ISO 27001
La norma ISO 27001 es una cuestión muy tratada en la seguridad de la información y, al igual que ocurre con otros conceptos hay muchos errores y confusiones en la interpretación de la misma.
La norma ISO 27001 para la seguridad de la información fue aprobada en el año 2005 y ha sufrido una revisión, dando lugar a la última versión, en el año 2013. Fue publicada por la Organización Internacional de Estandarización, y en ella se detallan todos los requisitos necesarios para estructurar, implementar, mantener y mejorar el Sistema de Gestión de la Seguridad de la Información.
La norma ISO 27001 se ha desarrollado teniendo en cuenta todo el proceso de seguridad de la información basado en el ciclo Deming o ciclo PHVA (Planificar-Hacer-Verificar-Actuar), por lo que se creó el Sistema de Gestión de Seguridad de la Información.
En primer lugar vamos a definir lo que se entiende por seguridad de la información, la cual se define como el logro, gestión y mantenimiento de tres características elementales:
- Confidencialidad: La información solo debe de ser vista por aquellas personas que poseen permiso para ello, no puede acceder alguien sin el permiso correspondiente
- Integridad: La información será modificada por las personas que tengan permiso para ello
- Disponibilidad: La información debe estar disponible en el momento en el que los usuarios autorizados deseen tener acceso a ella
Estas tres características forman la palabra “CIA” por las siglas en inglés de confidencialidad, integridad y disponibilidad. Aunque existe un determinado número de personas que mantienen que la seguridad de la información tiene que incluir una cuarta denominada “no repudiación”, que garantiza que un cambio de la información no debe ser negado por la persona que realizó el cambio.
Basándonos en la norma ISO 27001, la idea principal es proteger la CIA de la información estableciendo un Sistema de Gestión de Seguridad de la Información, llevando a cabo un conjunto de procesos, personas y tecnología, en la que se examinen los riesgos de la información y se determinen medidas para eliminarlos o disminuirlos de manera recurrente a través de un ciclo de mejora continua. Así se mantiene el control de los riesgos para conocer en todo momento la postura de seguridad de la empresa.
Es el sistema el que recibe el nombre de Sistema de Gestión de Seguridad de la Información, siendo el punto principal de la norma ya que fundamentalmente nos exige que cada organización cumpla con todos los requisitos de la norma ISO 27001 desarrollando cuatro grandes actividades:
- Estructurar un Sistema de Gestión en Seguridad de la Información
- Implantar y ejecutar el Sistema de Gestión en Seguridad de la Información
- Mantener y mejorar el Sistema de Gestión en Seguridad de la Información
- Monitorear y controlar el Sistema de Gestión en Seguridad de la Información
La norma ISO 27001 nos habla de cómo crear y ejecutar el Sistema de Gestión de Seguridad de la Información. Por ello, antes de finalizar una entrega, es recomendable detenerse un momento para recalcar que una de las características fundamentales de la norma ISO 27001 es analizar, definir y aplicar las medidas necesarias para proteger la seguridad de la información.
La idea de establecer y mantener un Sistema de Gestión de Seguridad de la Información bajo la norma ISO 27001 nos lleva a mejorar constantemente los controles que se desean implementar.
En relación con la certificación de la norma, durante la primera auditoría se puede admitir que no aparezcan muchos de los controles implementados e incluso que la operación de los que ya se encuentren listos no sea del todo buena. Sin embargo, una vez implementado el SGSI se deberán ir desarrollando más y mejores controles según el progreso que se vaya consiguiendo en el ciclo de mejora continua anteriormente mencionado, lo que ocasiona que la revisión de la recertificación sea más exigente con los controles que la propia certificación.
Dado que lo principal es conocer qué es y para qué sirve la norma ISO 27001, podemos concretar o detallar algunas de las actividades que se desarrollan durante la implementación de ISO 27001, como son:
- Definir el alcance del SGSI
- Definir una política de seguridad, una metodología y los criterios para llevar a cabo el análisis y la gestión del riesgo
- Identificar los riesgos y evaluar sus tratamientos
- Elaborar una declaración de aplicabilidad
- Definir las métricas y las indicaciones de la eficiencia
- Desarrollar los programas de formación
- Gestionar los recursos, operaciones e incidencias
- Elaborar los procedimientos y la documentación asociada
Y en cuanto a los beneficios que ofrece la norma ISO 27001 en las organizaciones, podemos encontrar entre ellos algunos como:
- Incremento de la competitividad
- Mejora de la imagen corporativa
- Reducción de costes
- Protección y continuidad del negocio
- Cumplir con la legalidad y reglamento
- Optimizar los recursos e inversión en tecnología
Software ISO 27001
Para garantizar la automatización, gestión y control de un Sistema de Gestión de Seguridad de la Información de manera eficaz, podemos ayudarnos con el Software ISOTools Excellence. Soluciona de forma completa los requisitos de la norma ISO 27001. Además, ofrece al cliente la herramienta imprescindible para obtener una mejora continua en su gestión de procesos, con el consiguiente aumento de sus beneficios a corto plazo.
¿Desea saber más?
Entradas relacionadas
Compliance La ley 30424, ha sido modificada por el D. Leg. 1352, que exige la implantación de un…
Proveedores Hoy en día pocos fabricantes dan la importancia que tiene a auditar sus proveedores sin darse cuenta…
Ley 29783 Durante este artículo hablaremos sobre cómo se puede automatizar los requisitos establecidos en la ley 29783.…
Gestión del rendimiento La gestión del rendimiento es uno de los siete subsistemas que componen el Sistema Administrativo…