ISO 27001 Es un sistema de gestin que comprende la poltica, estructura organizativa, procedimientos, procesos y recursos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestin de la Seguridad de la Informacin (SGSI); La propuesta de esta norma, no est orientada a despliegues tecnolgicos o de infraestructura, sino a aspectos netamente organizativos, es decir, la frase que podra definir su propsito es Organizar la seguridad de la informacin. Un ISMS se implanta de acuerdo a estndares de seguridad como el ISO 27001 basado en el cdigo de buenas prcticas y objetivos de control ISO 17799, el cual se centra en la preservacin de las caractersticas de confidencialidad, integridad y disponibilidad. Los detalles que conforman el cuerpo de esta norma, se podran agrupar en tres grandes lneas: - ISMS (Information Security Management System) -Valoracin de riegos (Risk Assesment) - Controles
Qu significa el modelo PDCA?
Plan (Establecer el ISMS): Implica, establecer a poltica ISMS, sus objetivos,
procesos, procedimientos relevantes para la administracin de riesgos y mejoras para la seguridad de la informacin, entregando resultados acordes a las polticas y objetivos de toda la organizacin. Do (Implementar y operar el ISMS): Representa la forma en que se debe operar e implementar la poltica, controles, procesos y procedimientos. Check (Monitorizar y revisar el ISMS): Analizar y medir donde sea aplicable, los procesos ejecutados con relacin a la poltica del ISMS, evaluar objetivos, experiencias e informar los resultados a la administracin para su revisin. Act (Mantener y mejorar el ISMS): Realizar las acciones preventivas y correctivas, basados en las auditoras internas y revisiones del ISMS o cualquier otra informacin relevante para permitir la continua mejora del ISMS.
Cules son las ventajas del sistema de Gestin de Seguridad de la
Informacin ISO/IEC 27001?
Identificar los riesgos y establecer controles para gestionarlos o eliminarlos
Flexibilidad para adaptar los controles a todas las reas de su empresa o
solo a algunas seleccionadas
Conseguir que las partes interesadas y los clientes confen en la proteccin
de los datos
Demostrar conformidad y conseguir el estatus de proveedor preferente
(Norma internacional cdigo de prcticas) 2002 Revisin BS 7799-2:2002 2004 UNE 71502 (Norma espaola)
Normas ISO 27001
Fundamentos de la calidad total -
2005 Revisin ISO/IEC
17799:2005 2005 Revisin BS 7799-2:2005
2005 ISO/IEC 27001:2005
(Norma internacional certificable)
Porque poner en funcionamiento el SGSI?
Reconocimiento oficialmente reconocido para la gestin de la seguridad
de la informacin. Protege la informacin. Permite garantizar la eficacia de los esfuerzos desarrollados en materia de gestin de seguridad. Confianza y reputacin corporativa hacia los clientes, empleados, accionistas y proveedores; cuando ellos acceden a la informacin de manera segura. Auditoria y control de riesgos constantemente; que permiten identificar debilidades del sistema. Posibles reducciones en las primas de su seguro, vinculadas a una posible disminucin de incidentes en materia de seguridad. Evitar prdidas, robos, riesgos, corrupcin y descuidos con los activos de la informacin.
A quin puede interesar?
ISO/IEC 27001 es una norma adecuada para cualquier organizacin, grande o pequea, de cualquier sector o parte del mundo. La norma es particularmente interesante si la proteccin de la informacin es crtica, como en finanzas, sanidad sector pblico y tecnologa de la informacin (TI); ISO/IEC 27001 tambin es muy eficaz para organizaciones que gestionan la informacin por encargo de otros.
Qu es un control?
Es lo que me permite garantizar que cada uno de los aspectos que se
valoraron con riesgos queda cubierto y auditable de muchas maneras; lo que es necesario recalcar aqu es que los controles sern seleccionados e implementados de acuerdo a los requerimientos identificados por la valoracin del riesgo y los procesos de tratamiento del riesgo o sea que esta actividad surgir la primera decisin acerca de los controles que se debern abordar.
Las Familias de las normas ISO 27001.
La serie de normas ISO/IEC 27000 son estndares de seguridad publicados por la Organizacin Internacional para la Estandarizacin (ISO) y la Comisin Electrotcnica Internacional (IEC).
ISO/IEC 27000 - es un vocabulario estndar para el SGSI. Introduccin y base
para el resto. ISO/IEC 27001 - es la certificacin que deben obtener las organizaciones. ISO/IEC 27002 - Information technology - Security techniques - Code of practice for information security management. Previamente BS 7799 Parte 1 y la norma ISO/IEC 17799. Es cdigo de buenas prcticas para la gestin de seguridad de la informacin. ISO/IEC 27003 - son directrices para la implementacin de un SGSI. Es el soporte de la norma ISO/IEC 27001. Publicada el 1 de febrero de 2010. No es certificable. ISO/IEC 27004 - son mtricas para la gestin de seguridad de la informacin. ISO/IEC 27005 - trata la gestin de riesgos en seguridad de la informacin. ISO/IEC 27006 - Requisitos para la acreditacin de las organizaciones que proporcionan la certificacin de los sistemas de gestin de la seguridad de la informacin. ISO/IEC 27007 - es una gua para auditar al SGSI. Publicada en noviembre de 2011.
ISO/IEC 27016 - es una norma que se concentra en un anlisis financiero y
econmico de equipos y procedimientos de la seguridad de la informacin. Publicada en febrero de 2014. ISO/IEC 27017 - es una gua de seguridad para Cloud Computing. Publicada en diciembre de 2015. ISO/IEC 27035:2011 - Seguridad de la informacin Tcnicas de Seguridad Gestin de Incidentes de Seguridad. Este standard hace foco en las actividades de: deteccin, reporte y evaluacin de incidentes de seguridad y sus vulnerabilidades. Publicada en agosto de 2011. (1) ISO/IEC 27799:2008 - es una gua para implementar ISO/IEC 27002 en la industria de la salud.