seguridad de la información

Cómo preservar la seguridad de la información en una organización

Inicio / Cómo preservar la seguridad de la información en una organización

La importancia de los activos de información

En la actualidad, los activos de información de las empresas, uno de sus valores más importantes, se encuentran en peligros constantes procedentes de focos diversos. La norma ISO 27001 plantea una solución para preservar la seguridad de la información de una organización mediante el desarrollo de un Sistema de Gestión de Seguridad de la Información (SGSI).

Haz click aquí y descárgate la guía gratuita: Los Modelos de Excelencia en Latinoamérica

Puesta en funcionamiento de un SGSI

La norma 27001 establece las siguientes fases para garantizar la seguridad de la información:

  • Análisis del riesgo de los activos de información.
  • Definición de un plan de tratamiento de los riesgos o esquema de mejora.
  • Establecimiento de puntos de control.
  • Determinación del alcance del sistema de gestión.
  • Establecimiento del liderazgo y asignación de competencias y funciones.

Análisis del riesgo

Un SGSI basado en la norma ISO 27001 se fundamenta principalmente en la identificación y análisis de las principales amenazas para, a partir de este punto de partida, poder establecer una evaluación y planificación de dichos riesgos.

Esquema de mejora

En esta fase se tienen que valorar las distintas consecuencias potenciales de cada riesgo para, en base a ello, poder afrontar el riesgo básicamente de tres formas diferentes: eliminarlo, mitigarlo o trasladarlo.

Establecimiento de controles

Los puntos de control constituyen el eje fundamental de la seguridad de la información. La norma ISO 27001 establece en su última versión, la ISO/IEC 27001:2013, hasta 113 puntos de control. Aunque cada empresa, según su criterio, puede añadir más puntos de control si lo considera conveniente.

Los controles establecidos por la norma se dividen (respetando la numeración que se les asigna en el Anexo A de dicha norma) de la siguiente forma:

  • A.10 Administración de las comunicaciones y operaciones. Este grupo de controles tiene como objetivo asegurar la correcta y segura operación de la información, haciendo especial hincapié en documentar todos los procedimientos.
  • A.11 Control de accesos. El control de acceso debe regular que el usuario acceda únicamente a los recursos sobre los cuales tenga derecho y a ningún otro. El control de acceso es una de las actividades más importantes de la arquitectura de seguridad de un SGSI.
  • A.12 Adquisición de sistemas de información, desarrollo y mantenimiento. En este grupo se incluyen diversos tipos de controles como: requerimientos de seguridad de los sistemas de información, procesamiento correcto en aplicaciones, controles criptográficos o seguridad de los sistemas de archivo, seguridad en el desarrollo y soporte de procesos y administración técnica de vulnerabilidades.
  • A.13 Administración de los incidentes de seguridad. Este punto de la norma se subdivide en: reportes de eventos de seguridad de la información y debilidades y administración de incidentes de seguridad de la información y mejoras. En el primer grupo se define el desarrollo de una metodología eficiente, mientras que el segundo es un procedimiento que describe claramente los pasos, acciones, responsabilidades, funciones y medidas concretas en la gestión de incidentes.
  • A.14 Administración de la continuidad de negocio. Este grupo de controles tienen como objetivo contemplar todas las medidas enfocadas a que los sistemas no hagan sufrir interrupciones sobre la actividad que realiza la empresa.
  • A.15 Marco legal y buenas prácticas. Aquí se recoge no solamente el cumplimiento de los requerimientos legales de cada país o sector, sino también el cumplimento de buenas prácticas en materia de política de seguridad y  consideraciones diversas sobre auditorías de sistemas de información.

Alcance de la gestión

La determinación del alcance de la gestión se realiza por líneas de negocio o por macro procesos.

Click To Tweet

Por ejemplo, si una empresa tiene dos líneas de negocio: una de asesoramiento contable y otro fiscal, es posible que decida priorizar la primera actividad, la contabilidad, por considerarla más vulnerable en materia de seguridad.

Liderazgo y asignación de funciones

En esta fase se identifican los «dueños del riesgo», segregando tareas y estableciendo roles y responsabilidades. La norma ISO 27001 otorga un peso cualitativo muy importante a la Alta Dirección de la empresa, exigiéndole la máxima implicación y adoptar un rol de líder de todo el proceso.

La Plataforma ISOTools facilita la automatización de la ISO 27001

La Plataforma Tecnológica ISOTools permite implantar y automatizar fácilmente la norma ISO 27001 y aplicar también los requisitos de otras normas de Seguridad de la Información, como por el ejemplo el PMG SSI de los Servicios Públicos de Chile.

Haz click aquí y descárgate la guía gratuita: Los Modelos de Excelencia en Latinoamérica
Nueva llamada a la acción

¿Desea saber más?

Entradas relacionadas

Esquema Nacional De Seguridad
5 claves para dar cumplimiento al Esquema Nacional de Seguridad
8 mayo, 2024
La seguridad de la información es una prioridad para organizaciones de todos los tamaños y sectores. En este contexto...
Ver más
ISO 42001
3 consejos para conseguir la certificación en ISO 42001
7 mayo, 2024
La certificación en ISO 42001 es un reconocimiento de gran valor para las empresas que buscan establecer y mejorar...
Ver más
Controles Internos Para Prevenir Sobornos
Implementación de Controles Internos para Prevenir Sobornos
6 mayo, 2024
En un contexto empresarial donde la ética y la transparencia son valores cada vez más apreciados, la implementación...
Ver más
Como Tratar Una Queja
¿Como tratar una queja según ISO 9001?
1 mayo, 2024
En cualquier empresa, recibir una queja de un cliente puede ser una oportunidad para mejorar...
Ver más

Volver arriba