Normas ISO


Seguridad de la Información ISO 27001









CONCEPTO


La información tiene una importancia fundamental para el funcionamiento y quizá incluso sea decisiva para la supervivencia de la organización. El hecho de disponer de la certificación según ISO 27001 le ayuda a gestionar y proteger sus valiosos activos de información.

ISO 27001 es la única norma internacional auditable que define los requisitos para un sistema de gestión de la seguridad de la información (SGSI). La norma se ha concebido para garantizar la selección de controles de seguridad adecuados y proporcionales.


Ello ayuda a proteger los activos de información y otorga confianza a cualquiera de las partes interesadas, sobre todo a los clientes. La norma adopta un enfoque por procesos para establecer, implantar, operar, supervisar, revisar, mantener y mejorar un SGSI.

Objetivos de ISO 27001

  • Políticas de Seguridad
  • Organización de Seguridad
  • Gestión de Activos
  • Seguridad de los Recursos Humanos
  • Cumplimiento de Políticas y Normatividad Legal

Para quién es significativo


ISO 27001 es una norma adecuada para cualquier organización, grande o pequeña, de cualquier sector o parte del mundo. La norma es particularmente interesante si la protección de la información es crítica, como en finanzas, sanidad sector público y tecnología de la información (TI).


ISO 27001 también es muy eficaz para organizaciones que gestionan la información por encargo de otros, por ejemplo, empresas de subcontratación de TI. Puede utilizarse para garantizar a los clientes que su información está protegida

VENTAJAS DE IMPLANTAR LA NORMA


  • Reducción del impacto de los riesgos, que en caso de materializarse las amenazas, puedan representar pérdidas (de capital, de facturación, de oportunidades de negocio, por reposición de los daños causados, reclamaciones de clientes, sanciones legales, etc), al aumentar la seguridad efectiva de los sistemas de información, con una mejor planificación y gestión de la seguridad.
  • Garantías de continuidad del negocio basándose en el Plan de Contingencias.
  • Mejora de la imagen de la organización y aumento del valor comercial de la empresa y sus marcas.
  • Incremento de los niveles de confianza de clientes, proveedores, accionistas y socios.
  • Mejora del retorno de las inversiones, al tener mejor criterio según los riesgos residuales aceptados y ahorro de tiempo y dinero al reducir o eliminar actividades o inversiones de escasa o nula aplicabilidad a los niveles de riesgo identificados en el negocio.
  • Cumplimiento de la legislación y normativa vigentes, tales como de Protección de datos de Carácter personal, de Servicios de la Sociedad de la Información o de Propiedad Intelectual.
  • Mejora continua a través de la metodología PDCA (Planificar, Hacer, Verificar y Actuar).

TERMINOLOGÍA DE LA NORMA ISO /IEC 27001



Seguridad de la Información: preservación de la Confidencialidad (asegurar que la información es accesible sólo para aquellos autorizados a tener acceso), Integridad (garantía de la exactitud y completitud de la información y los métodos de su procesamiento) y Disponibilidad (asegurar que los usuarios autorizados tienen acceso, cuando lo requieran, a la información y a sus activos asociados).

Sistema de Gestión de la Seguridad de la Información (SGSI): Sistema de gestión que comprende la política, la estructura organizativa, los procedimientos, los procesos y los recursos necesarios para implantar la gestión de la seguridad de la información.

Activo: Recurso del sistema de información o relacionado con éste, necesario para que la organización funcione correctamente y alcance los objetivos propuestos por su dirección.

Amenaza: Evento que puede desencadenar un incidente en la organización, produciendo daños o pérdidas materiales o inmateriales en sus activos.
Riesgo: Posibilidad de que una amenaza se materialice.

Impacto: Consecuencia sobre un activo al materializarse una amenaza.

Control: Práctica, procedimiento o mecanismo que reduce el nivel de riesgo.

Evaluación del Riesgo: proceso de evaluación de la amenazas, impactos y vulnerabilidades de la información y de los medios de tratamiento de la misma, y de su probable ocurrencia.

Gestión del Riesgo: proceso de identificación, control y minimización o eliminación, a un coste aceptable, de los riesgos que afectan a un sistema de información.

Beneficios de la Norma ISO 27001





  • Establecimiento de una metodología de gestión de la seguridad de la información Clara y bien estructurada.
  • Reducción de riesgos de pérdida, robo o corrupción de la información.
  • Los usuarios tienen acceso a la información de manera segura, lo que se traduce en confianza.
  • Los riesgos y sus respectivos controles son revisados constantemente.
  • Las auditorías externas e internas permiten identificar posibles debilidades del sistema.
  • Continuidad en las operaciones del negocio tras incidentes de gravedad.
  • Garantizar el cumplimiento de las leyes y regulaciones establecidas en materia de gestión de información.
  • Incrementa el nivel de concientización del personal con respecto a los tópicos de seguridad informática.
  • Proporciona confianza y reglas claras al personal de la empresa.












No hay comentarios:

Publicar un comentario

Suscribirse a: Comentarios (Atom)
 

Sample Text

Norma ISO 27001 Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un sistema de gestión de la seguridad de la información (SGSI).
 
Blogger Templates