| 25 años generando CONFIANZA
Inicio /
ISO 27001
La abreviación de SGSI corresponde al Sistema de Gestión de Seguridad de la Información ISO 27001. Entendemos como información a todo el conjunto de datos de suma importancia que están organizados y salvaguardados por la organización, independientemente de la forma en la que la entidad guarde o transmita la información, el origen de la misma y la fecha de elaboración.
La Seguridad de la Información basada en la norma ISO27001 se fundamenta en la preservación de su confidencialidad, disponibilidad e integridad, además de todos los sistemas incluidos en su tratamiento, dentro de la organización. Además, podemos contar con los siguientes términos que constituyen la base sobre la que se fundamenta todo el Sistema de Gestión de Seguridad de la Información:
- Confidencialidad: la información no está a disposición ni debe ser revelada a ciertos individuos, entidades o procesos que no se encuentren autorizados.
- Integridad: especificar la exactitud y la complejidad de la información.
- Disponibilidad: el acceso y la utilización de la información y de los sistemas de tratamiento de la misma por parte de los individuos, entidades o procesos que se encuentren autorizados.
Garantizar la seguridad de la información supone gestionarla correctamente, hacer una utilización del proceso sistemático, documentado y conocido por toda la organización desde un enfoque de riesgo empresarial. Este proceso es el que constituye un Sistema de Gestión de Seguridad de la Información basada en la norma ISO-27001.
La información, los procesos y los sistemas que hacen uso del Sistema de Gestión de Seguridad de la Información, son unos activos muy importantes de la empresa. La confidencialidad, integridad y disponibilidad de la información son esenciales para mantener a un alto nivel la rentabilidad, competitividad, conformidad legal e imagen empresarial necesarios para alcanzar los fines marcados por la entidad y asegurar el beneficio económico.
La empresa y sus Sistemas de Gestión de Seguridad de la Información están expuestos continuamente a un elevado número de amenazas. Aprovechándose alguna de estas vulnerabilidades, la empresa puede sufrir violaciones de la información mediante espionaje, fraude, sabotaje o vandalismo.
Algunos ejemplos de estos casos son: los virus informáticos, el “hacking” o los ataques de denegación de servicio, pero también consideramos riesgos el hecho de sufrir incidentes de seguridad de la información causados voluntaria o involuntariamente por parte de la propia organización.
La adaptación dinámica y puntual de las variaciones en las condiciones del entorno, cumplir con la legalidad, la protección de los objetivos de negocio con el que poder asegurar el máximo beneficio o el aprovechamiento de nuevas oportunidades de negocio, son algunos de los aspectos fundamentales del Sistema de Gestión de Seguridad de la Información según la norma ISO 27001 que son de gran ayuda durante la gestión de las empresas.
La seguridad alcanzada mediante los medios técnicos es insuficiente e ilimitada por sí misma. La gestión de la seguridad tiene que contar con la presencia y participación de toda la organización, la alta dirección debe estar al frente del proyecto teniendo en cuenta a los clientes y a los proveedores de bienes y servicios. En el modelo de gestión de la seguridad de la información se deben contemplar unos recursos adecuados y la implementación y la planificación de controles de seguridad basada en una evaluación de riesgos y la medición de la eficiencia de los mismos.
El Sistema de Gestión de Seguridad de la Información basado en la norma ISO 27001 establece todos los procedimientos y las políticas en relación a los objetivos de negocio de la organización con el fin de mantener a la organización en el mínimo nivel de riesgo de exposición.
En este sentido, en el SGSI, la organización conoce todos los riesgos a los que se encuentra sometida su información, las debe asumir e intentar reducir los riesgos manteniendo y controlando la sistemática definida, documentada y conocida por todos los componentes de la empresa. Además, se debe revidar y mejorar continuamente.
Podemos trasladar el modelo de pirámide de cuatro niveles desde el ámbito de la Gestión de la Calidad según la norma ISO 9001, al modelo de Seguridad de la Información basado en la norma ISO 27001 de la siguiente forma:
Nivel 1 “Manual de Seguridad”
Se trata del documento que sugiere y dirige todo el sistema, el que expone y determina todas las interacciones, el alcance, las responsabilidades, las políticas, los objetivos y directrices principales, etc. del Sistema de Gestión de Seguridad de la Información.
Nivel 2 “Procedimientos”
Son documentos a nivel operativo que aseguran que se lleve a cabo eficazmente la planificación, operación y el control de todos los procesos de seguridad de la información.
Nivel 3 “Instrucciones, Checklists y Formularios”
Hablamos de documentos que describen cómo se realizan las tareas y las actividades específicas relacionadas con la seguridad de la información.
Nivel 4 “Registros”
Son los documentos que proporcionan una evidencia objetiva del cumplimiento de los requisitos del Sistema de Gestión de Seguridad de la Información ya que se encuentran relacionados a los documentos de los tres niveles anteriores.
Algunos conceptos básicos que debemos conocer:
- Alcance del SGSI: entorno de la empresa que queda sometido al Sistema de Gestión de Seguridad de la Información en que se incluye la identificación de todas las dependencias, límites y relaciones que existen entre el alcance y aquellas partes que no se hayan tenido en cuenta.
- Política y objetivos de seguridad de la información: hablamos de un documento con el contenido genérico que establece el compromiso de la dirección y el enfoque de la empresa en la gestión de la Seguridad de la Información.
- Procedimientos y mecanismos de control que soportan el SGSI: son procedimientos que regulan el propio funcionamiento del SGSI.
- Enfoque de evaluación de riesgos: se describe la metodología que se va a emplear.
- Informe de evaluación de riesgos: estudio proporcionado de la aplicación de la metodología de evaluación anteriormente mencionada a los activos de información de la empresa.
- Plan de tratamiento de riesgos: se trata del documento en el que se identifican las acciones que tiene que llevar a cabo la dirección, los RRHH, los responsables y las prioridades para gestionar los riesgos.
Sistema de Gestión de Seguridad de la Información
Toda protección es importante, por mínima que sea, pues el mínimo descuido puede ocasionar una violación de los datos de las organizaciones. Por ello, los Sistemas de Gestión de Seguridad de la Información basados en la ISO 27001 son una buena garantía de seguridad. Para saber más sobre sistemas de gestión de riesgos y seguridad puedes visitar: https://www.isotools.us/normas/riesgos-y-seguridad/
¿Desea saber más?
Entradas relacionadas
25 abril, 2024
La norma UNE-EN ISO/IEC 23053:2023, titulada "Tecnologías de la información - Marco para sistemas...
24 abril, 2024
En un mundo donde la información es un activo de gran valor, la seguridad cibernética es una prioridad...
23 abril, 2024
La búsqueda constante de la excelencia operativa es fundamental para el éxito a largo plazo...
22 abril, 2024
Integrar el Pensamiento Estrategico con la Norma ISO 45001 es esencial para que las organizaciones...