Documentos de Académico
Documentos de Profesional
Documentos de Cultura
ISO 27000 y Los Sistemas de Informacion
ISO 27000 y Los Sistemas de Informacion
La realidad nos enfrenta a que las empresas luchan diariamente con un enorme
número de riesgos e inseguridad que proviene de una elevada variedad de fuentes
diferentes, entra las que podemos entrar los nuevos negocios y nuevas
herramientas relacionadas con la tecnología de la información y la comunicación,
que los directores generales y los directores informáticos de la organización deben
aplicar.
Los sistemas de gestión sectoriales son herramientas que han sido especialmente
adaptadas a la actividad principal de cada empresa, lo que a su vez brinda la
posibilidad de añadir una certificación específica a la genérica, que encontramos
dentro de los diferentes sistemas de gestión. Por ejemplo ISO 22000 de Sistemas
de Gestión de la Inocuidad de los Alimentos, o la ISO 14000 de Sistemas de
Gestión Ambiental, ISO 9001 Sistemas de Gestión de Calidad, ISO 30001
Sistemas de Gestión de Riesgos, ISO 45000 Sistemas de Gestión de Seguridad y
Salud Laboral, pero en lo que se refiere a la seguridad de la información, las
empresas tienen a su disposición los Sistemas de Gestión de la Seguridad de la
Información, que se implantan bajo los requisitos de la norma ISO 27000.
La ISO 27000 es una norma que define de qué manera se debe implantar un
Sistema de Gestión de la Seguridad de la Información en una empresa u
organización. Su implantación ofrece a la organización o empresa la ventaja de
proteger su información de la forma más fiable posible, persiguiéndose para ello
un total de tres objetivos principales:
Es interesante tener en cuenta que los sistemas de gestión implantados balo los
requisitos de la norma ISO 27000 son totalmente compatibles con otros sistemas
de gestión como son los sistemas de gestión de la calidad, etc.
Los pilares principales de la familia 27000, son las normas 27001 y 27002, la
principal diferencia entre estas dos normas, es que 27001 se basa en una gestión
de la seguridad de forma continua apoyada en la identificación de los riesgos de
forma constante en el tiempo, por otra parte, la norma ISO 27002, es una guía de
buenas prácticas que describe una serie de objetivos de control y gestión que
deberían ser perseguidos por las organizaciones, siendo un conjunto de
estándares internacionales sobre la Seguridad de la Información, la familia ISO
27000 contiene un conjunto de buenas prácticas para el establecimiento,
implementación, mantenimiento y mejora de Sistemas de Gestión de la Seguridad
de la Información:
ISO 27007:es una guía que establece los procedimientos para realizar
auditorías internas o externas con el objetivo d verificar y certificar
implementaciones de la ISO/IEC-27001
ISO 27008: define como se deben evaluar los controles del SGSI con el fin
de revisar la adecuación técnica de los mismos, de forma que sean eficaces
para la mitigación de riesgos.
ISO 27013: establece una guía para la integración de las normas 27001
(SGSI) y 20000 Sistema de Gestión de Servicios (SGS) en aquellas
organizaciones que implementan ambas.
ISO 27019: facilita una guía basada en la norma 27002 para aplicar a las
industrias vinculadas al sector de la energía, de forma que puedan
implantar un SGSI.