Saltear al contenido principal
Implementar ISO 27001

¿Por qué implementar ISO 27001?

Implementar ISO 27001

Norma ISO 27001

El ambiente donde se generan los riesgos es característico por su dinamismo. Este ofrece continuos cambios debido a las continuas amenazas que en él se desarrollan. Estas adquieren distintas vulnerabilidades y tienen lugar incidentes laborales con gran repercusión para la organización y los empleados. El enfoque está centrado en la idea de que ante este tipo de escenario solo es cuestión de tiempo que lleguemos a ser víctimas de las consecuencias que acompañan a las amenazas. Por esta razón, en el entorno de la seguridad de la información se persigue implementar ISO 27001.

Lo más relevante es estar preparados para poder dar respuesta a cada uno de los incidentes que puedan ocurrir. No deben dejarse de lado las medidas preventivas y proactivas que favorecen la reducción de probabilidad de ocurrencia y/o el impacto que estos pueden tener. Además de las posibles acciones correctivas que se requieren para solucionar los problemas.

CTA 27001 BOTON EBOOK

Descarga gratis e-book: La norma ISO 27001

 

Los posibles incidentes de seguridad pueden suceder bien por desconocimiento o por negligencia de los empleados. A su vez, pueden producirse de manera accidental o deliberadamente. Por ello, se tiene en cuenta la idea de aplicar distintas perspectivas o puntos de vista que incrementen y mejoren la seguridad de la información. El propósito es lograrlo a través de la alineación de normas.

Cuando hablamos de gestión estamos haciendo referencia a la puesta en marcha de distintas diligencias para lograr un objetivo en la organización. Teniendo esta definición como punto de partida se entiende que el objetivo esencial es la protección de la información fundamental para lograr los distintos objetivos. Debido a esto, para las organizaciones ya se ha convertido en una necesidad implementar ISO 27001.

 

Pautas para operar con un Sistema de Gestión de Seguridad de la Información

El primero de los elementos que tiene en cuenta la norma son las cláusulas que se encargan de definir las actividades requeridas para el establecimiento, implantación y mejora del Sistema de Gestión de Seguridad de la Información.

El hecho de implementar ISO 27001 no supone obtener un modelo de mejora continua de manera directa. Sin embargo, indirectamente sí que se tienen en cuenta cada una de las fases relativas al Anexo SL. Dicho anexo establece la estructura que deben utilizar el resto de normas ISO.

A través del seguimiento y la aplicación de distintas actividades definidas en las 10 cláusulas que componen la norma, las organizaciones comienzan a dar forma al proyecto sobre cómo gestionar la seguridad de la información. Para que se pueda implementar ISO 27001 con éxito, la organización debe de dar cumplimiento a las cláusulas que van desde la 4 a la 10.

 

Los requisitos que comprenden estos puntos clave necesario son:

  • Entendimiento del contexto de la organización
  • Actividades que ponen de manifiesto el liderazgo de la alta dirección
  • Planeación
  • Soporte que involucra a los recursos necesarios
  • Competencias y concienciación de las personas que trabajan en la organización
  • Operación del Sistema de Gestión de Seguridad de la Información
  • Evaluación del desempeño a través de auditorías internas
  • Revisiones de la dirección
  • Mejora del sistema de gestión mediante acciones correctivas

 

Definición de objetivos de control y controles de seguridad

El segundo elemento relativo a la estructura de la norma son aquellos objetivos relativos al control y los distintos controles de seguridad descritos en el Anexo A. Cada uno de estos elementos están agrupados en 14 dominios en la anterior versión de la norma.

Al implementar ISO 27001 es definir un objetivo de control como resultado de la implementación de los controles. Para poder modificar cualquier riesgo, deben de verse afectadas algunas de las dos variables:

  • Probabilidad de que ocurra algo
  • Impacto que puede generar si llega a ocurrir

Un control no produce en todas las ocasiones los resultados que de él se esperan. Es decir, este control se adecua, es sustituido o se aplican otros controles complementarios. Dichos controles pueden incluirse en:

  • Procesos
  • Políticas
  • Dispositivos
  • Prácticas
  • Otras acciones que modifican todos los riesgos

En el Anexo A podemos encontrar un listado de hasta 114 controles relativos a la seguridad. Dichos controles se encuentran agrupados en 35 objetivos de control.

Cada uno de los 14 dominios mencionados anteriormente son considerados desde distintas perspectivas con el objetivo de proteger la información. Por ello se incluyen objetivos de control y controles muy concretos para llevar a cabo distintas tareas.

 

Software ISO 27001

El Software ISOTools Excellence para la norma ISO 27001 en la cual se basa la Seguridad de la Información, se encuentra compuesto por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las organizaciones no pierda ninguna de sus propiedades principales: disponibilidad, integridad y confidencialidad.

CTA 27001 TIRA EBOOK

E-book gratis la norma ISO 27001

¿Desea saber más?

Entradas relacionadas

Volver arriba