Saltar al contenido principal

ISO 27001 en PYMEs ¿Cómo organizan la seguridad de la información?

Inicio / ISO 27001 en PYMEs ¿Cómo organizan la seguridad de la información?

ISO 27001

ISO 27001 es una norma que basa su funcionamiento en poner en marcha una estrategia consistente y eficiente de buenas prácticas para la seguridad de la información. Esto solo es posible si se cuenta con el apoyo y compromiso de la dirección.

Hoy día, para cualquier organización es vital mantener a buen recaudo su información y un buen sistema de comunicación que proteja los activos y la propiedad intelectual.

Así que, para garantizar tal protección, es necesario que la empresa cuente con una organización efectiva en su conjunto.

En una PYME, para poder organizar la seguridad de la información se requiere revisar hacia qué procesos principales se centra el alcance del SGSI, cómo conformar una política de seguridad, cómo ordenar la estructura de la empresa y cómo actuar en las relaciones con terceras partes.

btn_27

Alcance del SGSI

El alcance delimita las áreas de la organización que se someten al SGSI. Este alcance no debe dejar duda sobre qué actividades de la empresa son las que están integradas en el SGSI de ISO-27001.

El alcance se puede definir en la política de seguridad o en un documento individual para más tarde llevar a cabo una descripción más detallada.

En la definición se debe tener en cuenta:

  • La estructura organizativa.
  • Los activos que hacen que se desarrollen las características del negocio.
  • Localización física.
  • El desarrollo del negocio.

El alcance no debe ser global, es decir que cubra toda la empresa, lo ideal es tomar un alcance reducido e ir ampliándolo poco a poco. Para saber qué límites usar la mejor opción es identificar en qué zonas de la empresa la seguridad de la información puede aportar un valor añadido superior, es decir qué zonas concentran las actividades relacionadas con la gestión de la seguridad de la información.

Política de Seguridad

Es el documento inicial del SGSI, define las razones de implantación del SGSI, quién y cómo se suscita y qué objetivos se persiguen con él.

La política de seguridad ha de guardar coherencia con las características del negocio, la estructura de la empresa, su ubicación, su tecnología y activos, y debe tener muy en cuenta la confidencialidad, disponibilidad e integridad de la información.

La alta dirección es la encargada de aprobar esta política, la cual se revisará cuando se estime oportuno según los cambios que sufra la empresa. Es esencial que tenga un carácter de alto nivel porque a partir de ella de desarrollarán los procedimientos, procesos y normativas que soportan la seguridad de la información de una empresa. Todos los miembros de la misma deben conocer este documento, por lo que deben existir buenas vías de difusión y publicidad.

Responsable de Seguridad

Este responsable trabaja para gestionar y mantener el SGSI. Entre sus funciones destaca el mantenimiento del proceso de mejora continua, la planificación de las auditorías internas y la gestión de los incidentes de seguridad. Es una figura que debe pertenecer al comité de seguridad o apoyarlo.

Comité de Seguridad

Se trata de un foro de gestión. Este comité tiene asignado el mantenimiento de la política de seguridad y la revisión y aprobación de la valoración y riesgos de la empresa. Aprobarán el nivel de riesgo aceptable y el riesgo residual resultante tras la aplicación de un plan de tratamiento de riesgos.

El comité lo formarán componentes de la dirección de la empresa, los cuales se reunirán periódicamente para valorar los resultados de auditorías internas, gestión de incidentes…

Terceras Partes

Casi todos los negocios necesitan realizar acuerdos con terceras partes, por eso es imprescindible identificar los riesgos de la información que la empresa pone a disposición de las terceras partes. Según los riesgos identificados se actuará de un modo u otro para reducirlos. No es conveniente autorizar el acceso a la información hasta que no se implanten los controles pertinentes.

Los requisitos de seguridad establecidos deben quedar firmados en el contrato con las terceras partes.

La Plataforma Tecnológica ISOTools está diseñada para asumir estas indicaciones a la hora de implantar un SGSI con ISO27001, y desarrollar una gestión simple, eficiente y eficaz del mismo.

cta_27

¿Desea saber más?

Entradas relacionadas

Volver arriba