Es un conjunto de estándares internacionales sobre la Seguridad de la Información, la familia ISO 27000 contiene un conjunto de buenas prácticas para el establecimiento, implementación, mantenimiento y mejora de Sistemas de Gestión de la Seguridad de la Información.
La creación de normas en cualquier área siempre será de vital importancia pues ayuda a seguir una línea la cual proporciona las herramientas necesarias para que la gestión de recursos sea la más óptima y eficiente y así lograr los objetivos que quien hace uso de estas se ha fijado.
La realidad nos enfrenta a que las empresas luchan diariamente con un enorme número de riesgos e inseguridad que proviene de una elevada variedad de fuentes diferentes, entra las que podemos entrar los nuevos negocios y nuevas herramientas relacionadas con la tecnología de la información y la comunicación, que los directores generales y los directores informáticos de la organización deben aplicar.
Los pilares principales de la familia 27000, son las normas 27001 y 27002, la principal diferencia entre estas dos normas, es que 27001 se basa en una gestión de la seguridad de forma continua apoyada en la identificación de los riesgos de forma constante en el tiempo, por otra parte, la norma ISO 27002, es una guía de buenas prácticas que describe una serie de objetivos de control y gestión que deberían ser perseguidos por las organizaciones.
La información es un activo vital para el éxito y la continuidad en el mercado de cualquier organización, por lo que el aseguramiento de dicha información y de los sistemas que la procesan deben ser un objetivo de primer nivel para la organización.
Para la adecuada gestión de la seguridad de la información, es necesario implantar un sistema que aborde esta tarea de forma metódica, documentada y basada en unos objetivos claros de seguridad y una evaluación de los riesgos a los que está sometida la información de la organización.
Las normativas permiten a las organizaciones presentar y certificar un nivel de calidad ante sus usuarios y el público en general, aun cuando en un principio fueron de interés para las grandes empresas, las normas ISO 27000 están siendo consideradas también por medianas empresas en Latinoamérica, además, sirven para tener una guía de buenas prácticas que pueden ser de utilidad, incluso si la organización no desea o puede certificar la misma.
Una de sus mejores características es que la norma ISO 27001 se puede desarrollar en cualquier tipo de organización y puede ser de igual forma con o sin fines de lucro, pública o privada, pequeña mediana o grande, la gran ventaja es que dicha norma fue escrita por los mejores especialistas en el tema y proporciona un método efectivo para desarrollar la gestión de la seguridad de la información dentro de una organización, de igual manera, permite que una organización o empresa de certificación independiente confirme que la seguridad de la información ha sido implementada en esa organización dándole cumplimiento a la norma ISO 27001.
Beneficios
- Habilita y potencializa el uso de las más actuales herramientas de colaboración y de gestión de la información, protegiendo el valor de la confidencialidad, la integridad y la disponibilidad de la información para el negocio.
- La implementación del sistema de gestión de seguridad de la información se constituye en una herramienta para la comunicación eficaz entre la alta dirección empresarial, los responsables de la gestión y custodia de la información y los clientes y demás interesados.
- Previene y reduce eficazmente el nivel de riesgo, mediante la implantación de los controles adecuados; de este modo, prepara a la organización ante posibles emergencias y garantiza la continuidad del negocio.
- Permite a la dirección monitorear, evaluar, asignar y gestionar los recursos necesarios para la seguridad de la información.
- Incrementa el nivel de conciencia del personal respecto a los tópicos de seguridad de la información.
Funcionamiento
Pues bien, este sistema de gestión se basa en el ciclo PHVA (Planear, Hacer, Verificar, Actuar) con el fin de establecer, implementar, mantener y mejorar el Sistema Gestión de la Seguridad en la Información, así como dar cumplimiento de manera complementaria a las buenas prácticas o controles establecidos en la ISO 27002, pero además existen una serie de indicadores y métricas para medir de forma objetiva la eficacia y eficiencia de los controles, de manera que se configure un sistema activo y totalmente integrado con la organización empresarial y sus objetivos, cabe señalar que cada vez que se incorpora una nueva herramienta o aplicativo informático en la empresa se debe actualizar el plan de riesgos y los controles establecidos, con el fin de ajustar al máximo las medidas de control para detectar, eliminar o mitigar los riesgos y amenazas.
La norma ISO 27001 es un sistema activo, que se encuentra integrado en la organización, orientado a los objetivos empresariales y con una proyección de vistas al futuro, recuerden es muy importante resaltar que cada vez se introduce una nueva herramienta de TIC a la organización se tiene que actualizar el análisis de riesgos para mitigar de forma responsable todos los riesgos y considerar la regla básica del riego, es decir, minimizar los riesgos empleando medidas de control ajustadas y considerando los costos del control.
¿A quiénes les podría interesar?
- Gerentes, Ingenieros, Jefes u otras personas interesadas en desarrollar sus capacidades profesionales en el ámbito de la Gestión de Seguridad de la Información.
- Profesionales responsables de la implementación de Sistemas de Gestión de Seguridad de la Información dentro de sus organizaciones.
- Docentes o instructores interesados en incrementar su conocimiento en Sistemas de Gestión de Seguridad.
Como administrador de Tecnologías de la información o gestor de TI, usted solo no puede ser demasiado cuidadoso cuando se trata de proteger registros personales e información comercial confidencial de su compañía y de la información de los clientes, así como de la destrucción intencional o no intencional y el acceso no autorizado, por ello debemos considerar un Sistema de Gestión de Seguridad de la Información, que en realidad es una sucesión de procesos de gestión que se encuentran alineados con el Gobierno Corporativo de la empresa, creando un marco de selección de controles que abarca las diferentes áreas que tienen que ser revisadas por la entidad.
La implementación de los Sistemas de Gestión hace que se gestione la calidad y la seguridad de los servicios de Tecnologías de la Información y la Comunicación (TIC), con lo que se consigue disminuir los riesgos en torno a la Seguridad de la Información y aumentar la seguridad de las TIC.
Saludos,
Views: 185