ISO 27001
El entorno en que podemos encontrar riesgos es un ambiente especialmente dinámico. Esto se debe a los continuos cambios y modificaciones de las posibles amenazas. Estas se desarrollan, adquieren vulnerabilidades nuevas y tienen lugar nuevos incidentes de seguridad que pueden tener grandes repercusiones para la empresa y los empleados. Ante este escenario aumenta el uso de la norma ISO 27001.
El objetivo principal es estar preparados para atender cada uno de los incidentes producidos sin olvidarnos de las medidas preventivas y proactivas que favorecen la reducción de la probabilidad de ocurrencia y/o el impacto que pueden provocar. Junto con las acciones correctivas necesarias para solucionar cada uno de los problemas.
CTA 27001 BOTON EBOOK
Cada uno de los incidentes de seguridad pueden presentarse bien por desconocimiento o negligencia de los empleados o de manera accidental. Por ello, se considera la aplicación de distintas perspectivas para aumentar y mejorar la seguridad de la información. De manera que pueda lograrse a través de la alineación de normas y mejores prácticas en la materia.
El concepto “gestionar” puede definirse como la realización de las diligencias necesarias para alcanzar un logro en el negocio.
Con esta definición como punto de partida, se entiende que el objetivo esencial de la gestión es la protección de la información principal para lograr los distintos propósitos de las empresas. Ante esto, en el entorno empresarial, la implementación de la ISO 27001 se ha convertido en una verdadera necesidad.
Pautas para operar con un Sistema de Gestión de Seguridad de la Información
Uno de los primeros elementos base que tiene en cuenta la ISO 27001 son las cláusulas encargadas de definir las actividades necesarias para establecer, implantar y mejorar el Sistema de Gestión de Seguridad de la Información.
La ISO 27001 no es considerada explícitamente un modelo de mejora continua. Sin embargo, sí lo es implícitamente pues se tienen en cuenta cada una de las frases que concuerdan con el Anexo SL. Dicho anexo se corresponde con la estructura utilizada por el resto de normas ISO para dar forma a sus cláusulas.
A través del seguimiento y la aplicación de las distintas actividades que son definidas en las 10 cláusulas, las organizaciones dan forma al proyecto que contribuye a la gestión de la seguridad de la información. Para alinearlo con la ISO 27001, la empresa debe de dar cumplimiento a las cláusulas desde la 4 a la 10.
Los requisitos que componen los distintos puntos clave son los siguientes:
- Comprensión del contexto de la organización
- Actividades que ponen de manifiesto el liderazgo de la alta dirección
- Planeación
- Soporte que involucra recursos humanos, competencias y concienciación de trabajadores
- Operación del Sistema de Gestión de Seguridad de la Información
- Evaluación el desempeño a través de las auditorías internas
- Revisión por parte de la dirección
- Mejora del Sistema de Gestión a través de acciones correctivas
Definición de objetivos de control y controles de seguridad
El segundo elemento que da forma a la estructura de la ISO 27001 son cada uno de los objetivos de control y los controles de seguridad que aparecen descritos en el Anexo A del documento.
La ISO 27001 define el concepto “objetivo de control” como el resultado de la implementación de los controles. Y define “control descrito” como aquella medida que modifica el riesgo. Para llegar a modificar el riesgo se debe afectar alguna de sus dos variables:
- La probabilidad de que algo ocurra.
- El impacto que puede producir si llegase a ocurrir.
Un control no siempre produce los resultados esperados, lo cual se traduce en adecuaciones, sustituciones y aplicaciones de controles complementarios. Estos pueden ser incluidos en los procesos, políticas, dispositivos, prácticas y otras acciones que modifican los riesgos.
El Anexo A establece una lista de 114 controles de seguridad agrupados en 35 objetivos de control. Estos a su vez se encuentran dentro de 14 dominios.
Todos los dominios son considerados desde distintas perspectivas para la protección de la información, por lo que de igual forma se incorporan objetivos de control y controles muy concretos para:
- Mantenimiento, desarrollo y adquisición de sistemas
- Medidas de seguridad para la relación con los proveedores
- Gestión de los incidentes de seguridad
- Continuidad de negocio
- Controles para dar cumplimiento a la ISO 27001
Software ISO 27001
Para asegurar la automatización, gestión y control de un Sistema de Gestión de la Seguridad de la Información de forma eficaz y correcta, podemos ayudarnos con el Software ISOTools Excellence. Soluciona de una forma muy completa cada uno de los requisitos de la norma ISO 27001. Además, ofrece al cliente la herramienta imprescindible para obtener una mejora continua en su gestión de procesos, con el consiguiente incremento de sus beneficios a corto plazo.
CTA 27001 TIRA EBOOK
¿Desea saber más?
Entradas relacionadas
28 diciembre, 2017
IATF 16949:2016 La IATF 16949:2016 es la norma de Sistemas de Gestión de Calidad (SGC) específica para la…
21 diciembre, 2017
Normas ISO La ISO (Organización Internacional para la Estandarización) es una organización no gubernamental independiente y el mayor…
14 diciembre, 2017
ISO 9001 Las empresas que desean automatizar la gestión de la calidad ISO 9001, deben tener en cuenta…
7 diciembre, 2017
OHSAS 18001 En los diferentes negocios se establece que la obtención de la certificación en OHSAS 18001 puede…