La evaluación de riesgos según la nueva ISO 27001

Evaluación de riesgos

La información es un activo fundamental hoy día  para la consecución del éxito empresarial  y el mantenimiento en el mercado  de cualquier organización. Esto se debe a que reduce el nivel de incertidumbre en la toma de decisiones y ayuda a definir con mayor exactitud la política estratégica a seguir de cara al futuro.

Esta norma persigue establecer una guía básica que ayude a las distintas organizaciones, tanto públicas como privadas, a  organizar la seguridad de la información de la que disponen. Ha sido elaborada por los mejores y más reconocidos profesionales del ámbito de la seguridad de la información, así que no es de extrañar que la ISO 27001 se haya convertido en un modelo a seguir en campos como la protección de datos personales, protección de información confidencial o gestión de riesgos operativos en organizaciones financieras.

Al igual que las normas ISO 9001 o  ISO 14001, el sistema de gestión de seguridad de la información consta de cuatro fases cíclicas que se repiten con cada nueva actividad que se introduzca:

• Primera fase: PLANIFICACIÓN.

Las acciones dentro de esta primera fase son fundamentalmente  establecer un programa de acción, fijar los objetivos y decidir que controles de los 133 posibles es el que se va a utilizar.

• Segunda fase: IMPLEMENTACIÓN.

Puesta en marcha de todas las actividades programadas en la fase anterior.

• Tercera fase: REVISIÓN.

Monitoreo del SGSI (sistema de Gestión de la Seguridad de la Información) y comprobación de los resultados obtenidos con los objetivos previamente establecidos.

• Cuarta fase: MANTENIMIENTO Y MEJORA.

Rectificación de desviaciones e incumplimientos detectados en la fase anterior.

Los objetivos que se persiguen con la implantación y mantenimiento de un SGSI y la certificación  ISO 27001 son:

• Garantizar la confidencialidad, integridad y disponibilidad de los datos
• Conocer los riesgos de seguridad de la Organización para poder dirigir mejoras a esos riesgos y así reducirlos.
• Conseguir un equilibrio entre la seguridad física, técnica, procedimental y de personal.
• Establecer una metodología estructurada según los principios de Planificar-Hacer-Controlar-Actuar (PHCA) que se integre con otros sistemas de gestión previos o futuros.

Con la certificación en ISO 27001, las empresas ofrecen mayores garantías de seguridad a sus clientes al llevar a cabo evaluaciones periódicas del sistema, implantar controles internos que cumplan con los requisitos de gestión empresarial y continuidad de la actividad comercial, verifica que los riesgos asociados a la gestión de la información estén perfectamente identificados, evaluados y gestionados y ayuda a mejorar el rendimiento interno de la empresa.

ISOTools es un software para ISO 27001 que facilita la implantación, gestión y mantenimiento de Sistemas de Gestión de Seguridad de la Información conforme a la norma ISO 27001.

ISOTools permite mantener su Sistema de Gestión de la Seguridad de la Información (SGSI) mediante la automatización de los procedimientos y planes que establece el estándar ISO 27001.