ISO / IEC 27001: 2013 especifica los requisitos para establecer, implementar, mantener y mejorar continuamente un sistema de gestión de seguridad de la información (SGSI) dentro del contexto de la organización. También incluye requisitos para la evaluación y el tratamiento de los riesgos de seguridad de la información adaptados a las necesidades de la organización. Los requisitos establecidos en ISO / IEC 27001: 2013 son genéricos y están destinados a ser aplicables a todas las organizaciones, independientemente de su tipo, tamaño o naturaleza.
Un SGSI es, en primera instancia, un sistema de gestión, es decir, una herramienta de la que dispone la gerencia para dirigir y controlar un determinado ámbito, en este caso, la seguridad de la información.
En la actualidad, las empresas se enfrentan a muchos riesgos e inseguridades procedentes de focos diversos. Esto quiere decir que los activos de información de las organizaciones, uno de sus valores más importantes, se encuentran ligados o asociados a riesgos y amenazas que explotan una amplia tipología de vulnerabilidades.
ISO 27001 nos ofrece certidumbre a la hora de implementar un Sistema de Gestión de la Seguridad de la Información, que nos permite eliminar al máximo los incidentes de seguridad a través de los diferentes controles que aporta dicho estándar. La norma ISO 27001 es una solución de mejora continua en base a la cual puede desarrollarse un Sistema de Gestión de Seguridad de la Información (SGSI).
Dicho sistema permite evaluar todo tipo de riesgos o amenazas susceptibles de poner en peligro la información de una organización.
El robo, fuga o pérdida de información es una amenaza siempre latente en todas las organizaciones, por lo que el hecho de no contar con los planes adecuados para mitigar la pérdida o filtración de dicha información incrementa la probabilidad de que sucedan.
La norma ISO 27001 es una solución de mejora continua en base a la cual puede desarrollarse un Sistema de Gestión de Seguridad de la Información (SGSI) que permita evaluar todo tipo de riesgos o amenazas susceptibles de poner en peligro la información de una organización tanto propia como datos de terceros.
Por otro lado, también permite establecer los controles y estrategias más adecuadas para eliminar o minimizar dichos peligros. Como ocurre con todas las normas ISO, la 27001 es un sistema basado en enfoque basado en el ciclo de mejora continua o de Deming. Dicho ciclo consiste, como ya sabemos, en Planificar-Hacer-Verificar-Actuar, por lo que se le conoce también como ciclo PDCA (acrónimo de sus siglas en inglés Plan-Do-Check-Act).
Trasladado a las necesidades de un SGSI, el ciclo PDCA planteado por la ISO 27001 se dividiría en los siguientes pasos, cada uno de ellos ligado a una serie de acciones:
Con base en el sistema PDCA, la norma ISO 27001 establece las siguientes fases para elaborar un SGSI.
Análisis y evaluación de riesgos.
Implementación de controles
Definición de un plan de tratamiento de los riesgos o esquema de mejora
Alcance de la gestión
Contexto de organización
Partes interesadas
Fijación y medición de objetivos
Proceso documental
Auditorías internas y externa
El propósito de un Sistema de Gestión de la Seguridad de la Información es, por tanto, garantizar que los riesgos de la seguridad de la información sean conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada, sistemática y estructurada.
La norma ISO 27001 es perfectamente válida como guía o base para la implementación de un SGSI en cualquier empresa u organización, con independencia de su tamaño o sector.
Los requisitos y medidas planteados por la ISO 27001 garantizan la confidencialidad, disponibilidad, confidencialidad y seguridad de la información.
Lograr ventaja competitiva.
Garantizar la gestión de la calidad.
Controlar y reducir los riesgos operativos y comerciales.
Cumplir con la legislación y normativa de cada país y sector.
Poner en marcha procesos de mejora continua.
Si desea obtener la certificación ISO 27001, podemos ayudarlo. En Genosse, somos especialistas en sistemas de gestión de seguridad de la información, por lo que podemos ayudarlo en la evaluación, cumplimiento e implementación del sistema ISO 27001:2013 mediante análisis y capacitación.