| 25 años generando CONFIANZA
La norma ISO 27001
En base a la norma internacional ISO 27001, es posible definir e implementar un Sistema de Seguridad y Protección de Datos que permite, por un lado, cumplir con las exigencias legales (Ley de Protección de la Propiedad Intelectual, Protección de Datos personales, Servicios para la Sociedad de la Información) y, por otra parte, asegurar la confidencialidad e integridad de los datos y de la información de cualquier organización, así como salvaguardar los sistemas que la procesan.
Las claves de un Sistema de Seguridad de la Información
La información es absolutamente fundamental en las organizaciones. Por este motivo, la defensa de este activo es una tarea esencial para asegurar la continuidad y el desarrollo del negocio. Además, cuanto mayor es el valor de la información, también son más importantes las consecuencias asociadas a su pérdida, ya sea de forma accidental (deterioro, manipulación indebida…) o intencionada (robo de datos personales, ataque al sistema informático…).
Para evitar las perniciosas consecuencias que pueden llegar a acarrear un fallo interno o un ataque a la información de una empresa, los Sistemas de Gestión de Seguridad de la Información (SGSI) son el medio más eficaz de eliminar o minimizar los riesgos, garantizando una niveles de seguridad muy altos.
Características básicas de un SGSI
Los principales características que debe tener un SGSI son:
- Deber ser capaz de valorar los activos y sus riesgos, considerando el impacto para la organización.
- Contar con unos mecanismos de control y unos procedimientos eficaces y coherentes con la estrategia de negocio de la organización.
- Debe ser un sistema donde estén perfectamente definida la política de seguridad de la información que se quiere llevar a cabo, concretando objetivos, recursos a utilizar y reparto de responsabilidades.
El tema de los recursos en fundamental, ya que para implementar con éxito un Sistema de Gestión de Seguridad se deben asignar recursos suficientes, tanto económicos como de infraestructura técnica, personal y tiempo. En paralelo a esta asignación de recursos, se deben otorgar también una serie de funciones y responsabilidades, lo que implica una formación correcta de los empleados.
La formación debe estar enfocada no sólo a cuestiones teóricas o técnicas sobre seguridad, sino también a la suficiente concienciación de los trabajadores en los riesgos y las medidas a tomar para su prevención, poniendo todo de su parte para eliminarlos o minimizarlos. Está demostrado que una excesiva relajación o confianza de los empleados se encuentra detrás de la existencia de muchas brechas de seguridad, algunas de ellas con graves consecuencias para la organización.
Los distintos métodos de evaluación y análisis de riesgos
Además de las características básicas, otro de los aspectos fundamentales de un SGSI es la elección de un modelo concreto de evaluación de riesgos que permita:
- Conocer los peligros potenciales, su frecuencia y alcance.
- Determinar de qué forma dichos riesgos pueden afectar a la información confidencial y los sistemas informáticos de la empresa.
- Establecer un sistema de valorar, lo más objetivo y cuantitativo posible, la probabilidad de que ese peligro potencial se convierta en una realidad.
- A partir de este modelo se deben analizar los riesgos relacionados con la confidencialidad, integridad y disponibilidad.
- Estimar los diferentes niveles de riesgo y sus consecuencias asociadas, dejando claro qué se entiende por riesgo aceptable.
- Determinar acciones concretas para eliminar y mitigar los riesgos, estableciendo calendarios, pautas de actuación y valoración de costos
- Hacer un seguimiento de las acciones correctivas que sea lo suficiente efectivo para detectar errores y ágil para realizar las modificaciones oportuna en el plan de riesgos. La norma ISO 27001 tienen muy en cuenta esta cuestión, por lo que incluye como requisitos la ejecución de auditorías internas y evaluaciones periódicas por parte de la dirección.
La Plataforma ISOTools facilita la automatización de la ISO 27001
La ISO27001 para los SGSI es un norma sencilla de gestionar de forma automatizada con la Plataforma Tecnológica ISOTools. Con ISOTools se da cumplimiento a los requisitos basados en el ciclo PHVA para establecer, implementar, mantener y mejorar el Sistema Gestión de la Seguridad en la Información.
De manera complementaria, esta plataforma permite poner en práctica los controles establecidos en ISO 27002, así como los requisitos de otras normas de Seguridad de la Información como PMG SSI de los Servicios Públicos de Chile, entre otros.
¿Desea saber más?
Entradas relacionadas
En el mundo empresarial actual, donde la integridad y la transparencia son esenciales para construir confianza, las organizaciones…
La gestión de investigaciones internas en las empresas es clave para proteger la integridad empresarial, prevenir los riesgos y fortalecer la...
La estructura de ISO 42001 es la acostumbrada por ISO para sus estándares certificables, y con posibilidad de…