¿Cómo implantar un SGSI en una PYME según la ISO 27001?

ISO 27001

ISO 27001 es aplicable a cualquier PYME, sea cual sea el ámbito de su actividad económica, siempre que tenga interés en desarrollar, implantar y certificar un Sistema de Gestión de la Seguridad de la Información (SGSI). Ligada a esta norma, encontramos otra que también puede ser útil para las PYMEs, es ISO 27002 la cual aporta un código de buenas prácticas para la gestión de la seguridad de la información.

A lo largo de un serial de artículos que comenzamos hoy, facilitaremos la comprensión de estas normas, con la perspectiva de que su mejor entendimiento permita una adopción más sencilla y asequible, así como menos costosa para estas PYMEs.

Nuestro objetivo es adaptar las normas mencionadas a las circunstancias y peculiaridades de las PYMEs, identificar sus necesidades y que éstas logren alcanzar la integridad, confidencialidad y disponibilidad de la información pertinente.

Los contenidos que iremos tratando serán relativos a:

• Objetivos, alcance.
• Generalidades del Sistema de Gestión de Seguridad de la Información.
• Metodología para crear una política de seguridad, asignar responsables, crear un comité de seguridad y para establecer el alcance de un SGSI.
• Cómo ejecutar el análisis y gestión de riesgos.
• Implantar y adaptar controles de seguridad de la información (ISO 27002).
• Gestión de incidencias de seguridad de la información.
• Elaborar un plan de  continuidad de negocio.
• Revisar qué normas debe tener en consideración la PYME.
• Gestión de cambios en el sistema.

Podemos comenzar hablando de las razones y beneficios de implantar un SGSI, es decir ¿para qué sirve todo esto?

La información es un activo esencial para el correcto funcionamiento de una organización y su continuidad. Nos encontramos con el problema de que la implantación de controles y procedimientos de seguridad se suele llevar a cabo sin un criterio común establecido, no se considera previamente qué es lo que se debe proteger.

Con el SGSI que propone ISO-27001 conseguiremos minimizar riesgos, garantizar la continuidad del negocio y adaptar la seguridad a los cambios que se están produciendo continuamente en la organización y en su entorno.

Aunque no lleguemos a alcanzar la seguridad total, podemos estar muy cerca de ella mediante la mejora continua. Por esto se suele hablar de riesgo asumible en lugar de seguridad total para evitar gastos innecesarios en impactos potenciales que no están dentro de los riesgos de la empresa.

Con la Plataforma Tecnológica ISOTools una PYME puede simplificar el trabajo de establecer, implementar y mantener un SGSI de ISO27001 mediante la automatización del mismo, comenzando el camino para convertirse en una empresa segura.