Seguridad de la información: ISO 27001
Es importante tener una amplia comprensión de cómo funciona la seguridad de la información de acuerdo a los requisitos que recoge la norma ISO 27001.
Como ya conocemos de anteriores artículos, ISO 27001 pretende describir la forma en que la organización debe llevar a cabo su gestión de la seguridad de la información.
ISO 27001 es un estándar que puede ser aplicado a todo tipo de organizaciones, con total independencia del sector en el que operen o el tamaño que posean y ofrece la guía necesaria para que las mismas puedan implementar una óptima gestión de la seguridad de la información con la que trabajan.
Además, permite a las mismas obtener el certificado que acredita la correcta gestión de la seguridad de la información de acuerdo a los criterios de la citada norma ISO 27001, siendo un elemento de confianza frente a las partes interesadas.
Cómo funciona la seguridad de la información bajo ISO 27001
Para empezar, debemos entender que ISO 27001 no tiene un carácter exhaustivamente prescriptivo.
La norma ISO 27001 busca la integridad, confidencialidad y disponibilidad de la información que posee una organización, pero ante esto, cabe preguntarse, cómo funciona la seguridad de la información según dicha norma ISO 27001.
Pues bien, en este sentido y para el logro de dicha finalidad, es necesario que previamente se analicen todos los posibles problemas que podrían tener lugar y que podrían afectar a la seguridad de la información, es decir realizar una evaluación de riesgos.
Así, en base a tal evaluación de riesgos, podemos tomar la decisión sobre las acciones que aplicar con el fin de evitar la ocurrencia de los mismos. Esto es los que se conoce como tratamiento de riesgos o mitigación de riesgos.
De esta forma, la base que rige el funcionamiento de la gestión de la seguridad de la información siguiendo los principios de la norma ISO 27001 es la Gestión de Riesgos, a través de la cual se busca identificar potenciales amenazas, para definir los tratamientos posibles que los eviten. Todo ello debe ser realizado de manera sistemática.
Pues bien, para lograr esta gestión de la seguridad de la información, es necesario implementar una serie de controles.
Para la aplicación de estos controles, se requiere la definición de políticas, procedimientos así como las herramientas técnicas para su implantación, como pueden ser los equipos y software oportunos.
En muchos de los casos, las organizaciones cuentan ya con tales metodologías, tanto el hardware como el software necesario para la implementación. Sin embargo no le sacan el máximo rendimiento dado que no lo aplican de manera segura.
Por ello, los requisitos recogidos en ISO 27001 dobre la implementación de la gestión de la seguridad de la información en las organizaciones trata sobre las reglas necesarias a definir en las mismas para lograr la prevención de violaciones a la seguridad de la información.
Además, teniendo en cuenta que dicha implementación de la gestión de la seguridad requiere de bastantes políticas, personas, procedimientos, activos y otros recursos, la norma ISO 27001 describe cómo lograr la correcta integración de tales elementos en el Sistema de Gestión de la Seguridad de la Información (SGSI).
Como vemos, en la descripción de cómo funciona la seguridad de la información, ISO 27001, no sólo hace referencia a la seguridad informática propiamente dicha, sino que también considera los procesos a gestionar, la gestión de los recursos humanos, la protección jurídica, la protección física y todos aquellos otros elementos que se vinculen con la misma.
Software ISOTools Excellence
Gracias a la plataforma tecnológica ISOTools Excellence la implementación y gestión del Sistema de Gestión de la Seguridad de la Información bajo el estándar ISO 27001 se ve facilitada, ya que incorpora funcionalidades orientadas a permitir la gestión integrada y automatizada de los procesos, procedimientos, personas e información.
Si quiere ampliar la información, no dude en solicitar que nuestros expertos consultores se ponga en contacto con usted para que le asesoren y resuelvan todas sus dudas sobre cómo el software ISOTools Excellence puede ayudarle a implementar y optimizar su Sistema de Gestión de la Información.
¿Desea saber más?
Entradas relacionadas
Decreto 1072 La norma OHSAS 18001 y el Decreto 1072 de 2015 siguen la metodología de mejora continua…
Gestión de riesgos Las nuevas versiones de la norma ISO 9001 e ISO 14001 exigen que todas las…
Software ISO 9001 Durante este artículo queremos que conozca cómo puede ayudarle el software ISO 9001 ISOTools. Es…
Decreto 1072 Conservar los documentos es necesario como medida preventiva adoptada para asegurar la integridad física y funcional…