Muchas veces la gente cree que la ISO 27001 es solo para proteger la información de la compañías, pero cada vez más los centros de datos están asumiendo también que la seguridad es importante porque hasta ahora la seguridad en los centros de datos estaba centrada básicamente en la seguridad física, es decir en temas de infraestructura que se basan en el estándar TIA-942 o temas de ciberseguridad.
Como ingenieros debemos saber cual es el objetivo del concepto que quiero proteger, el centro de datos es el que gestiona la información.
¿Cuál es el objetivo?
Es que los centros de datos de un servicio confiable.
¿Cómo garantizar ese servicio confiable?
Garantizamos el servicio mitigando o minimizando los riesgos.
¿Cómo mitigar el riesgo en la seguridad?
Tener una cámara, sistema de monitorización, personas expertos en ciberseguridad, etc; pero hay brechas y riesgos latentes no identificados.
Por eso es importante la ISO 27001 que es un sistema de gestión de seguridad de la información, por lo tanto gestiona desde la seguridad física hasta la seguridad digital o por ejemplo la seguridad de los dispositivos móviles o laptops que se conectan remotamente.
El sistema de gestión de seguridad también hace ver todo los parámetros para minimizar que no tenga ningún riesgo latente, que luego ese riesgo no identificado te devenga en riesgo crítico.
Es importante hacer una buena preparación del alcance de los centros de datos para definir todos los parámetros para que el sistema sea sencillo de implementar. Por ello la primera fase para poder implementar este proceso de ISO 27001 sería la consultoría de preparación.
¿Cómo preparo mi centro de datos para poder certificarme en la ISO 27001?
Hay que tener un plan muy estricto así como saber cada fase y alcance de cómo hacerlo para no tener problemas.
La consultoría de preparación se dividiría en 4 fases.
- FASE 1 – El plan: Si uno no planifica es imposible que tu llegues al objetivo final porque llegarás a algo que tendrá un cantidad de riesgos latentes no identificado que tu objetivo no se habrá cumplido.
- FASE 2 – Implementación y operación: Después de terminar la planeación ahora queda mitigar. Implementas los procesos y controles luego obtienes registros.
- FASE 3 – Monitorear y revisar: Monitoreas y revisas cómo se está realizando la implementación. Entonces se hace una revisiones de objetivo, ratios de controles y la auditoría interna para el mejoramiento continuo.
- FASE 4 – Mantener y Mejorar: Con la auditoría interna implementas mejoras, tomas acciones preventivas y correctivas así como también comunicas los resultados de las acciones tomadas para la mejora continua.
Cuando terminas las 4 fases estas preparado para la auditoría de certificación.
Una tema muy importante es que hay sub-disciplinas claves para el centro de datos que hay no hay que olvidar.
- Gestión de seguridad y protección.
- Políticas y procedimientos de seguridad y protección.
- Evaluación de riesgos de seguridad y protección.
- Zonas de seguridad.
- Dispositivos controlados.
- Personal de seguridad y protección.
- Conciencia de seguridad.
- Protección física.
- Monitoreo de seguridad.
- Patrullas de seguridad.
- Gestión de incidentes de seguridad.
- Reporte de problema de seguridad y protección.
- Programa disciplinario.
- Revisiones / Auditorías internas.
- Auditorías externas.
La auditoría final consta de dos fases en cualquier ISO.
Fase 1. Es en la cual se revisa la documentación del cliente para confirmar su cumplimiento con los requerimientos de la ISO 27001.
Fase 2. Es verificar la conformidad del Sistema de gestión de la seguridad de la información (SGSI) de ISO 27001 con los procedimientos y políticas del cliente.
Al culminar la fase 2 tendremos el certificado de conformidad de que tu centro de datos cumple con la ISO 27001 en el ámbito o alcance que el cliente ha definido.