Laycos

Cómo Laycos me ayudó a gestionar la ISO 27001 (I)

Este post será el primero de una serie de artículos en los que te explicaré, cómo Laycos me ‘salvó la vida’ ante una revisión anual de la ISO 27001: 2013, un estándar para la seguridad de la información, aprobado y publicado como estándar internacional en octubre de 2005, y que se centra en salvaguardar la seguridad de los activos dentro de una organización. Si te dedicas a redes y a seguridad de la información, sabrás perfectamente a lo que me refiero ;-|

¿Y por qué no usar Laycos?

Como responsable de redes y ciberseguridad, tengo que lidiar con muchas auditorías, una de ellas, la ISO 27001. Dado que existe software específico ideado para facilitar su gestión e interpretación, a menudo suele ser bastante complejo, además de caro.

Cuando conocí Laycos, me pregunté:

¿Y si se pudiera usar esta red social corporativa para gestionar toda una ISO de seguridad, sin necesidad de software externo, costoso y, la mayoría de las veces, complicado? ¿Sería esto posible?

Te adelanto que sí se puede 🙂

En otras entradas de este blog hemos podido ver en profundidad cómo usar los calendarios y las tareas, entre otras funcionalidades, con el fin de sacar el máximo de productividad en nuestro trabajo diario, con lo que las auditorías no iban a ser menos. Te cuento cómo lo hice.

1º | Crear una Red en Laycos para organizar toda la información relativa a la ISO 27001

En primer lugar, creé una red específica en Laycos, donde alojar toda la información de la gestión de la ISO de la empresa. En el siguiente enlace se explica el paso a paso de cómo crear una red en Laycos, así que, sin más, me puse manos a la obra.

Llamé a la red: “Gestión ISO 27001“, y creé los siguientes grupos, donde clasificar y guardar la información relativa a la ISO, de una manera clara, que me facilitara encontrar todo en cualquier momento:

  • Incidencias ISO:  apartado para que los usuarios puedan notificar posibles incidencias de seguridad.
  • Gestión de Activos: espacio donde mantendremos actualizado el listado de los activos de la información : servidores, discos duros, impresoras, pendrives y ordenadores, entre otros.
  • Aplicabilidad: todo lo relativo a las secciones de la norma de la ISO, que aplican a la empresa.
  • Actas: alojar todas las actas de reunión, auditorías y todo lo relativo a las reuniones  ligadas a  la ISO 27001.
  • Comité de Dirección: punto de encuentro de las decisiones entre la Dirección y el Responsable del SGSI.
  • Riesgos: todos los riesgos aplicables junto al mapa de riesgos de la misma, debidamente actualizado 😉

Gestionando “Incidentes de Seguridad”

En la ISO de seguridad 27001: 2013 existe un procedimiento de gestión de las incidencias, que aborda todas aquellas incidencias ligadas el entorno del SGSI, denominándolas: incidentes de seguridad.

Destacar que el responsable de seguridad es el destinatario de estas incidencias, siendo el que debe tomar las medidas necesarias para mitigarlas. Además, debe hacer un seguimiento de la misma para comprobar su correcta resolución. Hay que tener en cuenta que todas las incidencias deben quedar documentadas en un registro, tanto para el control interno del propio Responsable de Seguridad, como para la figura del auditor de la ISO.

Extrapolando lo comentado anteriormente a Laycos, me apoyé en la opción Formularios -funcionalidad aún en beta, 2017 será el año de los formularios- para declarar los incidentes de seguridad ocurridos, lo que permite la comunicación entre los afectados y el Responsable de Seguridad por escrito, creándose así un registro que permanece en Laycos y, por tanto, un histórico de incidencias que servirá al responsable de seguridad para documentarlo.

La estructura del formulario al que hago referencia, es el siguiente (lo creé a medida, ya que Laycos lo permite):

  • Tipo de incidencia
  • Día y hora en los que se ha producido
  • Persona que notifica
  • Efectos derivados de la incidencia

Una vez cumplimentado, como responsable de seguridad, debo ponerme manos a la obra para gestionar cuanto antes la resolución de la misma. Para poder hacer un uso rápido y efectivo, también me ayudé de las etiquetas, que me permiten segmentar el tipo de incidencia, hacer estadísticas e identificar patrones anormales, además de búsquedas rápidas dentro de Laycos.

Como profesional, he comprobado que es posible gestionar la ISO y ser más productivo con una sola herramienta. Y ahorrar costes a la empresa, ya que no necesitará adquirir un software adicional que, por experiencia, resulta costoso y complicado de usar. Con Laycos sacaremos adelante, de manera clara, la ISO de seguridad, permitiéndonos tener una visión más amplia de lo que sucede en la misma.

Para no saturar lo dejamos aquí por hoy. En mi siguiente post abordaré otras acciones que resultan muy útiles hacer desde Laycos de cara a pasar con éxito una auditoría. Continuará…



Regístrate gratis