La norma adopta una
aproximación de proceso al establecimiento, a la implementación, a la
operación, el monitoreo, a la revisión, al mantenimiento y a la mejora del
sistema de gestión de seguridad de la información de una organización.
La Organización
Internacional de Estandarización (ISO) estableció la norma ISO 27001, la cual
se emplea para la certificación. Ha reemplazado el estándar BS 7799 y brinda
una norma internacional para sistemas de gestión de seguridad de la
información. Con base en el estándar BS 7799, se la ha reorganizado para
alinearse con otras normas internacionales. Se han incluido algunos nuevos
controles, es decir, el énfasis en las métricas para la seguridad de la información
y la gestión de incidentes.
La norma también se
fundamenta en otras como ISO/IEC 17799:2005, la serie ISO 13335, ISO/IEC TR
18044:2004 y las “Directrices de la OCDE para Sistemas y Redes de Seguridad de
la Información – Hacia una cultura de seguridad” que proporcionan orientación
para la implementación de la seguridad de la información.
En conformidad con otras normas de sistemas de
La norma ISO 27001 está
alineada con otros sistemas de gestión y soporta la implementación y la
operación coherente e integrada con normas de gestión relacionadas. El
resultado es:
· Armonización con
normas de sistemas de gestión como ISO 9001 e ISO 14001.
· Énfasis en la mejora continua
de procesos de su sistema de gestión de seguridad de la información.
· Clarificación de
requisitos de documentación y registros.
· Procesos de
evaluación y gestión de los riesgos involucrados mediante la utilización de un
modelo del proceso PDCA - Planificar, Hacer, Verificar, Actuar (PDCA, por sus
siglas en inglés).
Protegiendo sus activos
La norma plantea un enfoque
completo a la seguridad de la información. Los activos que necesitan protección
van de la información digital, documentos en papel y activos físicos
(computadoras y redes) a conocimientos de los empleados. Las cuestiones que usted
tiene que tratar van del desarrollo de competencias del personal a la
protección técnica contra los fraudes informáticos.
ISO 27001 lo ayudará a proteger su información en términos de:
Confidencialidad, que
asegura la accesibilidad de la información solamente a los que estén
autorizados a tener acceso.
Integridad, que protege la
precisión y la totalidad de la información y los métodos de procesamiento.
Disponibilidad, que asegura
que los usuarios autorizados tengan acceso a la información y activos
relacionados cuando se lo exija.
Cuatro beneficios clave de la implementación de la norma
ISO 27001
1. Cumplimiento
Puede resultar extraño
mencionar este beneficio en primer lugar, pero, generalmente, es el que
demuestra el “rendimiento de la inversión” más rápidamente. Si una organización
debe cumplir con diversas normas sobre protección de datos, privacidad y
control de TI (especialmente si se trata de una organización financiera, de
salud o gubernamental), la norma ISO 27001 puede aportar la metodología que
permita hacerlo de la manera más eficiente.
2. Ventaja de
comercialización
En un mercado cada vez más
competitivo, a veces es muy difícil encontrar algo que lo diferencie ante la
percepción de sus clientes. La norma ISO 27001 puede ser un verdadero punto a
favor, especialmente si usted administra información sensible de sus clientes.
3. Disminución de gastos
Generalmente, se considera a
la seguridad de la información como un costo sin una ganancia financiera
evidente. Sin embargo, hay una ganancia financiera si usted disminuye los
gastos ocasionados por incidentes. Probablemente sí se produzcan en su empresa
interrupciones de servicio o esporádicos filtrados de datos, o tengan empleados
descontentos. O ex empleados descontentos.
La verdad es que aún no
existe una metodología ni tecnología que pueda calcular cuánto dinero se puede
ahorrar si evita ese tipo de incidentes. Pero siempre es oportuno alertar a la
dirección sobre estos casos.
4. Ordenamiento de su
negocio
Probablemente, éste sea el
beneficio más subestimado; pero si su empresa ha tenido un crecimiento continuo
durante los últimos años, es posible que tenga problemas para determinar quién
decide qué cosas, quién es responsable de determinados activos de la
información, quién debe autorizar el acceso a los sistemas de información, etc.
La norma ISO 27001 es
especialmente útil para resolver estas cuestiones: le obligará a definir de
forma muy precisa tanto las responsabilidades como las obligaciones y, de esta
forma, ayudará a reforzar su organización interna.
Para finalizar, la norma ISO
27001 puede aportar muchos beneficios, además de ser sólo otro certificado
colgado en su pared. En la mayoría de los casos, si usted presenta esos
beneficios de forma clara, los directores comenzarán a prestarle atención.
No hay comentarios:
Publicar un comentario