Saltear al contenido principal
ISO-27001

ISO 27001: Estructura y pasos fundamentales para la adaptación a la norma

ISO-27001

Norma ISO 27001

En este post veremos un  breve resumen acerca del contenido de la norma ISO 27001, la cual es utilizada para implementar en una entidad el Sistema de Gestión de Seguridad de la Información.

La norma ISO-27001 se encuentra estructurada de:

  • Introducción: donde se exponen la totalidad de generalidades y se hace una pequeña introducción al método PHVA.
  • Objetivo y campo de aplicación: se especifica el objetivo, el campo de aplicación y el tratamiento que se le deben dar a las exclusiones.
  • Normas para su consulta: se exponen otras normas que sean de relevante interés y sirvan de referencia.
  • Términos y definiciones: se detallan brevemente todos los términos utilizados a lo largo del desarrollo de la norma, posibilitando así la comprensión de ésta.
  • Sistema de Gestión de Seguridad de la Información: a lo largo de este apartado se explica cómo se tiene que crear, operar, implementar, revisar, supervisar, mantener y mejorar el SGSI. Se exponen los requisitos de documentación y cómo controlar dicha documentación.
  • Responsabilidad de la alta dirección: la alta dirección tiene que conocer el compromiso que tiene que contraer con el SGSI, cómo gestionarlo y los recursos necesarios para que se pueda llevar a cabo de una manera satisfactoria.
  • Auditorías internas del SGSI: te explica cómo se tienen que desarrollar las auditorías internas de control y seguimiento del sistema de gestión.
  • Revisión del SGSI por parte de la dirección: se tiene que conocer el periodo de tiempo en el cual se debe llevar a cabo una revisión de todo el Sistema de Gestión de Seguridad de la Informaciónpor parte de la gerencia de la entidad.
  • Mejora del Sistema de Gestión de Seguridad de la Información: el objetivo principal del sistema de gestión es la mejora continua y la toma de acciones tanto preventivas como correctivas.
  • Objetivos de control: es un anexo normativo en el que se detallan todos los objetivos de control que vienen detallados en la norma ISO 27002.
  • Relación con los principios de la OCDE: es un anexo informativo que guarda la correspondencia entre algunos apartados de la norma ISO27001 y los principios de la OCDE.
  • Correspondencia con otras normas: es un anexo informativo que cuenta con una tabla de correspondencias entre las normas ISO14001 e ISO9001.
  • Bibliografía: son las normas y las publicaciones de referencias.

 

Implantar un SGSI fundamentado en la norma ISO-27001 produce a la organización unos beneficios que nombramos a continuación:

  • Incrementa la motivación y satisfacción del personal.
  • Aumenta la imagen de empresa a nivel internacional, por lo que genera un elemento diferenciador de la competencia.
  • Da la posibilidad de continuar con las operaciones necesarias de negocio justo después de incidente grave.
  • Aumenta la seguridad en base a la gestión de procesos.
  • Minimiza el riesgo de pérdida, robo o corrupción de la información importante de la organización.
  • Determina una metodología de gestión de la seguridad clara y concisa.
  • Se incrementa la confianza de los clientes y de los socios estratégicos, ya que se incrementa la garantía de calidad y confidencialidad.
  • Los riesgos a los que se encuentran sometidos son continuamente revisados y se realizan controles periódicamente.
  • Los clientes tienen acceso a la información mediante medidas de seguridad.
  • Se incrementa la posibilidad de integrarse con otros Sistemas de Gestión como puede ser ISO 9001, ISO 14001, OHSAS 18001, etc.
  • Realizar las auditorías externas ayudan cíclicamente a identificar todas las debilidades que vaya presentando el SGSI y las áreas a mejorar.
  • Cumplir con la legislación vigente sobre información personal, propiedad intelectual y otras.
  • Se reducen los costos y la mejora en los procesos y los servicios ofrecidos por la empresa.

Para adaptarse al Sistema de Gestión de Seguridad de la Información hay que seguir una serie de pasos fundamentales:

Arranque del proyecto

A lo largo del arranque del proyecto es muy importante que la dirección adquiera un compromiso relevante con este proyecto, por lo que representa a un apoyo claro y decidido. La dirección de la entidad es la que tiene que impulsar el cambio de cultura y concienciar a todos sus empleados sobre los beneficios que traerá el proyecto.

Proyecto

Planificación

Hay que definir el alcance del Sistema de Gestión de Seguridad de la Información en base a las características del negocio, de la entidad, la localización, los activos y tecnología utilizada. Se tiene que definir adecuadamente el alcance y los límites del SGSI. Se tiene que elaborar una política de seguridad en la que se añada el marco general de la entidad y los objetivos de seguridad de la información que persigue la organización. La política de seguridad se puede tomar como una “declaración de intenciones” de la dirección de la empresa.

Se tiene que definir el enfoque de evaluación de riesgos, realizar un inventario de activos de seguridad, identificar las amenazas y vulnerabilidades, identificar los impactos, seleccionar controles y confeccionar una Declaración de Aplicabilidad y analizar y evaluar los riesgos.

Planificar

Implementación

Implementar

Se tiene que definir un plan de tratamiento de riesgos en el que se indiquen todas las acciones, recursos y responsabilidades. Implantar un plan de tratamiento de riesgos para lograr todos los objetivos de control identificados. Implantar controles, formar y concienciar a los trabajadores, desarrollar el marco normativo necesario, gestionar las operaciones del SGSI y todos los recursos para, implantar procedimientos y controles de detección y respuesta a incidentes de seguridad.

Seguimiento

Seguimiento

Se tiene que ejecutar la totalidad de procedimientos y controles necesarios para llevar a cabo la monitorización y la revisión de los errores en los resultados de procesamiento. Controlar con regularidad la eficacia del SGSI según la norma ISO 27001. Medir la eficacia de los controles y revisar cada cierto periodo de tiempo la evaluación de riesgos.

Mejora continua

Se lleva a cabo la implantación de mejoras continuamente, se utilizan las acciones correctivas y preventivas para corregir y prevenir las no conformidades. Se comunican las acciones de mejora a toda la entidad y se tienen que garantizar que todas las mejoras logren los objetivos pretendidos.

Mejora continua

¿Desea saber más?

Entradas relacionadas

Volver arriba