El número de controles se actualizó de acuerdo con la revisión de 2013 de ISO 27001.
Uno podría pensar que estos dos términos son sinónimos; después de todo, ¿la seguridad de la información no tiene que ver con las computadoras?
En realidad, no. El punto principal es el siguiente: usted puede tener medidas de seguridad de TI perfectas, pero un sólo acto malicioso realizado por, digamos, un administrador, puede hacer caer todo el sistema de TI. Este riesgo no tiene nada que ver con las computadoras, está relacionado con personas, procesos, supervisión, etc.
Además, la información importante inclusive podría no estar en formato digital, también puede estar en formato de papel; por ejemplo, un importante contrato firmado con el mayor cliente, notas personales del director principal o contraseñas impresas de administrador guardadas en una caja fuerte.
Por lo tanto, siempre me gusta decirles a mis clientes que la seguridad de TI es 50% seguridad de la información, porque este aspecto también incluye seguridad física, gestión de recursos humanos, protección legal, organización, proceso, etc. El objetivo de la seguridad de la información es crear un sistema que tenga en cuenta todos los riesgos posibles sobre la seguridad de la información (relacionada o no con TI) e implementar controles integrales que reduzcan todos los tipos de riesgos inaceptables.
Este enfoque integrado sobre la seguridad de la información está bien definido en la norma ISO 27001, la principal norma internacional sobre gestión de seguridad de la información. En conclusión, es necesario realizar la evaluación de riesgos sobre todos los activos de la organización, incluyendo hardware, software, documentación, personal, proveedores, socios, etc., y escoger los controles adecuados para disminuir esos riesgos.
La norma ISO 27001 ofrece 114 controles en su Anexo A. He realizado un breve análisis sobre esos controles y estos son los resultados:
- Controles relacionados con TI: 37%
- Controles relacionados con la organización o documentación: 36%
- Controles sobre seguridad física: 13%
- Protección legal: 4%
- Controles relacionados con la relación con proveedores y clientes: 5%
- Controles sobre la gestión de recursos humanos: 5%
¿Qué significa todo esto en términos de implementación de seguridad de la información y de la ISO 27001? Este tipo de proyectos no debe ser visto como un proyecto de TI porque, como tal, es probable que no todas las partes de la organización estén dispuestas a participar en él. Debe ser encarado como un proyecto que involucre a toda la empresa, en el que la gente importante de todas las unidades comerciales deben formar parte: la alta gerencia, personal de TI, asesores legales, gerentes de recursos humanos, personal de seguridad física, el lado comercial de la organización, etc. Sin este enfoque, terminará trabajando en la seguridad de TI y, de esta forma, no estará protegido ante los mayores riesgos.
Consulte este curso gratuito de formación en línea ISO 27001 Foundations Course para aprender más sobre ISO 27001.