ISO/IEC 27000 es un conjunto de estndares desarrollados -o
en fase de desarrollo- por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestin de la seguridad de la informacin utilizable por cualquier tipo de organizacin, pblica o privada, grande o pequea.
Publicada el 1 de Mayo de 2009. Es una introduccin a los Sistemas de Gestin de Seguridad de la Informacin, una breve descripcin del proceso Plan-Do-Check-Act y trminos y definiciones que se emplean en toda la serie 27000.
Qu es un Sistema de Gestin de Seguridad de la Informacin?
Es un conjunto de polticas, procedimientos y controles que persigue mantener el riesgos de los sistemas de informacin dentro de unos niveles asumibles por la direccin y mejorar la seguridad de la informacin para apoyar los procesos de negocio a travs del ciclo de mejora continua.
Punto 4.1. Requerimientos generales: La organizacin, establecer, implementar, operar, monitorizar, revisar, mantendr y mejorar un SGSI documentado en su contexto para las actividades globales de su negocio y de cara a los riesgos. Para este propsito, el proceso est basado en el modelo PDCA.
Establecer el SGSI Mantener y operar el SGSI Monitorizar y revisar el SGSI Mantener y mejorar el SGSI PLAN DO CHECK ACT Modelo PDCA ISO/IEC 27001
El objetivo fundamental del SGSI es asegurar la:
Confidencialidad: acceso a la informacin por parte nicamente de quienes estn autorizados.
Integridad: mantenimiento de la exactitud y completitud de la informacin y sus mtodos de proceso.
Disponibilidad: acceso a la informacin y los sistemas de tratamiento de la misma por parte de los usuarios autorizados cuando lo requieran. Beneficios:
Establecimiento de una metodologa de gestin de la seguridad clara y estructurada.
Reduccin del riesgo de prdida, robo o corrupcin de informacin.
Los clientes tienen acceso a la informacin a travs medidas de seguridad.
Los riesgos y sus controles son continuamente revisados.
Anlisis de Riesgos. Confianza de clientes y socios estratgicos por la garanta de calidad y confidencialidad comercial.
Las auditoras externas ayudan cclicamente a identificar las debilidades del sistema y las reas a mejorar.
Posibilidad de integrarse con otros sistemas de gestin (ISO 9001, ISO 14001, OHSAS 18001).
Continuidad de las operaciones necesarias de negocio tras incidentes de gravedad.
Conformidad con la legislacin vigente sobre informacin personal, propiedad intelectual y otras.
Imagen de empresa a nivel internacional y elemento diferenciador de la competencia.
Confianza y reglas claras para las personas de la organizacin.
Reduccin de costes y mejora de los procesos y servicio.
Aumento de la motivacin y satisfaccin del personal.
Aumento de la seguridad en base a la gestin de procesos en vez de en la compra sistemtica de productos y tecnologas.
DIFICULTADES:
Hablar de seguridad y gasto es habitualmente hablar de lo mismo.
Colaboracin de una parte importante de las personas de la empresa.
Mantener sus SGSI por no haber localizado con antelacin los recursos necesarios que garanticen estas labores bsicas
Conclusiones finales:
Los SGSI y las buenas prcticas en privacidad habilitan establecer y demostrar relaciones de confianza a las empresas.
La informacin que proporciona regularmente un SGSI sobre los activos de informacin de la empresa permite incorporar fcilmente un proceso de estudio.
Sin lugar a duda, estas prcticas revalorizan las actividades de las empresas que las adoptan pero tambin las de los propios empleados.