Norma ISO 27001

Compartir esta publicacion

Share on facebook
Share on linkedin
Share on twitter
Share on email

Introducción

La noticia trata un poco sobre conceptos de la norma ISO27001 con respecto a la confidencialidad de la información y su seguridad , además siendo una norma de estandarización que se aplica a nivel internacional, esta tiene una serie de reglas a las cuales se deben acoger la mayoría de empresas, para proteger sus sistemas informáticos, datos y mantener la seguridad de sus clientes.

¿ Que es la ISO 27001?

La norma ISO 27001 es una norma que se estableció a nivel internacional por la ISO siglas en ingles ( International Organization for Standarization),el enfoque o especialidad de la ISO es crear normas o estándares para asegurar calidad, seguridad y eficiencia de empresas en cuanto a la prestación productos y servicios que estas ofrezcan[1]. Con respecto a la norma ISO 27001 se especializa en la confidencialidad e integridad de los datos, así como de los sistemas que los procesan [2]

Teniendo en cuenta que la información de las empresas se encuentra en constante riesgo así como sus equipos, ciertas veces esta puede llegar a manos equivocadas suceso que se da la mayoría de las veces a falta de elaboración de un plan de contingencia, análisis de riesgos, el grado de involucración de la Dirección, la poca inversión en seguridad y el grado de implementación de controles frente a este tipo de factores [3].

La ISO 27001 plantea la solución que permite una mejora continua, proponiendo como base el desarrollo de un Sistema de Gestión de Seguridad de la Información (SGSI), que le facilite a la empresa evaluar todo tipo de riesgos y amenazas susceptibles de poner en peligro la información de una organización tanto propia como información que pertenece a terceros[3].

Esta norma como en todas las normas de la organización, es un sistema basado en ciclo de mejora continua, el ciclo consiste en Planificar-Hacer-Verificar-Actuar (PHVA), al enfocarse a las necesidades de SGSI el PHVA se liga a una serie de acciones que pueden mencionar a continuación.

Planificar. Se define políticas de seguridad, también se establece un alcance del SGSI, se hace un análisis de riesgo, selección de controles, definición de competencias, creación de mapas de procesos, y, la definición de autoridades y responsabilidades [3].

Hacer . En esta parte se implanta un plan de gestión de riesgos, se ponen en marcha el SGSI y se ejecutan los controles.

Controlar. Se hace una revisión continua del SGSI,  se realiza auditorias internas del SGSI, poner en marcha los indicadores y métricas, por ultimo se hace una revisión por parte de la dirección[3].

Actuar. Si existe error alguno se adoptan acciones correctivas, y, posterior a esto se adoptan acciones de mejoramiento[3].

Relación de la Norma ISO 27001 y Otras Normas

Se puede observas que la norma ISO 27001 se enfoca mas en la parte de la informática de las empresas, por lo que se encuentra ligada a otras normas de la ISO; ejemplo la ISO 22301 de continuidad del negocio [3] y la ISO/IEC 20000 en cuanto a gestión de servicios TI ( Tecnologías de la Información).

Para el caso de la ISO 22301, la norma trabaja la seguridad de la organización o empresa desde un punto de vista a nivel global, buscando que se garantice la seguridad del negocio, es decir a los activos financieros, contabilidad, aspectos legales entre otros[3].

La relación de la norma 27001 y la ISO/IEC 20000 es con respecto a la gestión de la calidad de servicios TI (Tecnologías de la Información), entre esos servicios se encuentran hosting, páginas web, elearning, desarrollo de software. Todo ello se ve ligado a la continuidad del negocio, conjunto a los servicios de la información con el objetivo de garantizar la seguridad en la prestación del servicio, así como su calidad [3].

Fases del SGSI

Se basan en la norma 27001, estableciéndose de manera jerárquica, como se muestran a continuación.

  1. Análisis y evaluación de riesgos.

2. Implementación de controles.

3. Definición de un plan de tratamiento de los riesgos

4. Alcance de la gestión.

5. Contexto de organización.

6. Partes interesadas

7. Fijación y medición de objetivos

8. Proceso documental.

9. Auditorias internas y externas.

¿Por qué es importante la aplicación de esta norma en la empresa?

Es sumamente importante para una empresa acogerse a este tipo de normas, pues le es mas fácil mantener un orden, hacer un análisis y evaluación de riesgos como de probables amenazas con el objetivo de ver que posibles consecuencias pueden traer dichas amenazas posteriormente poder crear la planificación de riesgos.

Una de tantas amenazas que puede afectar la información es relacionada con recursos humanos, eventos naturales, fallas eléctricas o fallas técnicas. Mencionando algunos ejemplos como: ataques informáticos de origen externo,  infecciones con malware, inundaciones, corte del fluido eléctrico etc.

En ocasiones solo con un error humano, como por ejemplo el uso de collares imantados o pulseras imantadas puede  llegar a causar daños afectando de una forma totalmente irreversible la información o los equipos.

Conclusión

la norma ISO 27001  es una herramienta que facilita la elaboración de un plan de riesgos de forma estructurada la cual será usada por la empresa para conocer sus principales vulnerabilidades de sus activos de información, entonces cabe nombrar una serie de pasos a tener en cuenta en el plan de riesgos haciendo que este funcione de forma correcta y son los siguientes.

  • Identificación de activos que tienen mas valor para la empresa.
  • Asocio de amenazas con dichos activos de gran valor.
  • Determinación de dichas vulnerabilidades que pueden ser aprovechadas por las amenazas.
  • Identificación del impacto que puede suponer una perdida de confidencialidad, integridad y disponibilidad para cada activo en especial[3].  

Fuentes

[1]. https://www.certificadoiso9001.com/que-es-iso/.

[2]. https://www.isotools.org/normas/riesgos-y-seguridad/iso-27001/.

[3]. https://www.isotools.org/pdfs-pro/iso-27001-sistema-gestion-seguridad-informacion.pdf.

Suscríbete a nuestro Newsletter

Reciba actualizaciones y aprenda de los mejores

Más para explorar

Uncategorized

Internet de las cosas (LOT)

En los últimos años se viene haciendo popular el término internet de las cosas ó IoT (Internet of Things) por sus siglas en inglés, se

Estamos para ayudarte

Déjanos tus datos, nuestro equipo se pondrá en contacto para brindarte la mejor solución.