Norma ISO 27001: Como garantizar la seguridad de la información

Inicio / Norma ISO 27001: Como garantizar la seguridad de la información

5/5 - (2 votos)

Norma ISO 27001

Cada vez son más las organizaciones que se marcan como objetivo el poder asegurar la seguridad de la información que manejan para el desarrollo de su actividad diaria. Por esta razón ha aumentado la demanda de consultas que hasta día de hoy se ha recibido acerca de la Norma ISO 27001, estándar internacional de Sistemas de Gestión de la Seguridad de la Información (SGSI).

La norma ISO 27001 es la encargada de definir los distintos requisitos necesarios para el establecimiento, la implantación, la correcta operatividad, el monitoreo, la revisión, el mantenimiento y la mejora del Sistema de Gestión de Seguridad de la Información (SGSI) que se implante en cualquier organización.

Es importante que toda organización sea consciente y conozca cada uno de los riesgos a los que se expone en relación al tratamiento de la información que manejan por esta razón. La norma ISO 27001, además de definir cada uno de los requisitos comentados en el apartado anterior también define los controles de seguridad que se deben llevar a cabo en las organizaciones. Estos controles deben ser adaptados a las diferentes necesidades de estas o de los departamentos concretos que forman parte de ellas.

Actualmente, las distintas organizaciones que deciden implantar un Sistema de Gestión de la Seguridad de la Información (SGSI) consiguen tras ese proceso:

Disminuir los posibles riesgos que tenían al tratar la información que poseen
Disminuir los costes derivados de los riesgos detectados
Garantizar la rentabilidad de las inversiones llevadas a cabo en materia de seguridad
Mejorar su posicionamiento
Incrementar su credibilidad en el mercado
Diferenciarse de la competencia

No debemos olvidar que cualquier Sistema de Gestión de Seguridad de la Información es totalmente integrable con Sistemas de Gestión que ya estén implantados en las organizaciones que apuestan por esta herramienta, como lo son los Sistemas de Gestión de la Calidad (ISO 9001), Sistemas de Gestión Medioambiental (ISO 14001), etc.

La gestión de riesgos

Cuando hablamos de la filosofía preventiva de la norma ISO 27001, estamos haciendo referencia a la gestión del riesgo que se utiliza para evitar que tenga lugar cualquier tipo de incidente, puesto que en primer lugar deben conocerse qué tipo de cosas nocivas pueden aparecer durante la evaluación de riesgos. En el momento que se obtenga la relación de los posibles incidentes es el momento a partir del cual se pueden empezar a tratar mediante el Sistema de Gestión de Seguridad de la Información bajo la ISO 27001, puesto que los riesgos se tratan usando diferentes medidas de seguridad de la información. Todo esto es lo que se conoce como gestión de riesgos.

La idea de gestión de riesgos se encuentra en las empresas desde hace infinidad de tiempo, por ello, actualmente los altos cargos de cualquier organización garantizan sus edificios, vehículos, o cualquier otro activo de considerable valor, contra cualquier tipo de amenaza que pudiera afectarles. Además, es muy aconsejable diversificar los productos y los mercados, debido a que al no colocarlos todos juntos el riesgo no va a depender de un único producto o un solo mercado.

Descubre la importancia de la gestión de riesgos con la norma #ISO27001

Click To Tweet

Al contrario que en las grandes compañías, la gestión de riesgos es más informal que en las pequeñas empresas. En las grandes compañías la gestión de riesgos es mucho más formal. Debido a esto se entiende que existe un error por parte de los gerentes de las compañías al llegar a usar el concepto de gestión de riesgos.

Los altos cargos de las compañías no contemplan la seguridad de la información desde la perspectiva de gestión de riesgos. Por lo que si realmente desean tener éxito deberían hablar con todos y cada uno de los trabajadores de la compañía, para así conocer que se requiere para lograr la garantía de la seguridad de la información. Un nuevo método de gran novedad consiste en presentar un proyecto de seguridad, lo cual resulta muy eficaz puesto que en lugar de usar firewalls y sitios de recuperación de desastres, puede empezar a tratar sobre dinero y lenguaje comprensible.

Cuando por fin nos encontramos en el punto donde aparece la cuestión, ¿qué debemos hacer? Es muy aconsejable seguir los siguientes pasos:

Definir el potencial de los beneficios de la compañía que se pueden alcanzar mediante la implantación de la norma ISO 27001
Calcular o realizar una estimación aproximada del beneficio obtenido por los beneficios
Calcular o estimar la inversión total requerida para implementar el Sistema de Gestión de Seguridad de la Información bajo la norma ISO 27001
Presentar el caso a los altos cargos de la compañía

Software ISO 27001

Para garantizar la automatización, gestión y control de un Sistema de Gestión de Seguridad de la Información de manera eficaz, podemos ayudarnos con el Software ISOTools Excellence. Soluciona de forma completa los requisitos de la norma ISO 27001. Además, ofrece al cliente la herramienta imprescindible para obtener una mejora continua en su gestión de procesos, con el consiguiente aumento de sus beneficios a corto plazo.