La norma ISO 27001 beneficia a las organizaciones

ISO 27001

Los clientes se preocupan de proteger la información bajo la custodia de proveedores y servicios contratados. El incremento en las demandas de cumplimiento del cliente, además ha incrementado todos los desafíos para los proveedores al integrarlos en los procesos de negocio. Es necesario conocer todos los beneficios de la norma ISO 27001 para la empresa.

Es necesario que se realice el enfoque adecuado, los problemas de cumplimiento de todos los requisitos puede variar. Los contratos se pueden cancelar y puede que surjan acciones legales. Es necesario tener un método estructurado para asegurar la integración de todos los procesos y el cumplimiento de los diferentes requisitos del cliente, que se convierte en un requisito fundamental para el negocio.

Durante este artículo vamos a realizar un caso práctico para que los proveedores que han implementado la norma ISO 27001 vean que pueden usar un Sistema de Gestión de Seguridad de la Información con el que apoyar la integración y el cumplimiento de todos los requisitos de los clientes.

FAR y DFARS 7012

El Reglamento Federal de Adquisiciones (FAR) es el conjunto de normas de los Estados Unidos que se rigen por el proceso usado por las diferentes agencias que se utilizan para conseguir bienes y servicios contratados, se establecen políticas y procedimientos comunes para asegurar que las adquisiciones satisfagan todas las necesidades de los organismos en términos de costo, calidad y oportunidad, además de los objetivos públicos.

Por regla general, FAR es complementario a otra documentación que ha sido emitida por las mismas agencias cuando es necesario aplicar diferentes restricciones o requisitos adicionales. Uno de los principales suplementos es DFARS, que se utiliza por el Departamento de Defensa de los EEUU.

El número 7012 es una abreviatura, que requiere de la protección de la información de defensa que se etiqueta como información no clasificada, mediante la implementación de NIST SP 800-171 “Protección de Información no Clasificada Controlada por Sistemas y Organizaciones de Información No Férrea”. Si estás interesado en obtener más información sobre la ISO 27001 que es de carácter internacional, puedes leer ¿Cuáles son las cualidades que debe tener un auditor ISO 27001?.

¿Quién debe cumplir con DFARS 7012?

Se utiliza durante todas las solicitudes y controles de departamento de defensa de los Estados Unidos y tiene que ser utilizado por todos los contratistas y subcontratistas que utilicen sistemas de información para procesar, almacenar o transmitir información de forma encubierta.

El incumplimiento de DFARS hace que los contratistas se encuentren sometidos a sanciones por incumplimiento por parte del gobierno de los EEUU y por personas o empresas privadas que afectan a las fallas que se encuentran relacionadas.

La publicación especial del Instituto Nacional de Estándares y Tecnología establece 109 controles

Click To Tweet

NIST SP 800-171

La publicación especial del Instituto Nacional de Estándares y Tecnología establece 109 controles diferentes, que se encuentran derivados de NIST SP 800-53. Se usa para tratar distintas deficiencias con respecto a la administración y a la protección de la información que se encuentra no clasificada, como pueden ser las marcas inconsistentes, salvaguardias inadecuadas o restricciones innecesarias.

Los diferentes controles se encuentran organizados en 14 familias, de la siguiente manera:

Control de acceso
Concienciación y capacitación
Auditoría y rendición de cuentas
Identificar y autentificar
Gestión de la configuración
Mantenimiento
Respuesta al incidente
Seguridad personal
Protección de medios
Protección física
Evaluación de riesgos
Protección de sistemas y comunicaciones
Evaluación de seguridad
Integridad de los sistemas de información

La aplicabilidad se define por el uso del marco de Gestión del Riesgo del NIST, siendo un conjunto de publicaciones usadas para categorizar los sistemas de información y definir todos los controles que se pueden aplicar.

Beneficios ISO 27001 durante la implementación del NIST SP 800-171

Se definen todos los requisitos que se deben cumplir. Las organizaciones pueden usar el Marco de Gestión de Riesgo de NIST, ¿Cuáles son los beneficios ISO 27001? Esta pregunta se puede responder con dos argumentos:

Una norma internacional, si una organización implementa la norma ISO 27001 será mucho más atractiva para otros clientes potenciales en todo el mundo, además sigue siendo capaz de trabajar con las agencias gubernamentales.
La compatibilidad con otras normas ISO que facilita la integración del contexto de la gestión de toda la organización.

Para utilizar los beneficios de la norma ISO 27001 es necesario que NIST SP-800-53 y NIST SP 800-171 tengan un apéndice con tablas de mapeo que se relacionan con los controles en el Anexo A de la norma ISO 27001. El control NIST SP 800-171 AC-2 ofrece los siguientes controles:

2.1 – Registro y cancelación de registro del usuario
2.2 – Provisión de acceso de usuario
2.3 – Gestión de los derechos de acceso privilegiados
2.5 – Revisión de los usuarios derechos de acceso
2.6 – Eliminación o ajuste de los derechos de acceso

Una organización puede seguir todos los pasos que se usan para identificar e implementar los controles del Anexo A para identificar e implementar los controles NIST SP 800-171, pero algunas consideraciones debe ser célebres.

Software ISO 27001

El Software ISOTools Excellence para ISO 27001 para la Seguridad de la Información se encuentra compuesto por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las organizaciones no pierda ninguna de sus propiedades más importantes. Facilita el cumplimiento de los requisitos legales que les repercuten.