Seguridad de la Informacin segn la Norma ISO 27001
Qu es un SGSI segn ISO 27001?
Para garani!ar "ue la seguridad de la informacin es gesionada correcamene# se de$e %acer uso de un &roceso sisem'ico# documenado ( conocido &or oda la organi!acin# desde un enfo"ue de riesgo em&resarial# "ue consiu(e el SGSI )Sisema de Gesin de la Seguridad de la Informacin*+ ,a norma -N./ISO0I.1 27001 ediada en no2iem$re de 2007 es un modelo cerifica$le &ara la &reser2acin de la confidencialidad# inegridad ( dis&oni$ilidad de la informacin# as3 como de los sisemas im&licados en su raamieno# denro de una organi!acin+ Para esa$lecer ( gesionar un Sisema de Gesin de la Seguridad de la Informacin en $ase a ISO 27001# se uili!a el ciclo P415# radicional en los sisemas de gesin de la calidad+ .s inegra$le con los sisemas ISO 6000 e ISO 17000+ ,a ora norma de la serie# ISO0I.1 27002# consise en una serie de recomendaciones consiuidas en un cdigo de &r'cica &ara los SGSI "ue &ueden ser2ir a una organi!acin como &uno de &arida &ara desarrollar la gesin es&ec3fica de la seguridad de sus sisemas de informacin+ ISO 27000 es a&lica$le a cual"uier organi!acin "ue enga el aci2o de la informacin ( &ueda $eneficiarse de una &uesa en &r'cica ( cerificacin de un Sisema de Gesin de Seguridad de la Informacin+ 1u$re odos los as&ecos de inercam$io de informacin# desde daos de ordenador a con2ersaciones en 'reas &$licas# inclu(endo los &er3meros de seguridad ( el ni2el inicial de acceso del &ersonal+ 8alor a9adido &ara su em&resa ,a diferenciacin so$re la com&eencia ( el mercado+ :e;ora del conocimieno de nuesros sisemas de informacin# sus riesgos ( los medios de &roeccin+ Proeccin de la informacin ( cum&limieno legal so$re esa maeria+ :e;ora la confian!a de clienes ( socios al aumenar las garan3as de calidad# confidencialidad ( dis&oni$ilidad+ <educcin de coses )econmicos ( de imagen* 2inculados a incidencies "ue afecen al raamieno de la informacin+ 5cceso a o&orunidades de negocio donde se 2aloren o incluso se e=i;an a los &ro2eedores cerificaciones reconocidas como &or e;em&lo con organismos gu$ernamenales ( clienes de secores es&ec3ficos )$anca# seguros# farmacuicas# salud# aeroes&acial# ec+* 5lgunas liciaciones inernacionales comien!an a soliciar una gesin ISO 27001+ ,os &rofesionales de 5>IS5. le ofrecen sus ser2icios &ara? 4ise9ar# documenar e im&lanar el Sisema de Gesin segn los re"uisios ISO 27001+ Inegrar el Sisema de Gesin de la Informacin con los sisemas -N./.N/ISO 17001 ( -N./.N/ISO 6001# e=isenes o no en la com&a93a+ <eali!ar diagnsicos de siuacin de la em&resa frene a cum&limieno con los re"uisios de ISO 27001 ( con los re"uisios legales+ <eali!ar audior3as inernas+ @ormar a mandos ( ra$a;adores en re"uisios de ISO 27001+ @ormar a audiores inernos de ISO 27001+ 5&o(o en la cerificacin &or erceros+ APO02 GESTIONAR LA SEGURIDAD APO02.01 Entender la direccin de la empresa Comprendiendo las necesidades y expectativas de las partes interesadas La ISO indica que se tiene que comprender las necesidades de las partes interesadas y stas debern tener acceso a la informacin pertinente. APO02.02 Eal!ar el ent"rn" act!al# las capacidades $ el rendimient". Roles orani!acionales" responsabilidades y autoridades La ISO nos indica que cada persona deber tener la capacidad de asinar roles y responsabilidades de acuerdo a su capacidad APO02.0% De&inir las capacidades de TI $ s!s "'(eti"s #cciones para diriir los riesos y oportunidades" $valuacin de riesos de seuridad de informacin #% la ISO nos indica que se deben evaluar los riesos y las oportunidades para uiar el direccionamiento del neocio.