¡Hola, gente tech! Cuando se trata de Tecnología de la Información (TI), hay algo absolutamente innegociable: la seguridad. Hoy vamos a examinar más de cerca la Gestión de la Seguridad de la Información tal como se establece en la ISO 20000:2018. ¡Vamos allá!

1. Política de Seguridad de la Información: La Base de la Seguridad

Todo empieza con una base sólida. En el ámbito de la Gestión de la Seguridad de la Información bajo la ISO 20000, esa base se construye sobre una Política de Seguridad de la Información esencial. Piensa en ella como el libro de reglas. Todo profesional de TI debe conocer, comprender y seguir estas reglas para garantizar un entorno seguro.

2. El Papel de la Evaluación de Riesgos

No basta con tener reglas; es necesario entender el porqué que hay detrás de ellas. Aquí es donde entra la evaluación de riesgos. Al evaluar posibles amenazas de seguridad, las organizaciones pueden definir controles específicos para proteger sus datos valiosos. En esencia, es el proceso de identificar problemas potenciales y asegurarse de que nunca lleguen a materializarse.

3. Profundizando en la ISO/IEC 20000-1

La ISO/IEC 20000-1 es nuestra guía cuando se trata de comprender las especificidades de la Gestión de la Seguridad de la Información. Clasifica los requisitos en:

• Política: el libro de reglas mencionado anteriormente. Define qué está permitido, qué no lo está y las consecuencias de no cumplir las normas.

• Control: piensa en esto como las herramientas y mecanismos que se utilizan para hacer cumplir la política. Son las acciones y procesos tangibles que ayudan a prevenir brechas de seguridad.

• Incidentes: a pesar de nuestros mejores esfuerzos, los incidentes pueden ocurrir. Las normas ISO describen cómo deben gestionarse estos incidentes para mitigar daños y evitar su repetición.

4. La Importancia de la Comunicación de la Conformidad

Directamente desde la ISO/IEC 20000, las organizaciones deben comunicar de forma eficaz la importancia de cumplir la política de seguridad. Además, deben dejar clara su aplicabilidad al Sistema de Gestión de Servicios (SGS) y a los servicios, para el personal relevante. En términos simples: ¡asegúrate de que todos conozcan las reglas y por qué son importantes!

5. Controles e Incidentes de Seguridad de la Información

La ISO/IEC 20000-1 enfatiza que las organizaciones deben acordar e implementar controles de seguridad de la información relacionados con organizaciones externas. Y cuando ocurren incidentes, deben ser:

• Registrados y clasificados.

• Priorizados según los riesgos de seguridad de la información.

• Escalados cuando sea necesario.

• Resueltos de forma eficaz.

• Cerrados una vez solucionados.

Conclusión

En resumen, la Gestión de la Seguridad de la Información no consiste solo en tener una lista de normas. Se trata de comprender los riesgos, implementar controles adecuados y gestionar los incidentes de manera eficiente. ¿Y la ISO 20000:2018? Pues es nuestra hoja de ruta para lograr todo eso… ¡y mucho más!