| 25 años generando CONFIANZA
La norma ISO 27001
La ISO 27001 es una norma internacional que permite el aseguramiento de la confidencialidad e integridad de los datos y de la información de cualquier organización, así como de los sistemas que la procesan. Esto permite a las organizaciones salvaguardar la información que custodian, sobre todo en la red y formatos digiales, evaluando objetivamente los riesgos y definiendo una serie de medidas para eliminarlos o reducirlos al máximo.
En base a esta norma certificada, cualquier empresa puede establecer un sistema de seguridad, teniendo que seguir para ello los siguientes pasos:
Determinar la política a seguir
Una vez la Dirección de la organización esté suficientemente involucrada y comprometida con el proyecto, el siguiente paso consiste en definir:
- El tipo de política de seguridad de la información que se quiere llevar a cabo.
- Objetivos y metas lo más concretos posible en materia de seguridad.
- Recursos a utilizar.
- Definición de responsabilidades.
Selección de un método para la evaluación y análisis de riesgos
Es necesario elegir un modelo de evaluación de riesgos para conocer los peligros potenciales y de qué forma dichos riesgos pueden afectar a la información confidencial y los sistemas informáticos de la empresa. Finalmente, también hay que valorar la probabilidad de que ese peligro potencial se convierta en una realidad. Es importante que, a partir de ese modelo, la empresa sea capaz de:
- Evaluar los riesgos relacionados con confidencialidad, integridad y disponibilidad.
- Determinar criterios que definan qué se entiende por riesgo aceptable.
- Estimar los diferentes niveles de riesgo y sus consecuencias asociadas.
- Determinar si los riesgos son aceptables o si requieren una acción siguiendo criterios de aceptabilidad previamente definidos.
- Valorar los costos de la eliminación de riesgos.
Definir acciones y objetivos para gestionar los riesgos
El siguiente paso consiste en la definición de la acciones necesarias para contrarrestar dichos riesgos y su implantación. En este proceso se deben tener en cuenta los criterios de riesgos aceptables e inaceptables, así como obligaciones legales, regulatorias y contractuales.
Implementación de la ISO 27001
Tomando como base esta norma certificada se deben realizar, entre otras, las siguientes acciones:
- Una descripción de la gestión de riesgos donde se detalla la planificación de: acciones, recursos, responsabilidades y el orden de prioridad con respecto a la seguridad de la información.
- Un plan de gestión de riesgos para alcanzar los objetivos incluyendo la financiación y la asignación de funciones y responsabilidades.
- Las medidas necesarias para alcanzar los objetivos.
- Planes de capacitación de los profesionales.
- Implementación del sistema y gestión de los recursos.
Concienciación de los empleados y asignación de recursos
Para implementar con éxito un Sistema de Gestión de Seguridad se deben asignar recursos suficientes, tanto económicos como de infraestructura técnica, personal y tiempo. También es importante que los empleados que trabajan con el sistema de gestión de seguridad de la información, por ejemplo con el mantenimiento del sistema, la documentación o la seguridad sean formados correctamente.
Finalmente, todos los empleados deben estar suficientemente concienciados de los riesgos y medidas para su prevención, poniendo todo de su parte para eliminarlos o minimizarlos.
Realizar controles internos
Para garantizar que el sistema de gestión de seguridad de la información es efectivo y lo seguirá siendo el el futuro, la norma ISO 27001 incluye los siguientes requisitos:
- Ejecutar auditorías internas.
- La Dirección debe realzar evaluaciones periódicas del Sistema de Gestión de Seguridad la información para asegurar que el sistema permanece completo y, de forma paralela, facilitar los procedimientos para encontrar errores e implantar mejoras .
La Plataforma ISOTools facilita la automatización de la ISO 27001
La ISO27001 para los SGSI es un norma sencilla de gestionar de forma automatizada con la Plataforma Tecnológica ISOTools. Con ISOTools se da cumplimiento a los requisitos basados en el ciclo PHVA (Planear – Hacer – Verificar – Actuar) para establecer, implementar, mantener y mejorar el Sistema Gestión de la Seguridad en la Información.
De manera complementaria, esta plataforma permite poner en práctica los controles establecidos en ISO 27002, así como los requisitos de otras normas de Seguridad de la Información como PMG SSI de los Servicios Públicos de Chile, entre otros.
¿Desea saber más?
Entradas relacionadas
En el mundo empresarial actual, donde la integridad y la transparencia son esenciales para construir confianza, las organizaciones…
La gestión de investigaciones internas en las empresas es clave para proteger la integridad empresarial, prevenir los riesgos y fortalecer la...
La ISO 19011 es una norma internacional fundamental que establece directrices para la auditoría de sistemas de gestión. Esta norma...