuestra públicamente el compromiso de la organización con la protección de la seguridad y es una garantía que otorga confianza al cliente, respecto a otras empresas que no la tengan en cuenta.
En algunos casos, la ISO 27001 cumple el papel de formalizar por escrito las pautas adecuadas para que la organización pueda utilizar de forma segura los elementos de hardware y software que integran su sistema de información. Al ser un sistema de gestión, en la línea de la ISO 9001 relativa la calidad, permite la elaboración de políticas, procedimientos y manuales técnicos en relación con los aspectos de la gestión por procesos, los recursos humanos, la protección jurídica, la protección física y la gestión de la continuidad del negocio, relacionados con la seguridad de la información.
Conviene que la implantación la lleven a cabo especialistas, que utilizarán metodología de gestión de proyectos y llevarán a cabo un complejo trabajo documental para la realización de auditorías, definición de políticas de actuación, realización de evaluaciones e implementación de procedimientos. Su contratación suele ser externa al no contar las organizaciones con background especializado entre su personal interno, sobre todo en los casos en los que las empresas no se dedican al ámbito tecnológico, y al generar un gran volumen de información, difícil de abarcar sin la tecnología y los conocimientos adecuados. La externalización del servicio se vuelve la alternativa más apropiada:Por la experiencia del personal contratado.Por las instalaciones especialmente ideadas para la seguridad que posee la empresa.
Para que un tercero se encargue de garantizar la tediosa tarea del cumplimiento legal a lo largo del tiempo.
Por disponer de hardware y software específico, necesario para este tipo de gestión de información.
Por aportar valor al cliente, abaratando sus costes y ahorrando su tiempo de gestión.
En cualquier caso, tendrá que contarse con el apoyo de la dirección de la empresa y del conjunto de los empleados, para que el tratamiento, conservación y destrucción de la información empresarial se realice de forma sistemática y transparente a lo largo de su ciclo de vida. El personal involucrado debe ser capaz de trabajar con continuidad en el proyecto.
Conviene apoyarse en estándares, métodos y guías ya establecidos, así como comparar el sistema actual de Gestión de la Seguridad de la Información con los requisitos de la norma ISO/IEC 27001. Se ha de pedir opinión a los clientes y proveedores actuales sobre él mismo y comparar nuestra experiencia con las de otras organizaciones. También servirá la consideración de la estructura de trabajo de otros sistemas de gestión implantados en la empresa, con los cuales tendrá puntos de contacto, como el de calidad o el de gestión de documentos. Habrá que revisarlo con regularidad para detectar fallos e implementar mejoras y actualizaciones.
Normadat, empresa empresa especializada en gestión archivística y destrucción documental, incluye en sus proyectos documentales medidas de seguridad reguladas por la ley, además de medidas propias que incorpora como valor añadido. Los documentos legales pertinentes quedan firmados al comienzo de la relación contractual, entre los que se encuentran los acuerdos deconfidencialidad y secreto profesional, a los que está suscrito el personal que trabaja en cada proyecto.
La empresa entiende la Gestión Segura de Información como un conjunto de servicios, integrado por la clasificación, la accesibilidad, la digitalización, la indexación, la realización de copias de seguridad, e incluso, la destrucción certificada de la información, según los criterios de la norma UNE-EN 15713.
Cuenta con certificación en Seguridad de la Información ISO 27001 y nos propone la siguiente infografía sobre gestión segura de la información:
Autor: Adrian Macias
Read more...
http://www.dokumentalistas.com/ 22/02/2016
La seguridad de la información está siendo un requisito cada vez más importante en el entorno profesional. La legislación europea está siendo implacable con las organizaciones y los profesionales que desprotegen la información sensible, debido a las malas prácticas.
El cumplimiento con las disposiciones legales por parte de los sistemas de información, los procesos empresariales y los proyectos de consultoría, suele ser suficiente para un país determinado. Ya hemos visto que el Reglamento de la LOPD en España hace una definición precisa de los niveles de seguridad y resulta bastante concreto en cuanto a las medidas de seguridad para ficheros físicos y electrónicos. No obstante, aunque estas medidas coincidan con las necesidades de seguridad del entorno corporativo, se trata de una disposición legal y, como tal, no ha sido escrita con un enfoque de mejora de la gestión, sino para asegurar que se cumple la legalidad vigente. En última instancia, son los intereses de las personas físicas cuyos datos aparecen en esos documentos, y no los intereses empresariales, su principal propósito.
Por ello, las empresas necesitan valerse de una solución sistemática con la que puedan asegurar su información con un enfoque basado en la gestión, que al mismo tiempo cumpla con las exigencias jurídicas. El cumplimiento con las leyes relativas a seguridad es un paso importante, pero no garantiza la cobertura internacional de los proyectos y la importación / exportación de las soluciones de consultoría. En cambio, la norma ISO 27001 estandariza de forma universal los criterios jurídicos y permite evitar las amenazas mediante un enfoque basado en la gestión de riesgos. En la mayoría de los casos evitará tener que realizar adaptaciones a las exigencias legales en cada nuevo mercado en los que los productos, servicios y procesos se comercialicen o se pongan en práctica. No obstante, en aquellos casos en los que los sistemas de información y los procesos cumplan con las exigencias legales de la normativa de protección de datos, partirán de una posición más ventajosa respecto a aquellos casos en los que se parta desde cero.
La norma se centra en garantizar la confidencialidad, la integridad, la disponibilidad y la autenticidad de la información para intentar evitar que cualquier incidencia de tipo físico o lógico pueda comprometer los niveles de competitividad, de rentabilidad, de conformidad legal y de imagen empresarial, necesarios para lograr los objetivos de la organización y asegurar la continuidad del negocio. Realiza una evaluación de riesgos inicial con la que define los aspectos que necesitan mejorarse y plantea medidas para evitar catástrofes irreversibles (como incendios, inundaciones, etc.), el robo de los documentos y la pérdida negligente de información. Otorga una capa de seguridad a los entornos de gestión documental con las siguientes medidas de control:
Identificación de los cambios y revisiones de los documentos.
Acceso legible a las últimas versiones de los documentos.
Identificación correcta de los documentos internos y externos.
Disponibilidad de los documentos para aquellos que los precisen en su ejercicio laboral.
Control de la distribución de los documentos.
Prevenir el uso indebido de documentos obsoletos en procesos de negocio actuales y asegurar la disponibilidad de su consulta en cualquier caso.
Constituye un modelo flexible que se adapta a cualquier tipo y tamaño de organización y permite obtener el reconocimiento adicional por parte de una entidad de certificación independiente, lo cual demuestra públicamente el compromiso de la organización con la protección de la seguridad y es una garantía que otorga confianza al cliente, respecto a otras empresas que no la tengan en cuenta.
En algunos casos, la ISO 27001 cumple el papel de formalizar por escrito las pautas adecuadas para que la organización pueda utilizar de forma segura los elementos de hardware y software que integran su sistema de información. Al ser un sistema de gestión, en la línea de la ISO 9001 relativa la calidad, permite la elaboración de políticas, procedimientos y manuales técnicos en relación con los aspectos de la gestión por procesos, los recursos humanos, la protección jurídica, la protección física y la gestión de la continuidad del negocio, relacionados con la seguridad de la información.
Para que un tercero se encargue de garantizar la tediosa tarea del cumplimiento legal a lo largo del tiempo.
Por disponer de hardware y software específico, necesario para este tipo de gestión de información.
Por aportar valor al cliente, abaratando sus costes y ahorrando su tiempo de gestión.
En cualquier caso, tendrá que contarse con el apoyo de la dirección de la empresa y del conjunto de los empleados, para que el tratamiento, conservación y destrucción de la información empresarial se realice de forma sistemática y transparente a lo largo de su ciclo de vida. El personal involucrado debe ser capaz de trabajar con continuidad en el proyecto.
Conviene apoyarse en estándares, métodos y guías ya establecidos, así como comparar el sistema actual de Gestión de la Seguridad de la Información con los requisitos de la norma ISO/IEC 27001. Se ha de pedir opinión a los clientes y proveedores actuales sobre él mismo y comparar nuestra experiencia con las de otras organizaciones. También servirá la consideración de la estructura de trabajo de otros sistemas de gestión implantados en la empresa, con los cuales tendrá puntos de contacto, como el de calidad o el de gestión de documentos. Habrá que revisarlo con regularidad para detectar fallos e implementar mejoras y actualizaciones.
Normadat, empresa empresa especializada en gestión archivística y destrucción documental, incluye en sus proyectos documentales medidas de seguridad reguladas por la ley, además de medidas propias que incorpora como valor añadido. Los documentos legales pertinentes quedan firmados al comienzo de la relación contractual, entre los que se encuentran los acuerdos deconfidencialidad y secreto profesional, a los que está suscrito el personal que trabaja en cada proyecto.
La empresa entiende la Gestión Segura de Información como un conjunto de servicios, integrado por la clasificación, la accesibilidad, la digitalización, la indexación, la realización de copias de seguridad, e incluso, la destrucción certificada de la información, según los criterios de la norma UNE-EN 15713.
Cuenta con certificación en Seguridad de la Información ISO 27001 y nos propone la siguiente infografía sobre gestión segura de la información:
Entradas
