Norma ISO 27001
El ambiente donde se generan los riesgos es característico por su dinamismo. Este ofrece continuos cambios debido a las continuas amenazas que en él se desarrollan. Estas adquieren distintas vulnerabilidades y tienen lugar incidentes laborales con gran repercusión para la organización y los empleados. El enfoque está centrado en la idea de que ante este tipo de escenario solo es cuestión de tiempo que lleguemos a ser víctimas de las consecuencias que acompañan a las amenazas. Por esta razón, en el entorno de la seguridad de la información se persigue implementar ISO 27001.
Lo más relevante es estar preparados para poder dar respuesta a cada uno de los incidentes que puedan ocurrir. No deben dejarse de lado las medidas preventivas y proactivas que favorecen la reducción de probabilidad de ocurrencia y/o el impacto que estos pueden tener. Además de las posibles acciones correctivas que se requieren para solucionar los problemas.
CTA 27001 BOTON EBOOK
Los posibles incidentes de seguridad pueden suceder bien por desconocimiento o por negligencia de los empleados. A su vez, pueden producirse de manera accidental o deliberadamente. Por ello, se tiene en cuenta la idea de aplicar distintas perspectivas o puntos de vista que incrementen y mejoren la seguridad de la información. El propósito es lograrlo a través de la alineación de normas.
Cuando hablamos de gestión estamos haciendo referencia a la puesta en marcha de distintas diligencias para lograr un objetivo en la organización. Teniendo esta definición como punto de partida se entiende que el objetivo esencial es la protección de la información fundamental para lograr los distintos objetivos. Debido a esto, para las organizaciones ya se ha convertido en una necesidad implementar ISO 27001.
Pautas para operar con un Sistema de Gestión de Seguridad de la Información
El primero de los elementos que tiene en cuenta la norma son las cláusulas que se encargan de definir las actividades requeridas para el establecimiento, implantación y mejora del Sistema de Gestión de Seguridad de la Información.
El hecho de implementar ISO 27001 no supone obtener un modelo de mejora continua de manera directa. Sin embargo, indirectamente sí que se tienen en cuenta cada una de las fases relativas al Anexo SL. Dicho anexo establece la estructura que deben utilizar el resto de normas ISO.
A través del seguimiento y la aplicación de distintas actividades definidas en las 10 cláusulas que componen la norma, las organizaciones comienzan a dar forma al proyecto sobre cómo gestionar la seguridad de la información. Para que se pueda implementar ISO 27001 con éxito, la organización debe de dar cumplimiento a las cláusulas que van desde la 4 a la 10.
Los requisitos que comprenden estos puntos clave necesario son:
- Entendimiento del contexto de la organización
- Actividades que ponen de manifiesto el liderazgo de la alta dirección
- Planeación
- Soporte que involucra a los recursos necesarios
- Competencias y concienciación de las personas que trabajan en la organización
- Operación del Sistema de Gestión de Seguridad de la Información
- Evaluación del desempeño a través de auditorías internas
- Revisiones de la dirección
- Mejora del sistema de gestión mediante acciones correctivas
Definición de objetivos de control y controles de seguridad
El segundo elemento relativo a la estructura de la norma son aquellos objetivos relativos al control y los distintos controles de seguridad descritos en el Anexo A. Cada uno de estos elementos están agrupados en 14 dominios en la anterior versión de la norma.
Al implementar ISO 27001 es definir un objetivo de control como resultado de la implementación de los controles. Para poder modificar cualquier riesgo, deben de verse afectadas algunas de las dos variables:
- Probabilidad de que ocurra algo
- Impacto que puede generar si llega a ocurrir
Un control no produce en todas las ocasiones los resultados que de él se esperan. Es decir, este control se adecua, es sustituido o se aplican otros controles complementarios. Dichos controles pueden incluirse en:
- Procesos
- Políticas
- Dispositivos
- Prácticas
- Otras acciones que modifican todos los riesgos
En el Anexo A podemos encontrar un listado de hasta 114 controles relativos a la seguridad. Dichos controles se encuentran agrupados en 35 objetivos de control.
Cada uno de los 14 dominios mencionados anteriormente son considerados desde distintas perspectivas con el objetivo de proteger la información. Por ello se incluyen objetivos de control y controles muy concretos para llevar a cabo distintas tareas.
Software ISO 27001
El Software ISOTools Excellence para la norma ISO 27001 en la cual se basa la Seguridad de la Información, se encuentra compuesto por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las organizaciones no pierda ninguna de sus propiedades principales: disponibilidad, integridad y confidencialidad.
CTA 27001 TIRA EBOOK
¿Desea saber más?
Entradas relacionadas
28 diciembre, 2017
IATF 16949:2016 La IATF 16949:2016 es la norma de Sistemas de Gestión de Calidad (SGC) específica para la…
21 diciembre, 2017
Normas ISO La ISO (Organización Internacional para la Estandarización) es una organización no gubernamental independiente y el mayor…
14 diciembre, 2017
ISO 9001 Las empresas que desean automatizar la gestión de la calidad ISO 9001, deben tener en cuenta…
7 diciembre, 2017
OHSAS 18001 En los diferentes negocios se establece que la obtención de la certificación en OHSAS 18001 puede…