| 25 años generando CONFIANZA
La gestión de la seguridad de la información
La norma ISO 27005 es el estándar internacional que se ocupa de la gestión de los riesgos relativos a la seguridad de información. La norma suministra las directrices para la gestión de riesgos, apoyándose fundamentalmente en los requisitos sobre esta cuestión definidos en la ISO 27001.
Se trata de una norma aplicable a todo tipo de organizaciones que tengan la intención de gestionar los riesgos que puedan complicar la seguridad de la información de su organización y sustituye a las la normas ISO / IEC TR 13335-3:1998 e ISO / IEC TR 13335-4:2000 de Gestión de la Información y Comunicaciones Tecnología de Seguridad.
El aumento en el uso de tecnologías de la información puede posibilitar brechas o fisuras en aspectos de seguridad con respecto a su utilización, por ello se hace necesaria una gestión de la información desde una perspectiva tecnológica a tres niveles: aseguramiento y control sobre la infraestructura (nivel físico), los sistemas de información (nivel lógico) y las medidas organizacionales (factor humano) desde la perspectiva tecnológica.
Metodología de aplicación
Esta norma no recomienda una metodología concreta, puesto que dependerá de una serie de factores relativos a cada empresa que se plantee implantarla como por ejemplo: el alcance real del Sistema de Gestión de Seguridad de la Información (SGSI) o el sector comercial de la propia industria.
No obstante, como otras normas ISO y sistemas basados en procesos, un método considerado válido y, por lo tanto, recomendable es utilizar como base el modelo PHVA con la finalidad de establecer un proceso de gestión que se enfoque en la mejora continua siguiendo el siguiente esquema:
Planificar
Se establecen los objetivos, procesos y procedimientos para el proceso de gestión de riesgos tecnológico, con el objeto de conseguir unos resultados acordes con las políticas y objetivos globales de la organización.
Hacer
Corresponde a la implementación y operación de los controles, procesos y procedimientos e incluye la operación e implementación de las políticas definidas.
Verificar
Se trata de evaluar y medir el desempeño de los procesos contra la política y los objetivos de seguridad e informar sobre los resultados.
Actuar
Consiste en establecer la política para la gestión de riesgos tecnológicos e implementar los cambios requeridos para la mejora de los procesos.
Los cuatro pasos de la implantación
Basándose en el modelo anterior, una forma de implantar con éxito un Sistema de Gestión de Seguridad de la Información consiste en establecer una hoja de ruta basada en cuatro pasos:
1) Establecimiento de plan de comunicación interno y externo
El plan de comunicación se debe realizar a nivel interno (áreas de la organización, empleados, directivos, socios) y externo (clientes, proveedores, entes reguladores), teniendo en cuenta las definiciones sobre la existencia del riesgo, los objetivos de la gestión, el informe de los avances del proceso y todo aquello que se considere necesario. Los medios a usar para comunicar el proceso de gestión dependen de las necesidades y disponibilidad de la organización.
2) Definición del contexto organizacional
El objetivo de esta etapa es conocer a la organización para determinar qué puede afectarla a nivel interno y externo, qué elementos se requieren proteger y, de acuerdo a los recursos actuales, cómo podría darse esa protección hasta establecer un nivel de riesgo aceptable.
3) Valoración de los riesgos tecnológicos
En la etapa de valoración de riesgos se identifican los activos que se quieren proteger y sus debilidades, así como las amenazas a las cuales se encuentran expuestos. En este punto se recomiendan posibles controles de mitigación de los riesgos.
4) Tratamiento de riegos tecnológicos
En la etapa de tratamiento de riesgos se establece e implementan las acciones a llevar a cabo para mitigar los riesgos encontrados y lograr riesgos residuales aceptables por la organización. Dentro de las acciones a tomar encontramos principalmente: reducir, aceptar, eliminar y transferir.
La Plataforma ISOTools facilita la automatización de gestión de la información
La Plataforma Tecnológica ISOTools posibilita la implementación, automatización y mantenimiento de las actividades de la gestión de riesgos asociados a la seguridad de la información, optimizando los procesos y emprendiendo un camino hacia la excelencia e integración con otras normas como: la norma ISO 31000, la ISO 9001, OHSAS 18001 e ISO 14001. Todo ello de una forma sencilla gracias a la estructura por módulos del sistema.
¿Desea saber más?
Entradas relacionadas
En el mundo empresarial actual, donde la integridad y la transparencia son esenciales para construir confianza, las organizaciones…
La gestión de investigaciones internas en las empresas es clave para proteger la integridad empresarial, prevenir los riesgos y fortalecer la...
La ISO 19011 es una norma internacional fundamental que establece directrices para la auditoría de sistemas de gestión. Esta norma...