Software para Sistemas de Gestión de Seguridad de la Información

ISOTools organiza este jueves 11 de septiembre un webinar sobre SGSI basados en ISO 27001 e ISO 27002, de interés muy especial para los responsables de su gestión en las administraciones públicas, sobre todo de países como Chile y Perú, donde se están aplicando cambios significativos.

Apple acaba de presentar sus nuevos iPhone tras el ‘iPhonegate’; Jennifer Lawrence, Kate Upton, Kirsten Dunst o Ariana Grande aún no han superado que un ‘hacker’ publique sus ‘selfies’ desnudas y otras ‘celebrities’ tiemblan al pensar que alguien pueda violar la intimidad de sus dispositivos y comunicaciones electrónicas. Obama, Merkel, Cameron y otros líderes mundiales temen sin tapujos un gran atentado informático, que podría resultar tan catastrófico como el 11-S de Nueva York (2001). Y trece años después, ISOTools ha organizado para este jueves 11 de septiembre un webinar sobre SGSI basados en ISO 27001 e ISO 27002, de interés muy especial para los responsables de su gestión en administraciones públicas, sobre todo de países como Chile y Perú, donde se están aplicando cambios significativos.

El webinar está dirigido a directores, coordinadores, oficiales de seguridad de la Información, gerentes de riesgos y de TI, responsables de los Sistemas Integrados de Gestión y demás encargados de la gestión de SGSI en todo América Latina. ISOTools abordará temas relativos al diseño e implementación de Sistemas de Gestión de la Seguridad de la Información basados en las normas ISO 27001:2013 e ISO 27002:2013. Este webinar se enmarca en las actividades de capacitación online y eventos presenciales habituales que esta empresa viene desarrollando desde hace varios años.

La ISO 27000

La familia de normas ISO27000 establece las mejores prácticas recomendadas en el ámbito de la seguridad de la información y las recomendaciones y especificaciones para el diseño, implantación, mantenimiento y mejora continua de los sistemas de gestión de seguridad de la información o SGSI. Esta serie de normas internacionales es fruto del trabajo de la International Organization for Standardization (ISO) y la International Electrotechnical Commission (IEC).

La primera norma que surgió de este trabajo conjunto fue la ISO-27001 de 2005 de Sistemas de Gestión de la Seguridad de la Información. Esta norma es certificable y ha sido revisada en 2013.

La norma ISO 27001:2013 establece una serie de requisitos en la gestión de los riesgos como la evaluación de los riesgos a los que está sometida la información que maneja la organización y la aplicación de los controles necesarios para mitigarlos o eliminarlos. Adicionalmente, establece como principios de acción y gestión los de disponibilidad, confidencialidad e integridad de la información con la que trabaja.

Debido a la orientación de la norma ISO 27001 a sistemas de gestión ISO, el ciclo de mejora es una de las bases sobre las que se asientan todos los principios y elementos de la gestión de la seguridad de la información. Es, por lo tanto, un estándar que contempla el modelo de Deming, también conocido como ciclo PDCA.

La norma ISO 27002 aporta un código de buenas prácticas y una guía de controles para el manejo de la seguridad de la información. Esta norma también ha sido revisada en 2013.

Con la aprobación de las nuevas versiones de estas normas, la ISO 27001 se ha adaptado al marco de normalización que establece el Anexo S.L. y ve facilitada su integración con otros sistemas de gestión ISO.

La ISO 27001 ha sido de las primeras normas que se ha ajustado al Anexo S.L. por lo que, las empresas que contaban con la certificación basada en la versión de 2005, están en pleno proceso de adaptación de su SGSI a la edición de 2013. Por otro lado, las organizaciones que están en proceso de certificación lo harán con el nuevo estándar.

Chile y Perú

De este modo, es necesario que los principales implicados y encargados de la gestión del SGSI de una organización, como es el caso de Directores, Coordinadores, Oficiales de Seguridad de la Información, Gerentes de Riesgos, Gerentes de TI, Responsables de los Sistemas Integrados de Gestión, etc. estén al día de los cambios normativos que impactan directamente en sus actividades diarias. Especialmente, es de interés para las personas que ocupen estos puestos en entidades del sector público de países como Chile y Perú.

En el caso de Perú esto se debe a que desde 2012 se hace obligatoria la aplicación de la Norma Técnica Peruana «NTP-ISO/IEC 27001:2008 EDI Tecnología de la Información. Técnicas de seguridad. Sistemas de gestión de seguridad de la Información. Requisitos» en todas las entidades integrantes del Sistema Nacional de Informática.

Para Chile, desde el año 2010 se viene trabajando en los Programas de Mejoramiento de la Gestión (PMG) y específicamente se puso en marcha uno relacionado con SGSI que aplica la norma NCh-ISO 27001:2009. En este programa PMG-SGSI las instituciones públicas chilenas se veían obligadas a identificar las eventuales amenazas y vulnerabilidades que afectan a los activos de información vinculados a sus procesos de negocio y de soporte y a contar con un Plan de Tratamiento de Riesgos para mitigarlas y reducirlas.

Programa

En el webinar propuesto se combinará la adquisición de conocimientos básicos sobre la gestión de la Seguridad de la Información, con las posibilidades de integración con del SGSI basado en ISO 27001 con otros sistemas de gestión a través del Software ISOTools.

El contenido de este webinar gratuito es el siguiente:

• Presentación «La importancia de la Seguridad de la Información». Amaru Aragón. Responsable de oficina ISOTools Perú.
• Aspectos clave sobre el SGSI en la nueva norma ISO 27001:2013. Hernán Seminario. Netsolutions (partner de ISOTools en Perú y expertos en Sistemas de Información y Tecnologías de Información y Comunicaciones).
• Caso práctico modelo ISOTools para la Gestión de la Seguridad de la Información. Amaru Aragón. Responsable de oficina ISOTools Perú.
• Turno de preguntas.