Norma ISO 27001

Una de las etapas de la implementación de un Sistema de Gestión de Seguridad de la Información basando en la norma ISO 27001, es la planificación.

Durante esta etapa, a la organización se le asignan las actividades, los recursos y productos utilizados y que le servirán en las siguientes etapas.

 

Las actividades desarrolladas durante esta etapa pueden ser:

1. Enunciar la Política de Seguridad de la Información a través de una resolución.
2. A través de una resolución se seleccionará al responsable  del Sistema de Gestión de Seguridad de la Información.
3. Formar un Comité  de Seguridad de la Información.
4. Establecer el Plan General de Seguridad de la Información tanto para el presente año como para los siguientes, en este caso se tendrán en cuenta aquellas iniciativas que simplifiquen la implementación de las acciones que reduzcan el riesgo de las hendiduras detectadas.
5. Llevar a cabo un Programa de Trabajo Anual que ayude a la implementación del Plan General de Seguridad de la Información establecido. En dicho programa quedaran incorporados los productos involucrados en el próximo año.
6. Desarrollar indicadores para incrementar la efectividad de los controles implantados para reducir los riesgos detectados.

En esta etapa, habrá que entregar ciertos documentos en función de las etapas acumulativas, esto quiere decir, que tras completar la etapa de planificación será realizará un diagnóstico.

Los documentos entregables son los siguientes:

• Política de Seguridad: este documento asegura que exista una declaración  institucional acentuando la responsabilidad de la dirección con los objetivos del Sistema de Gestión de Seguridad de la Información según la ISO27001.

La política de seguridad contendrá:

–          Definición de seguridad de la información.

–          Medios de difusión de contenidos.

–          Los periodos de revisión.

–          Los periodos de evaluación de cumplimiento.

• Aprobación del Responsable del Servicio: La empresa, a través de acuerdos establecerá los tipos de formatos utilizados para elaborarla política de seguridad de la información. No obstante, esta política contará con unos contenidos mínimos.

Responsable de Seguridad de la Información

Continuando con la política de seguridad de la información, hay que considerar la importancia de la asignación de un responsable que cuente con los conocimientos y capacidades necesarios.

Esta persona responsable de la seguridad de la información, será el encargado del desarrollo de la política de seguridad de la información que se originen en la organización. Asimismo, llevaran el control de la implementación y garantizaran que se aplica correctamente.

Es posible que los activos de la información de la empresa sufran algún tipo de accidente, por ello deben coordinar una respuesta inmediata.

Comité de Seguridad de la Información

Se crea un comité de seguridad de la información y se definen las funciones y responsabilidades concretas.

En este comité contaremos con el responsable de seguridad de la información y los empleados que ocupen el puesto de:

• Responsable de operaciones
• Responsable de RRHH
• Responsable de calidad
• Responsable de riesgos
• Consultor jurídico
• Responsables de departamentos funcionales

Plan General de Seguridad de la Información

El Plan General de Seguridad de la Información está definido por la política de seguridad de la información, la elección del  responsable de la seguridad y por la aprobación del encargado de la seguridad informática.

Es vital, establecer claramente los objetivos a alcanzar, de este modo se implementaran las acciones necesarias para reducir los riesgos detectados durante el diagnóstico.

Este plan se registrará en una plantilla en la que quedarán establecidas las herramientas empleadas y con el que se ha llevado a cabo el inventario de activos de la información y el análisis de riesgos.

Es importante realizar una identificación de los objetivos en el plan de seguridad de la información y siempre deberán estar alineados con los objetivos que se desean alcanzar y que se han establecido en la etapa de análisis de riesgos.

Programa de Trabajo Anual

Existe la necesidad de establecer un Programa de Trabajo Anual en el que quede incorporado las acciones del presente año definidas en el Plan de Seguridad de la Información.

Las actividades, plazos de desarrollo y los responsables quedarán detallados. Del mismo modo, se incluirán las acciones encaminadas a la divulgación, capacitación y concienciación de los empleados que forman parte del Programa de Trabajo Anual.

En dicho programa, es recomendable incluir:

• Verificaciones de carácter interno del SGSI.
• Auditorías de ámbito interno y externo del Sistema de Gestión de Seguridad de la Información.
• Revisiones del cumplimiento de la política de seguridad de la información.

Software para Sistemas de Gestión de Seguridad de la Información

Gracias a las aplicaciones que conforman el Software ISO de ISOTools, la implementación y mantenimiento del Sistema de Gestión de Seguridad de la Información basados en la norma ISO 27001 se logra sin necesidad de invertir un exceso de tiempo y recursos, pudiendo invertir en la mejora continua de dicho sistema.