Cómo preservar la seguridad de la información en una organización
contacto
SOFTWARE DE GESTIÓN PARA LA EXCELENCIA EMPRESARIAL Demo Login +34 957 102 000
Blog Calidad y Excelencia

Cómo preservar la seguridad de la información en una organización

La importancia de los activos de información

En la actualidad, los activos de información de las empresas, uno de sus valores más importantes, se encuentran en peligros constantes procedentes de focos diversos. La norma ISO 27001 plantea una solución para preservar la seguridad de la información de una organización mediante el desarrollo de un Sistema de Gestión de Seguridad de la Información (SGSI).

IC-ISO-CTA Boton ebook 27001 Y 22301

Haz click aquí y descárgate la guía gratuita: Los Modelos de Excelencia en  Latinoamérica

Puesta en funcionamiento de un SGSI

La norma 27001 establece las siguientes fases para garantizar la seguridad de la información:

  • Análisis del riesgo de los activos de información.
  • Definición de un plan de tratamiento de los riesgos o esquema de mejora.
  • Establecimiento de puntos de control.
  • Determinación del alcance del sistema de gestión.
  • Establecimiento del liderazgo y asignación de competencias y funciones.

Análisis del riesgo

Un SGSI basado en la norma ISO 27001 se fundamenta principalmente en la identificación y análisis de las principales amenazas para, a partir de este punto de partida, poder establecer una evaluación y planificación de dichos riesgos.

Esquema de mejora

En esta fase se tienen que valorar las distintas consecuencias potenciales de cada riesgo para, en base a ello, poder afrontar el riesgo básicamente de tres formas diferentes: eliminarlo, mitigarlo o trasladarlo.

Establecimiento de controles

Los puntos de control constituyen el eje fundamental de la seguridad de la información. La norma ISO 27001 establece en su última versión, la ISO/IEC 27001:2013, hasta 113 puntos de control. Aunque cada empresa, según su criterio, puede añadir más puntos de control si lo considera conveniente.

Los controles establecidos por la norma se dividen (respetando la numeración que se les asigna en el Anexo A de dicha norma) de la siguiente forma:

  • A.10 Administración de las comunicaciones y operaciones. Este grupo de controles tiene como objetivo asegurar la correcta y segura operación de la información, haciendo especial hincapié en documentar todos los procedimientos.
  • A.11 Control de accesos. El control de acceso debe regular que el usuario acceda únicamente a los recursos sobre los cuales tenga derecho y a ningún otro. El control de acceso es una de las actividades más importantes de la arquitectura de seguridad de un SGSI.
  • A.12 Adquisición de sistemas de información, desarrollo y mantenimiento. En este grupo se incluyen diversos tipos de controles como: requerimientos de seguridad de los sistemas de información, procesamiento correcto en aplicaciones, controles criptográficos o seguridad de los sistemas de archivo, seguridad en el desarrollo y soporte de procesos y administración técnica de vulnerabilidades.
  • A.13 Administración de los incidentes de seguridad. Este punto de la norma se subdivide en: reportes de eventos de seguridad de la información y debilidades y administración de incidentes de seguridad de la información y mejoras. En el primer grupo se define el desarrollo de una metodología eficiente, mientras que el segundo es un procedimiento que describe claramente los pasos, acciones, responsabilidades, funciones y medidas concretas en la gestión de incidentes.
  • A.14 Administración de la continuidad de negocio. Este grupo de controles tienen como objetivo contemplar todas las medidas enfocadas a que los sistemas no hagan sufrir interrupciones sobre la actividad que realiza la empresa.
  • A.15 Marco legal y buenas prácticas. Aquí se recoge no solamente el cumplimiento de los requerimientos legales de cada país o sector, sino también el cumplimento de buenas prácticas en materia de política de seguridad y  consideraciones diversas sobre auditorías de sistemas de información.

Alcance de la gestión

Por ejemplo, si una empresa tiene dos líneas de negocio: una de asesoramiento contable y otro fiscal, es posible que decida priorizar la primera actividad, la contabilidad, por considerarla más vulnerable en materia de seguridad.

Liderazgo y asignación de funciones

En esta fase se identifican los “dueños del riesgo”, segregando tareas y estableciendo roles y responsabilidades. La norma ISO 27001 otorga un peso cualitativo muy importante a la Alta Dirección de la empresa, exigiéndole la máxima implicación y adoptar un rol de líder de todo el proceso.

 

La Plataforma ISOTools facilita la automatización de la ISO 27001

La Plataforma Tecnológica ISOTools permite implantar y automatizar fácilmente la norma ISO 27001 y aplicar también los requisitos de otras normas de Seguridad de la Información, como por el ejemplo el PMG SSI de los Servicios Públicos de Chile.

 

IC-ISO-CTA Tira ebook 27001 Y 22301

Haz click aquí y descárgate la guía gratuita: Los Modelos de Excelencia en  Latinoamérica

1 Star2 Stars3 Stars4 Stars5 Stars (1 votes, average: 5,00 out of 5)
Cargando…

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies
top