ISO/IEC 27000:

ISO/IEC 27000 es un conjunto de estndares desarrollados -o

en fase de desarrollo- por ISO (International Organization for
Standardization) e IEC (International Electrotechnical
Commission), que proporcionan un marco de gestin de la
seguridad de la informacin utilizable por cualquier tipo de
organizacin, pblica o privada, grande o pequea.


Publicada el 1 de Mayo de 2009. Es una introduccin a los
Sistemas de Gestin de Seguridad de la Informacin, una
breve descripcin del proceso Plan-Do-Check-Act y trminos y
definiciones que se emplean en toda la serie 27000.


Qu es un Sistema de Gestin de Seguridad de la
Informacin?

Es un conjunto de polticas, procedimientos y controles que
persigue mantener el riesgos de los sistemas de informacin
dentro de unos niveles asumibles por la direccin y mejorar la
seguridad de la informacin para apoyar los procesos de
negocio a travs del ciclo de mejora continua.

Punto 4.1. Requerimientos generales: La organizacin,
establecer, implementar, operar, monitorizar, revisar,
mantendr y mejorar un SGSI documentado en su
contexto
para las actividades globales de su negocio y de cara a los
riesgos. Para este propsito, el proceso est basado en el
modelo PDCA.


Establecer el
SGSI
Mantener y
operar
el SGSI
Monitorizar y
revisar el
SGSI
Mantener y
mejorar el
SGSI
PLAN
DO
CHECK
ACT
Modelo PDCA ISO/IEC
27001

El objetivo fundamental del SGSI es
asegurar la:


Confidencialidad: acceso a la informacin por parte
nicamente de quienes estn autorizados.

Integridad: mantenimiento de la exactitud y
completitud
de la informacin y sus mtodos de proceso.

Disponibilidad: acceso a la informacin y los sistemas
de tratamiento de la misma por parte de los
usuarios autorizados cuando lo requieran.
Beneficios:

Establecimiento de una metodologa de gestin de la
seguridad clara y estructurada.

Reduccin del riesgo de prdida, robo o corrupcin de
informacin.

Los clientes tienen acceso a la informacin a travs medidas
de seguridad.

Los riesgos y sus controles son continuamente revisados.



Anlisis de Riesgos.
Confianza de clientes y socios estratgicos por la garanta
de
calidad y confidencialidad comercial.

Las auditoras externas ayudan cclicamente a identificar
las debilidades del sistema y las reas a mejorar.

Posibilidad de integrarse con otros sistemas de gestin (ISO
9001, ISO 14001, OHSAS 18001).

Continuidad de las operaciones necesarias de negocio tras
incidentes de gravedad.

Conformidad con la legislacin vigente sobre informacin
personal, propiedad intelectual y otras.


Imagen de empresa a nivel internacional y elemento
diferenciador de la competencia.

Confianza y reglas claras para las personas de la
organizacin.

Reduccin de costes y mejora de los procesos y servicio.

Aumento de la motivacin y satisfaccin del personal.

Aumento de la seguridad en base a la gestin de procesos en
vez de en la compra sistemtica de productos y tecnologas.

DIFICULTADES:

Hablar de seguridad y gasto es habitualmente hablar
de lo mismo.

Colaboracin de una parte importante de las personas de
la empresa.

Mantener sus SGSI por no haber localizado con
antelacin los recursos necesarios que garanticen estas
labores bsicas




Conclusiones finales:


Los SGSI y las buenas prcticas en privacidad habilitan
establecer y demostrar relaciones de confianza a las empresas.

La informacin que proporciona regularmente un SGSI sobre
los activos de informacin de la empresa permite incorporar
fcilmente un proceso de estudio.

Sin lugar a duda, estas prcticas revalorizan las actividades de
las empresas que las adoptan pero tambin las de los propios
empleados.