Establecer los Requisitos de Seguridad de la Información.
La seguridad es algo que todas las organizaciones debe tener, pero que nadie quiere utilizar. Y este pensamiento puede traer muchos problemas.
El propósito que persigue el Sistema de Gestión de Seguridad de la Información ISO/IEC 27001:2022, es que los usuarios prestan poca atención a cómo la seguridad se incorpora en un producto y cómo se analiza para garantizar que funciona de forma correcta cuando es necesario.
Hoy en día, se puede utilizar la norma ISO/IEC 27001:2022 para ayudar a conseguir la seguridad de la organización, utiliza a sus propios clientes como un servicio de la empresa. Se debe tener en cuenta durante la especificación de los requisitos y la preparación de los procedimientos de prueba.
¿Qué es un requisito?
Un requisito puede ser cualquier declaración elaborada de forma que hace que sea posible su utilización al evaluar los resultados. Cuando se pide “agua helada” usted indica la sustancia y la temperatura que desea. Cuanto más detallado sea el requisito, más fácil será de verificar los resultados obtenidos, una falta de información no permite cumplir con la petición y si faltan detalles de lo que se ha solicitado, esto puede disminuir el rendimiento o reducir la seguridad del producto.
Cómo especificar los requisitos de seguridad.
Dentro del apartado 14.1.1 “Análisis de los requisitos de Seguridad de la Información y Especificación” en la norma ISO/IEC 27001:2013, nos ofrece todos los requisitos necesarios para proteger la información. Un requisito de protección controla el acceso a la información, según el nivel de liquidación.
- La adopción de métodos para identificar requisitos: Las formas sistemáticas de identificación pueden prevenir los aspectos de ser olvidados o pasados por alto. Los métodos de evaluación de las políticas y regulaciones.
- Resultado de la opinión de las partes interesadas: Se debe ajustar mejor a la hora de realizar la evaluación de los requisitos documentados. Deberá elegir a las diferentes personas que se encontrarán involucradas.
- Evaluación de los requisitos según el valor de la información para el negocio: Si la seguridad es adecuada esto se refleja en el valor que obtiene la información para el negocio. Los requisitos deben ser priorizados según los documentos que el negocio quiera proteger.
- La integración de los requisitos de gestión en las primeras etapas de un proyecto: Cuanto antes se considera la seguridad, muchas más opciones existen para tratar el riesgo. Deberá tener en cuenta las políticas y los procesos de desarrollo del proyecto.
- Definir criterios para la aceptación del producto: En algún momento deberá demostrar que lo que se propuso al implementar el Sistema de Gestión de Seguridad de la Información lo ha logrado. Deberá demostrar que cuenta con los procedimientos establecidos de forma correcta.