SISTEMA DE GESTIN DE SEGURIDAD DE LA INFORMACIN ISO 27001

Norma ISO/IEC 27001

La ISO 27001 es un Estndar Internacional de Sistemas de Gestin de Seguridad de la Informacin, siendo la norma de referencia en este mbito, que permite a una organizacin evaluar su riesgo e implementar controles apropiados para preservar la confidencialidad, la integridad y la disponibilidad del valor de la informacin. Esta norma desarrolla un modelo para el establecimiento, implementacin, mantenimiento y mejora de un Sistema de Gestin de Seguridad de la Informacin en cualquier tipo de organizacin. El objetivo es la seguridad de la informacin, preservando su confidencialidad, integridad y disponibilidad, as como todo lo relacionado con su tratamiento.

Norma ISO/IEC 27001

Esta norma la pueden usar para: Evaluar la capacidad de una organizacin (requisitos). Aplicacin de un sistema de procesos dentro de la organizacin. Comprender los requisitos de la seguridad de la informacin. Implementar y operar controles en la gestin del riesgo. Administracin del SGSI.

Mejora continua basada en la medicin de objetivos.

Esta norma puede ser aplicada a todas las organizaciones, independientemente de su tipo, tamao y naturaleza.

Norma ISO/IEC 27001

Qu es un SGSI?
ISMS - Information Security Management System. Un sistema de gestin de la seguridad de la informacin (SGSI) es una forma sistemtica de abordar la gestin de la informacin empresarial para protegerla. Atae a las personas, los procesos y los sistemas informticos. Es un proceso documentado y conocido por toda la organizacin para garantizar que la seguridad de la informacin es gestionada correctamente. (ISO 9001). La seguridad de la informacin consiste en preservar: Confidencialidad: acceso nicamente por autorizados. Integridad: exactitud y completitud. Disponibilidad: acceso de los usuarios autorizados cuando lo requieran. Los sistemas implicados en el tratamiento de la informacin. Informacin: escrita, diagramas, electrnica, imgenes o incluso oral.

Norma ISO/IEC 27001

La definicin de procedimientos y controles es uno de los factores fundamentales a la hora de establecer un SGSI, podemos decir que lo s pilares bsicos sobre los que se apoya la norma ISO 27001 son: Establecimiento de una poltica, un alcance y unos objetivos para la seguridad de la informacin. Elaboracin de un anlisis de riesgos proporcionado a la naturaleza y valoracin de los activos y de los riesgos a los qu e los activos estn expuestos. Seleccin de los controles adecuados, de acuerdo co n los objetivos que se pretenden obtener con los mismos, justificando la s eleccin. Seguimiento y revisin de la eficiencia del SGSI. Mejora continua.

FASES PARA IMPLANTAR LA ISO 27001 IMPLANTACIN SGSI

Etapa 1
En esta fase la empresa debe centrarse en el desarrollo e implementacin de un plan efectivo a medio y largo plazo que evite o atene los posibles riesgos para la seguridad de la informacin. En esta fase, se iniciar tambin la formacin e informacin del personal de la empresa, de forma que se garantice la correcta implementacin del SGSI.

Etapa 2
Esta fase la realiza una entidad de certificacin, como es EQA Cuando la empresa considera que su implantacin esta lista para pasar la auditoria, la entidad de certificacin, como es EQA, verifica que la empresa cumple con todos los requisitos de la norma ISO 27001:2007. Un auditor de EQA, experto en el sector de la empresa, revisa el funcionamiento de la empresa. En caso de que el auditor observe diferencias, estas debern ser corregidas por la empresa antes de que la entidad de certificacin pueda emitir el certificado. Los sistemas de gestin, una vez certificados, deben pasar una revisin anual y someterse a una auditoria de renovacin al tercer ao.

BENEFICIOS DE LA NORMA ISO 27001

Una Auditoria de seguridad es una fuente clave de informacin para el conocimiento de seguridad de una empresa Demuestra un compromiso inequvoco de los rganos de direccin de la empresa con el sistema de gestin de la seguridad de la informacin, adems del cumplimiento de los requisitos legales, reglamentarios y contractuales. Mejora de la gestin a nivel corporativo y garanta para las partes interesadas, tales como inversores, clientes, consumidores y proveedores. Mediante un adecuado anlisis de riesgos, se identifican las posibles amenazas contra los activos, se evalan las vulnerabilidades y su posibilidad de ocurrencia y se estiman los posibles impactos, de tal manera que su inversin se destina all donde es necesario. Proporciona la oportunidad de una mejora continua. Supone un mejora en la operatividad de la empresa.