ISO 27001: Gestión de Seguridad de la Información mediante el modelo de pirámide
contacto
SOFTWARE DE GESTIÓN PARA LA EXCELENCIA EMPRESARIAL Demo Login +34 957 102 000
Blog Calidad y Excelencia

ISO 27001: Gestión de Seguridad de la Información mediante el modelo de pirámide

ISO-27001

ISO 27001

La abreviación de SGSI corresponde al Sistema de Gestión de Seguridad de la Información ISO 27001. Entendemos como información a todo el conjunto de datos de suma importancia que están organizados y salvaguardados por la organización, independientemente de la forma en la que la entidad guarde o transmita la información, el origen de la misma y la fecha de elaboración.

La Seguridad de la Información basada en la norma ISO27001 se fundamenta en la preservación de su confidencialidad, disponibilidad e integridad, además de todos los sistemas incluidos en su tratamiento, dentro de la organización. Además, podemos contar con los siguientes términos que constituyen la base sobre la que se fundamenta todo el Sistema de Gestión de Seguridad de la Información:

  • Confidencialidad: la información no está a disposición ni debe ser revelada a ciertos individuos, entidades o procesos que no se encuentren autorizados.
  • Integridad: especificar la exactitud y la complejidad de la información.
  • Disponibilidad: el acceso y la utilización de la información y de los sistemas de tratamiento de la misma por parte de los individuos,  entidades o procesos que se encuentren autorizados.

 

cta BTN 27

Descarga gratis e-book: La norma ISO 27001

Garantizar la seguridad de la información supone gestionarla correctamente, hacer una utilización del proceso sistemático, documentado y conocido por toda la organización desde un enfoque de riesgo empresarial. Este proceso es el que constituye un Sistema de Gestión de Seguridad de la Información basada en la norma ISO-27001.

La información, los procesos y los sistemas que hacen uso del Sistema de Gestión de Seguridad de la Información, son unos activos muy importantes de la empresa. La confidencialidad, integridad y disponibilidad de la información son esenciales para mantener a un alto nivel la rentabilidad, competitividad, conformidad legal e imagen empresarial necesarios para alcanzar los fines marcados por la entidad y asegurar el beneficio económico.

La empresa y sus Sistemas de Gestión de Seguridad de la Información están expuestos continuamente a un elevado número de amenazas. Aprovechándose alguna de estas vulnerabilidades, la empresa puede sufrir violaciones de la información mediante espionaje, fraude, sabotaje o vandalismo.

Algunos ejemplos de estos casos son: los virus informáticos, el “hacking” o los ataques de denegación de servicio, pero también consideramos riesgos el hecho de sufrir incidentes de seguridad de la información causados voluntaria o involuntariamente por parte de la propia organización.

La adaptación dinámica y puntual de las variaciones en las condiciones del entorno, cumplir con la legalidad, la protección de los objetivos de negocio con el que poder asegurar el máximo beneficio o el aprovechamiento de nuevas oportunidades de negocio,  son algunos de los aspectos fundamentales del Sistema de Gestión de Seguridad de la Información según la norma ISO 27001 que son de gran ayuda durante la gestión de las empresas.

La seguridad alcanzada mediante los medios técnicos es insuficiente e ilimitada por sí misma. La gestión de la seguridad tiene que contar con la presencia y participación de toda la organización, la alta dirección debe estar al frente del proyecto teniendo en cuenta a los clientes y a los proveedores de bienes y servicios. En el modelo de gestión de la seguridad de la información se deben contemplar unos recursos adecuados y la implementación y la planificación de controles de seguridad basada en una evaluación de riesgos y la medición de la eficiencia de los mismos.

El Sistema de Gestión de Seguridad de la Información basado en la norma ISO 27001 establece todos los procedimientos y las políticas en relación a los objetivos de negocio de la organización con el fin de mantener a la organización en el mínimo nivel de riesgo de exposición.

En este sentido, en el SGSI, la organización conoce todos los riesgos a los que se encuentra sometida su información, las debe asumir e intentar reducir los riesgos manteniendo y controlando la sistemática definida, documentada y conocida por todos los componentes de la empresa. Además, se debe revidar y mejorar continuamente.

Podemos trasladar el modelo de pirámide de cuatro niveles desde el ámbito de la Gestión de la Calidad según la norma ISO 9001, al modelo de Seguridad de la Información basado en la norma ISO 27001 de la siguiente forma:

Nivel 1 “Manual de Seguridad”

Se trata del documento que sugiere y dirige todo el sistema, el que expone y determina todas las interacciones, el alcance, las responsabilidades, las políticas, los objetivos y directrices principales, etc. del Sistema de Gestión de Seguridad de la Información.

Nivel 2 “Procedimientos”

Son documentos a nivel operativo que aseguran que se lleve a cabo eficazmente la planificación, operación y el control de todos los procesos de seguridad de la información.

Nivel 3 “Instrucciones, Checklists y Formularios”

Hablamos de documentos que describen cómo se realizan las tareas y las actividades específicas relacionadas con la seguridad de la información.

Nivel 4 “Registros”

Son los documentos que proporcionan una evidencia objetiva del cumplimiento de los requisitos del Sistema de Gestión de Seguridad de la Información ya que se encuentran relacionados a los documentos de los tres niveles anteriores.

Algunos conceptos básicos que debemos conocer:

  • Alcance del SGSI: entorno de la empresa que queda sometido al Sistema de Gestión de Seguridad de la Información en que se incluye la identificación de todas las dependencias, límites y relaciones que existen entre el alcance y aquellas partes que no se hayan tenido en cuenta.
  • Política y objetivos de seguridad de la información: hablamos de un documento con el contenido genérico que establece el compromiso de la dirección y el enfoque de la empresa en la gestión de la Seguridad de la Información.
  • Procedimientos y mecanismos de control que soportan el SGSI: son procedimientos que regulan el propio funcionamiento del SGSI.
  • Enfoque de evaluación de riesgos: se describe la metodología que se va a emplear.
  • Informe de evaluación de riesgos: estudio proporcionado de la aplicación de la metodología de evaluación anteriormente mencionada a los activos de información  de la empresa.
  • Plan de tratamiento de riesgos: se trata del documento en el que se identifican las acciones que tiene que llevar a cabo la dirección, los RRHH, los responsables y las prioridades para gestionar los riesgos.

 

Sistema de Gestión de Seguridad de la Información

Toda protección es importante, por mínima que sea, pues el mínimo descuido puede ocasionar una violación de los datos de las organizaciones. Por ello, los Sistemas de Gestión de Seguridad de la Información basados en la ISO 27001 son una buena garantía de seguridad. Para saber más sobre sistemas de gestión de riesgos y seguridad puedes visitar: https://www.isotools.org/normas/riesgos-y-seguridad/

CTA 27

cta 27
1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
Cargando…

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
top