Cómo implantar eficazmente la norma ISO 27005
contacto
SOFTWARE DE GESTIÓN PARA LA EXCELENCIA EMPRESARIAL Demo Login +34 957 102 000
Blog Calidad y Excelencia

Cómo implantar eficazmente la norma ISO 27005

La gestión de la seguridad de la información

La norma ISO 27005 es el estándar internacional que se ocupa de la gestión de los riesgos relativos a la seguridad de información. La norma suministra las directrices para la gestión de riesgos, apoyándose fundamentalmente en los requisitos sobre esta cuestión definidos en la ISO 27001.

Se trata de una norma  aplicable a todo tipo de organizaciones que tengan la intención de gestionar los riesgos que puedan complicar la seguridad de la información de su organización y sustituye a las la normas ISO / IEC TR 13335-3:1998 e ISO / IEC TR 13335-4:2000 de Gestión de la Información y Comunicaciones Tecnología de Seguridad.

El aumento en el uso de tecnologías de la información puede posibilitar brechas o fisuras en aspectos de seguridad con respecto a su utilización, por ello se hace necesaria una gestión de la información desde una perspectiva tecnológica a tres niveles: aseguramiento y control sobre la infraestructura (nivel físico), los sistemas de información (nivel lógico) y las medidas organizacionales (factor humano) desde la perspectiva tecnológica.

 

Haz click aquí y descárgate la guía gratuita: Los Modelos de Excelencia en  Latinoamérica

Metodología de aplicación

Esta norma no recomienda una metodología concreta, puesto que dependerá de una serie de factores relativos a cada empresa que se plantee implantarla como por ejemplo: el alcance real del Sistema de Gestión de Seguridad de la Información (SGSI) o el sector comercial de la propia industria.

No obstante, como otras normas ISO y sistemas basados en procesos, un método considerado válido y, por lo tanto, recomendable es utilizar como base el modelo PHVA con la finalidad de establecer un proceso de gestión que se enfoque en la mejora continua siguiendo el siguiente esquema:

Planificar

Se establecen los objetivos, procesos y procedimientos para el proceso de gestión de riesgos tecnológico, con el objeto de conseguir unos resultados acordes con las políticas y objetivos globales de la organización.

Hacer

Corresponde a la implementación y operación de los controles, procesos y procedimientos e incluye la operación e implementación de las políticas definidas.

Verificar

Se trata de evaluar y medir el desempeño de los procesos contra la política y los objetivos de seguridad e informar sobre los resultados.

Actuar 

Consiste en establecer la política para la gestión de riesgos tecnológicos e implementar los cambios requeridos para la mejora de los procesos.

Los cuatro pasos de la implantación

Basándose en el modelo anterior, una forma de implantar con éxito un Sistema de Gestión de Seguridad de la Información consiste en establecer una hoja de ruta basada en cuatro pasos:

1) Establecimiento de plan de comunicación interno y externo

El plan de comunicación se debe realizar a nivel interno (áreas de la organización, empleados, directivos, socios) y externo (clientes, proveedores, entes reguladores), teniendo en cuenta las definiciones sobre la existencia del riesgo, los objetivos de la gestión, el informe de los avances del proceso y todo aquello que se considere necesario. Los medios a usar para comunicar el proceso de gestión dependen de las necesidades y disponibilidad de la organización.

2) Definición del contexto organizacional

El objetivo de esta etapa es conocer a la organización para determinar qué puede afectarla a nivel interno y externo, qué elementos se requieren proteger y, de acuerdo a los recursos actuales, cómo podría darse esa protección hasta establecer un nivel de riesgo aceptable.

3) Valoración de los riesgos tecnológicos

En la etapa de valoración de riesgos se identifican los activos que se quieren proteger y sus debilidades, así como las amenazas a las cuales se encuentran expuestos. En este punto se recomiendan posibles controles de mitigación de los riesgos.

4) Tratamiento de riegos tecnológicos

En la etapa de tratamiento de riesgos se establece e implementan las acciones a llevar a cabo para mitigar los riesgos encontrados y lograr riesgos residuales aceptables por la organización. Dentro de las acciones a tomar encontramos principalmente: reducir, aceptar, eliminar y transferir.

 

La Plataforma ISOTools facilita la automatización de gestión de la información

La Plataforma Tecnológica ISOTools  posibilita la implementación, automatización y mantenimiento de las actividades de la gestión de riesgos asociados a la seguridad de la información, optimizando los procesos y emprendiendo un camino hacia la excelencia e intregración con otras normas como: la norma ISO 31000, la ISO 9001, OHSAS 18001 e ISO 14001. Todo ello de una forma sencilla gracias a la estructura por módulos del sistema.

 

Haz click aquí y descárgate la guía gratuita: Los Modelos de Excelencia en  Latinoamérica

1 Star2 Stars3 Stars4 Stars5 Stars (1 votes, average: 5,00 out of 5)
Cargando…

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies
top