norma ISO 27005

Cómo implantar eficazmente la norma ISO 27005

Inicio / Cómo implantar eficazmente la norma ISO 27005
1/5 - (1 voto)

La gestión de la seguridad de la información

La norma ISO 27005 es el estándar internacional que se ocupa de la gestión de los riesgos relativos a la seguridad de información. La norma suministra las directrices para la gestión de riesgos, apoyándose fundamentalmente en los requisitos sobre esta cuestión definidos en la ISO 27001.

Se trata de una norma  aplicable a todo tipo de organizaciones que tengan la intención de gestionar los riesgos que puedan complicar la seguridad de la información de su organización y sustituye a las la normas ISO / IEC TR 13335-3:1998 e ISO / IEC TR 13335-4:2000 de Gestión de la Información y Comunicaciones Tecnología de Seguridad.

El aumento en el uso de tecnologías de la información puede posibilitar brechas o fisuras en aspectos de seguridad con respecto a su utilización, por ello se hace necesaria una gestión de la información desde una perspectiva tecnológica a tres niveles: aseguramiento y control sobre la infraestructura (nivel físico), los sistemas de información (nivel lógico) y las medidas organizacionales (factor humano) desde la perspectiva tecnológica.

Descargue el e-book fundamentos de gestión de Seguridad de la Información

Metodología de aplicación

Esta norma no recomienda una metodología concreta, puesto que dependerá de una serie de factores relativos a cada empresa que se plantee implantarla como por ejemplo: el alcance real del Sistema de Gestión de Seguridad de la Información (SGSI) o el sector comercial de la propia industria.

No obstante, como otras normas ISO y sistemas basados en procesos, un método considerado válido y, por lo tanto, recomendable es utilizar como base el modelo PHVA con la finalidad de establecer un proceso de gestión que se enfoque en la mejora continua siguiendo el siguiente esquema:

Planificar

Se establecen los objetivos, procesos y procedimientos para el proceso de gestión de riesgos tecnológico, con el objeto de conseguir unos resultados acordes con las políticas y objetivos globales de la organización.

Hacer

Corresponde a la implementación y operación de los controles, procesos y procedimientos e incluye la operación e implementación de las políticas definidas.

Verificar

Se trata de evaluar y medir el desempeño de los procesos contra la política y los objetivos de seguridad e informar sobre los resultados.

Actuar 

Consiste en establecer la política para la gestión de riesgos tecnológicos e implementar los cambios requeridos para la mejora de los procesos.

La norma ISO 27001 suministra las directrices para la gestión de riesgos

Click To Tweet

Los cuatro pasos de la implantación

Basándose en el modelo anterior, una forma de implantar con éxito un Sistema de Gestión de Seguridad de la Información consiste en establecer una hoja de ruta basada en cuatro pasos:

1) Establecimiento de plan de comunicación interno y externo

El plan de comunicación se debe realizar a nivel interno (áreas de la organización, empleados, directivos, socios) y externo (clientes, proveedores, entes reguladores), teniendo en cuenta las definiciones sobre la existencia del riesgo, los objetivos de la gestión, el informe de los avances del proceso y todo aquello que se considere necesario. Los medios a usar para comunicar el proceso de gestión dependen de las necesidades y disponibilidad de la organización.

2) Definición del contexto organizacional

El objetivo de esta etapa es conocer a la organización para determinar qué puede afectarla a nivel interno y externo, qué elementos se requieren proteger y, de acuerdo a los recursos actuales, cómo podría darse esa protección hasta establecer un nivel de riesgo aceptable.

3) Valoración de los riesgos tecnológicos

En la etapa de valoración de riesgos se identifican los activos que se quieren proteger y sus debilidades, así como las amenazas a las cuales se encuentran expuestos. En este punto se recomiendan posibles controles de mitigación de los riesgos.

4) Tratamiento de riegos tecnológicos

En la etapa de tratamiento de riesgos se establece e implementan las acciones a llevar a cabo para mitigar los riesgos encontrados y lograr riesgos residuales aceptables por la organización. Dentro de las acciones a tomar encontramos principalmente: reducir, aceptar, eliminar y transferir.

La Plataforma ISOTools facilita la automatización de gestión de la información

La Plataforma Tecnológica ISOTools  posibilita la implementación, automatización y mantenimiento de las actividades de la gestión de riesgos asociados a la seguridad de la información, optimizando los procesos y emprendiendo un camino hacia la excelencia e integración con otras normas como: la norma ISO 31000, la ISO 9001, OHSAS 18001 e ISO 14001. Todo ello de una forma sencilla gracias a la estructura por módulos del sistema.

 

Fundamentos de gestión de Seguridad de la Información

Nueva llamada a la acción

¿Desea saber más?

Entradas relacionadas

ISO 42001
3 consejos para conseguir la certificación en ISO 42001
7 mayo, 2024
La certificación en ISO 42001 es un reconocimiento de gran valor para las empresas que buscan establecer y mejorar...
Ver más
Controles Internos Para Prevenir Sobornos
Implementación de Controles Internos para Prevenir Sobornos
6 mayo, 2024
En un contexto empresarial donde la ética y la transparencia son valores cada vez más apreciados, la implementación...
Ver más
Beneficios Ambientales
5 Beneficios Ambientales de Implementar ISO 14001
26 abril, 2024

La ISO 14001 es una norma internacional de gestión ambiental que establece los requisitos...

Ver más
UNE-EN ISO/IEC 23053:2023
UNE-EN ISO/IEC 23053:2023. Marco para sistemas de inteligencia artificial (IA) que utilizan Machine Learning (ML)
25 abril, 2024

La norma UNE-EN ISO/IEC 23053:2023, titulada "Tecnologías de la información - Marco para sistemas...

Ver más

Volver arriba