Professional Documents
Culture Documents
RIESGOS Y SEGURIDAD
Introduccin
Se tiene una poltica formal y se han adoptado controles adecuados para la proteccin de los activos de la Organizacin? Cunto pagara la competencia por su informacin confidencial? Su base de datos est protegida? Para poder responder a estas preguntas de manera contundente, y poder protegernos de forma ptima hacia todos los ataques en cuanto a seguridad de la informacin, tenemos que tener muy presente en nuestra organizacin norma ISO 27001. La ISO 27001, Sistemas de Gestin de Seguridad de la Informacin es la norma que especifica los requisitos para planificar, implantar, revisar y mejorar...un sistema de gestin de seguridad de la informacin garantizando la confidencialidad, integridad y disponibilidad de la informacin, as como de los sistemas que la procesan. El objetivo principal de la implantacin de un SGSI es el control y mitigacin de los riesgos de seguridad de la informacin a los que se encuentra expuesta la organizacin y que pueden afectar gravemente a la empresa y a su entorno. La norma ISO 27001 adquiere un papel cada vez ms importante en las Organizaciones, debido a la gran dependencia que existe de los sistemas de informacin. La materializacin de las amenazas que afectan a los activos de la Organizacin, pueden ocasionar graves problemas. Este estndar internacional fue publicado como tal por la International Organization for Standardization y por la comisin International Electrotechnical Commission en octubre del ao 2005. Pero la ISO 27001, tal y como la conocemos hoy en da, ha sido resultado de la evolucin de otros estndares relacionados con la seguridad de la informacin. En el pasado ao 2013 se public la nueva versin que ha supuesto algunos cambios en su estructura, evaluacin y tratamiento de los riesgos. La norma ISO 27001 es certificable, teniendo un reconocimiento internacional. Cualquier organizacin que tenga implantado un SGSI puede solicitar una auditora a una entidad certificadora acreditada para obtener la certificacin del sistema segn ISO 27001.
La Norma ISO 27001 y la importancia de la Gestin de la Seguridad de la Informacin. Alcanzar la excelencia en la Seguridad de la Informacin. Un mejor servicio con una menor inversin.
RIESGOS Y SEGURIDAD
La ISO 27001 es perfectamente integrable con otros sistemas de gestin como ISO 9001, ISO 14001 u OHSAS, entre otras. Esta integracin se hace ms sencilla con esta nueva versin ISO 27001:2013, debido a que esta nueva versin de la norma est adaptada a los requisitos del Anexo SL., que es la nueva estructura ISO para cualquier sistema de gestin y que facilita la integracin con cualquier otro sistema de gestin de la organizacin, al tener exactamente la misma estructura.
1979
1995
Normas BS La British Standars Institution publica normas con el prefijo BS con carcter internacional. Estas son el origen de normas actuales como ISO 9001, ISO 14001 u OHSAS 18001.
1998
ISO/IEC 17799:2000 La organizacin Internacional para la Estandarizacin (ISO) tom la norma britnica BS 7799-1 que dio lugar a la llamada ISO 17799, sin experimentar grandes cambios.
2000
BS 7799-2:1999 Revisin de la anterior norma. Estrableca los requisitos para implantar un Sistema de Gestin de Seguridad de la Informacin certificable. En 1999 se revisa.
2002
ISO/IEC 27001:2005 e ISO/IEC 17799:2005 Aparece el estndar ISO 27001 como norma internacional certificable y se revisa la ISO 17799 dando lugar a la ISO 27001:2005.
2005
BS 7799-2:2002 Se public una nueva versin que permiti la acreditacin de empresas por una entidad certificadora de Reino Unido y en otros pases.
2007
ISO 27001: 2007/1M:2009 Se publica un documento adicional de modificaciones llamado ISO 27001:2007/1M:2009.
ISO 17799. Se renombra y pasa a ser la ISO 27002:2005 ISO/IEC 27001:2007. Se publica la nueva versin
2009
2013
La Norma ISO 27001 y la importancia de la Gestin de la Seguridad de la Informacin. Alcanzar la excelencia en la Seguridad de la Informacin. Un mejor servicio con una menor inversin.
RIESGOS Y SEGURIDAD
Con estos pasos previos la empresa est en condiciones de poder afrontar la implantacin de un Sistema de Gestin de Seguridad de la Informacin segn la ISO 27001: Alcance Toda implantacin ha de comenzar con la definicin del alcance del sistema, es decir, el mbito de la organizacin que va a trabajar bajo los requisitos de la norma. Es conveniente revisar el estado inicial de la organizacin en relacin a los puntos de la norma. Con esto se fija el punto de partida y de referencia para medir el progreso que se ir alcanzando con el SGSI. Es importante evaluar, aprobar y distribuir la poltica de seguridad que represente los objetivos y lneas a seguir en materia de seguridad de la informacin. Es indispensable que la Direccin est implicada para que el SGSI tenga xito, sta debe decidir, apoyar, aprobar, dirigir y dotar de recursos a la empresa para llegar al xito del sistema. Se crear una estructura organizativa de la seguridad interna, liderada por un responsable de seguridad, as como un comit de seguridad que tome decisiones de alto nivel relativas al SGSI. Anlisis de Riesgos El siguiente paso es elaborar un inventario de activos. Se han de identificar todos los activos de la entidad susceptibles de ser gestionados en relacin con la seguridad de la informacin. Se recomienda, para facilitar esta tarea, clasificar o categorizar los activos. Se debe calcular la probabilidad de ocurrencia de cada amenaza asociada a cada activo, el impacto que supondra para la Organizacin su materializacin y y definir un nivel de riesgo aceptable por la organizacin. A continuacin se debe pasar al tratamiento de los riesgos no aceptados por la organizacin. De esta etapa resultar un plan de tratamiento de riesgos.
PDCA Cycle
Ciclo PDCA
Revisin por Direccin: Revisin anual del SGSI, se es-
tablecen unos puntos de entrada y salidas a la revisin, los cuales vienen especificados en la propia norma
Auditora Interna: Una vez finalizada la implantacin y
antes de la auditora de certificacin, se hace una auditora interna para revisar la implantacin del sistema
Poltica de Seguridad: Normativa interna en relacin a
la Seguridad de la Informacin
Concienciacin: Todo el personal de la Organizacin
las desviaciones, o incumplimientos, que se detecten en el Sistema, se tienen que llevar a cabo acciones correctivas/preventivas
Indicadores: Se establecen para medir la eficacia de los
controles de seguridad
Responsabilidades de la Direccin: La Direccin de la
Organizacin se tiene que comprometer formalmente a proporcionar todos los recursos necesarios para la implantacin del SGSI
La Norma ISO 27001 y la importancia de la Gestin de la Seguridad de la Informacin. Alcanzar la excelencia en la Seguridad de la Informacin. Un mejor servicio con una menor inversin.
RIESGOS Y SEGURIDAD
Revisin por la direccin y auditora interna La revisin es responsabilidad del comit de seguridad, y se propondrn cambios y mejoras. Mejora continua Mediante el anlisis de las no conformidades detectadas se pretende impedir que stas se vuelvan a producir, mejorando el SGSI ISO 27001. En definitiva, la implantacin de un SGSI basado en ISO 27001, supone el conocimiento, de la organizacin en su conjunto y de los riesgos a los que se encuentra expuesta. De manera que se asuman y se trabaje en su minimizacin y control de manera sistemtica, para mejorar continuamente.
La implantacin de un SGSI basado en ISO 27001, obviamente, supone una dedicacin e inversin de recursos, pero, por contra, aporta grandes beneficios a las empresas que deciden implantarlo. Con la aplicacin de ISO 27001, se obtienen importantes mejoras en la competitividad, al mismo tiempo que se mejora la imagen de su Organizacin. Todos estos beneficios vienen derivados del establecimiento de una operativa basada en la seguridad y la excelencia en el tratamiento de la informacin en la organizacin, que se traducen en un mejor servicio con una menor inversin.
La Norma ISO 27001 y la importancia de la Gestin de la Seguridad de la Informacin. Alcanzar la excelencia en la Seguridad de la Informacin. Un mejor servicio con una menor inversin.
RIESGOS Y SEGURIDAD
Todos estos beneficios vienen derivados del establecimiento de una operativa basada en la seguridad y la excelencia en el tratamiento de la informacin en la organizacin, que se traducen en un mejor servicio con una menor inversin.
La Norma ISO 27001 y la importancia de la Gestin de la Seguridad de la Informacin. Alcanzar la excelencia en la Seguridad de la Informacin. Un mejor servicio con una menor inversin.
RIESGOS Y SEGURIDAD
Conclusiones
La implantacin de un SGSI basado en ISO 27001, supone el conocimiento, de la organizacin en su conjunto, de los riesgos a los que se encuentra expuesta. De manera que se asuman y se trabaje en su minimizacin y control de manera sistemtica, para mejorar continuamente. La ISO 27001 es perfectamente integrable con otros sistemas de gestin como ISO 9001, ISO 14001 u OHSAS, entre otras. Esta integracin se hace ms sencilla con esta nueva versin ISO 27001:2013 Ya est vigente la nueva versin ISO 27001:2013 que sustituye a la anterior ISO 27001:2005. La ISO 27001 permite una operativa basada en la seguridad y la excelencia en el tratamiento de la informacin en la organizacin, que se traducen en un mejor servicio con una menor inversin.
La Norma ISO 27001 y la importancia de la Gestin de la Seguridad de la Informacin. Alcanzar la excelencia en la Seguridad de la Informacin. Un mejor servicio con una menor inversin.