Saltear al contenido principal
ISO-27001

ISO 27001, aspectos clave

ISO-27001

ISO 27001

En seguridad de la información, la norma ISO 27001 tiene un papel fundamental. En este artículo vamos a hablar sobre la norma y diversos conceptos para evitar malas interpretaciones.

La finalidad de este artículo, es que las personas que emplean la ISO 27001 en sus Sistemas de Gestión de Seguridad de la Información aprovechen la información.

En el 2005 la norma ISO 27001, fue aprobada y publicada por primera vez. Tras esto, se revisó y publicó la última versión en el año 2013. En la norma ISO 27001 quedan establecidos los requisitos que hacen falta a la hora del establecimiento, implementación, mantenimiento y mejora del Sistema de Gestión de Seguridad de la Información.

Esta normativa sobre seguridad de la información, está desarrollada teniendo en cuenta el ciclo Deming, también conocido como ciclo PHVA (Planificar, Hacer, Verificar y Actuar).

Comencemos explicando que es la seguridad de la información. De modo tradicional, la seguridad de la información se entiende como el logro, gestión y mantenimiento de la confidencialidad, integridad y disponibilidad de la información.

 

  • Confidencialidad: La información solo puede ser vista por aquellas personas que cuenten con los permisos requeridos, por lo tanto no puede acceder a ella personas no autorizadas.
  • Integridad: La información se mantendrá sin actualizaciones ni cambios a no ser que lo realice el personal autorizado.
  • Disponibilidad: Para aquellos que tengan los permisos, será necesario que la información se encuentre disponible en todo momento.

 

La norma ISO 27001 persigue conservar la confidencialidad, integridad y disponibilidad de la información a través de la implementación de un Sistema de Gestión de Seguridad de la Información, a través de los procesos, personas y la tecnología.

Una parte fundamental es la identificación de los riesgos en el SGSI y el establecimiento de medidas que ayuden a minimizarlos o a eliminarlos totalmente a través de un ciclo de mejora continua.

El Sistema de Gestión de Seguridad de la Información se convierte en el centro de la norma, ya que esta incluye los requisitos que debe cumplir cada organización llevando a cabo los siguientes pasos:

  • Determinar un Sistema de Gestión de Seguridad de la Información.
  • Implementar y poner en marcha el SGSI.
  • Mantener y mejorar el Sistema de Gestión de Seguridad de la Información.
  • Monitorear y evaluar el Sistema de Gestión de Seguridad de la Información.

La norma ISO 27001 indica como establecer y activar el Sistema de Gestión de Seguridad de la Información. Por eso es importante que los responsables que se encarguen de esta implementación comprendan que entre las características más importantes de la norma, se encuentra el análisis, definición y aplicación de medidas para salvaguardar la seguridad de la información.

Las organizaciones buscan implementar y mantener un Sistema de Gestión de la Seguridad de la Información según la ISO 27001 ya que es garantía de mejorar constantemente los controles que hay que implementar.

Normalmente obtener por primera vez la certificación ISO 27001 suele ser más sencillo que recertificarse, y esto ocurre porque durante la primera auditoría es posible que no se hayan implementado un gran número de controles e incluso que el funcionamiento de los que estén, tengan una operatividad con ciertas deficiencias.

Con el paso del tiempo, el SGSI debe evolucionar, por ello se implementarán más controles para así lograr el ciclo de mejora continua, por lo que la recertificación se torna un proceso más complejo que el inicial.

Lo primordial para una organización es saber exactamente qué es y para qué se puede aplicar la ISO 27001:

  • Establecer el alcance del Sistema de Gestión de la Seguridad de la Información.
  • Determinar una política de seguridad de la información.
  • Detectar los riesgos.
  • Definir un método y criterios para analizar y la gestionar el riesgo.
  • Desarrollar una declaración de aplicabilidad.
  • Elaborar de un plan de tratamiento de riesgos.
  • Determinar métricas e indicaciones de la eficiencia.
  • Definir programas de formación.
  • Gestionar recursos y operaciones.
  • Gestionar incidencias.
  • Determinar procedimientos y documentación.

 

La norma ISO 27001 ofrece beneficios a las organizaciones:

  • Aumenta la competitividad.
  • Incrementa la imagen corporativa.
  • Protege y permite la continuidad de negocio.
  • Cumple con las legislaciones y reglamentos.
  • Optimiza recursos e inversión en tecnología.
  • Disminuye los costos asociados.

Software para ISO 27001

ISO 27001 es una norma de carácter internacional, que junto con el resto de normas que conforman su familia, originan los requisitos imprescindibles para implementar un Sistema de Gestión de Seguridad de la Información de un modo rápido y sencillo. Con el Software ISOTools Excellence para ISO 27001, las organizaciones simplifican las tareas asociadas a la implementación de un SGSI.

¿Desea saber más?

Entradas relacionadas

Volver arriba