ISO 27001 – Mejor prevenir que curar

el

Esta semana nos toca continuar con la serie ¿ISO que és?. Pero hoy hablaremos de otra norma, la ISO 27001, que hace referencia a los Sistemas de Gestión de la Seguridad de la Información (SGSI).

El concepto que tenemos de “seguridad de la información” debe estar definido por las siguientes palabras:

  • Integridad. No se debe realizar ninguna modificación no tolerada de la información, ni utilizarla de manera inapropiada.
  • Confidencialidad. La información debe estar protegida de personas no autorizadas.
  • Disponibilidad. Los usuarios y las distintas personas permitidas tienen acceso a la información cuando la necesiten.

Esa norma, al igual que la mayoría de las ISO, es complementaria a otros Sistemas de Gestión como pueden ser: el Sistema de Gestión de la Calidad (ISO9001) y Gestión Ambiental (ISO14001), de los que hemos hablado anteriormente.

Y lo importante es, ¿Que tengo que hacer para establecerlo en mi empresa?

A la hora de implementar el estándar ISO 27001 se deberían realizar los siguientes pasos:

Establecer una fase de planificación. En esta fase, la organización debe determinar un plan que evite o disminuya los posibles riesgos que puedan afectar a la seguridad de la información. Además habría que:

  • Determinar el alcance del Sistema de Gestión de Seguridad de la Información.
  • Definir la política a seguir.
  • Identificar los activos que hay que proteger.

Además de todo lo anterior, debemos intentar conocer las vulnerabilidades y amenazas de la información que queremos integrar en el sistema. De esta manera podremos evaluar cuáles son los riesgos a los que están expuestos y establecer las medidas que sean necesarias.

A continuación comenzaría la fase de implementación. Lo más importante en esta fase, es la elaboración de un plan para tratar los riesgos de los que hemos hablado antes. Este documento recoge la manera de actuar frente a cualquier problema, es decir, se establecen los controles de seguridad que debemos llevar a cabo para que la información esté protegida. Además, tenemos que evaluar la eficacia de los mismos.

Si estamos empezando y no sabemos qué controles debemos determinar, ¡no hay problema!. Esta norma añade como anexo la ISO 27002. En el documento se describen los controles que normalmente se establecen en una empresa, por lo que puede ser una guía bastante interesante.

El siguiente paso sería la fase de revisión. Se puede definir como la “puesta en práctica” de toda la teoría, ya que se evalúa si las medidas y procedimientos establecidos en las anteriores etapas funcionan adecuadamente. Para ello se realizan mediciones, auditorías internas que valoren la eficacia de las actividades que se realicen, se actualizan los planes de seguridad, se recoge cualquier tipo de incidente que haya podido ocurrir, etc.

Para finalizar el proceso de implementación de esta norma, se debe establecer una fase de mejora continua en la que la empresa vaya optimizando y perfeccionando su sistema de gestión.

Todas las normas ISO se identifican por mejorar constantemente la eficacia del sistema, esta no iba a ser menos ¿no?.

Y con todo este lío ¿qué ventajas obtengo yo?

En primer lugar, cumples con la legislación vigente. Esto es bastante importante, ya que, aunque la era digital tenga sus beneficios, también tiene sus inconvenientes. Así que…mejor prevenir que curar.

Además, puedes garantizar a tus clientes que su información está a buena recaudo, lo que proporciona un valor añadido a tu empresa. Esto hace que los incidentes sean menores y, por lo tanto, menor gasto y mayor optimización de los recursos de los que dispone la empresa.

¡Si tenéis alguna duda más sobre esta norma o queréis más información no dudéis en preguntarnos!

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s