La norma ISO/IEC 27001:2005 establece los requisitos para un sistema de gestión de seguridad de la información. Siguiendo esta norma, las organizaciones pueden implementar controles para proteger la información y obtener una certificación de un tercero. Esto puede mejorar la seguridad, cumplimiento normativo y reputación de la organización.
1. Sistema de Gestión de la
Protección de Datos
Seguridad de la Información
ISO/IEC 27001:2005 Fundamentales
Puntos
En la actualidad son muchos los factores a tener de información puede ocasionar daños
en cuenta en lo relativo a la gestión de la importantes en los desarrollos corporativos.
seguridad de la información (SGSI), un aspecto
La implantación de Sistemas de Gestión de
que día a día va adquiriendo más protagonismo,
Seguridad de la Información (SGSI) según los
convirtiéndose en uno de los principales activos
estándares de la Norma ISO/IEC 27001:2005
de cualquier organización.
facilita a la empresa los instrumentos
Los planes de contingencia y de continuidad de necesarios y más eficaces para asegurar la
negocio cobran especial relevancia a la hora de protección de la información susceptible de
abordar cualquier proyecto TIC. Ya son muchos y intercepciones no autorizadas y salvaguardar
muy frecuentes los escenarios donde la pérdida la exactitud e integridad de sus activos.
2. Sistema de Gestión de Seguridad de la
Información Norma ISO/IEC 27001:2005
¿QUÉ ES LA NORMA ISO/IEC
27001:2005? > Cumplir con las Leyes y
Reglamentaciones vigentes (UE,
La Norma ISO/IEC 27001:2005 es una norma
Estatales, Autonómicas, Locales).
de carácter internacional que se utiliza como
referencia para el desarrollo de un Sistema de
Gestión de Seguridad de la Información
(SGSI).
Puede ser auditada por un organismo externo
(Bureau Veritas Certificación, DNV, SGS, etc.)
y, por tanto, certificada como prueba de
compromiso asumido por la Dirección y por el
Personal de la organización.
¿QUÉ ES UN SISTEMA DE GESTIÓN DE
SEGURIDAD DE LA INFORMACIÓN?
De forma resumida, un Sistema de gestión de
Seguridad de la Información (SGSI) consiste en
un conjunto de:
OBJETIVOS DE NUESTROS PROYECTOS
> Estructura Organizativa
DE IMPLANTACIÓN DE UN SGSI
> Activos físicos (hard y soft) Definir e implementar un Sistema de
>
> Conocimiento Gestión de Seguridad de la
Información, basado en los requisitos
> Procedimientos
de la norma ISO/IEC 27001:2005, y
> Recursos Humanos obtener la Certificación por un
organismo acreditado.
Puestos a disposición por la Dirección de la
empresa con el único objetivo de asegurar la > Implantar un método óptimo de
confidencialidad, disponibilidad e integridad Organizar la Seguridad de la
de la información y los datos existentes. Información en todos los ámbitos de
la empresa, incluido software,
Se trata de asegurar los siguientes requisitos:
hardware, así como el área de
> Garantizar la confidencialidad, desarrollo, incluyendo instalaciones
integridad y disponibilidad de la físicas, personal y estaciones de
información a todos los niveles. trabajo, así como Centro de
Procesamiento de Datos (CPD) en el
> Reducir los riesgos a niveles
caso de que existiera en la entidad.
aceptables.
2 de 5
3. Sistema de Gestión de Seguridad de la
Información Norma ISO/IEC 27001:2005
VENTAJAS DE LA IMPLANTACIÓN DE UN facturación, pedidos, productos, etc.
SGSI entre diferentes organizaciones.
A nivel interno:
> Mejora de la Imagen Corporativa.
> Mejorar la organización y asignación
> Establecer un Lenguaje común entre
de responsabilidades en lo relativo a
clientes. Proveedores y terceras
la seguridad de la información en la
partes.
empresa.
> Permite documentar y estandarizar
las actividades referentes a la gestión
de la seguridad de la información.
> Disminuir el riesgo derivado de
posibles usos de información
confidencial por parte de personal
ajeno.
> Conseguir un Sistema que aprenda de
los errores y evolucione de manera
constante.
> Involucrar al personal como parte
activa y creativa en el proyecto.
> Aumentar la rentabilidad a medio y
corto plazo, al disminuir la
probabilidad de pérdidas y fugas en
¿CÓMO IMPLANTAR UN SGSI?
el sistema de información de la
entidad.
El proceso de implantación de un Sistema de
A nivel externo: Gestión de la Seguridad de la Información
pasa por las siguientes fases:
> Mayor estabilidad y posicionamiento
en su mercado debido a que se puede FASE 1. Estudio de objetivos,
prever que la certificación será casi requerimientos y necesidades de seguridad.
una obligación para cualquier Identificación de los objetivos y
empresa que desee competir. requerimientos de seguridad del Sistema de
Información de la Organización. Inventariado
> Evitar la apertura de brechas de
de los activos de la Organización.
seguridad al interrelacionar sistemas
de clientes, control de stock,
3 de 5
4. Sistema de Gestión de Seguridad de la
Información Norma ISO/IEC 27001:2005
FASE 2 - Análisis de riesgos. Identificación de FASE 6 - Auditoría interna del SGSI.
las vulnerabilidades y amenazas de seguridad Ejecución de una auditoría interna del SGSI
de la información que recaen sobre los después de su implantación, Los resultados de
servicios, procesos y activos de la esta auditoría son registros exigidos como
Organización, así como la probabilidad e evidencia por la norma ISO/IEC 27001:2005,
impacto de materialización de dichas además de ser una entrada fundamental para
amenazas. El análisis exhaustivo de los riesgos la revisión del SGSI por la Dirección.
de seguridad de la información será la piedra
FASE 7 - Auditoría externa de certificación.
angular para orientar adecuadamente el
Certificación del SGSI por un organismo
enfoque del SGSI.
externo acreditado por la UKAS, resolución de
FASE 3 - Selección de objetivos de control y las posibles no conformidades detectadas.
controles. Selección de los controles
necesarios para tratar los riesgos detectados
en la FASE 2, y documentar esta selección en
un plan de tratamiento del riesgo, documento
fundamental de un SGSI y como tal exigido
por la norma ISO/IEC 27001:2005. Este plan
de tratamiento del riesgo se verá
complementado y ampliado con el desarrollo
de un plan director de seguridad en la FASE 7.
FASE 4 - Formalización del SGSI.
Documentación de todas las políticas,
programas y procedimientos del SGSI exigidos
por la norma ISO/IEC 27001:2005 y necesarios
para gestionar los riesgos de seguridad de la
información de la Organización. MAGERIT: METODOLOGÍA PARA LA
IMPLANTACIÓN DE UN SGSI
FASE 5 - Plan de implementación de
controles. Identificación del grado de Magerit es una de las metodologías de Análisis
desviación entre la situación deseada para los y Gestión de Riesgos de los Sistemas de
controles y procesos del SGSI y la situación Información. Frente a otras metodologías,
actual de madurez de la Organización a este Magerit ha sido desarrollada 100% por
respecto. Desarrollo de un plan director de expertos españoles en SGSI y próximamente
seguridad de la información. será traducida a numerosos idiomas en por su
óptimos resultados en su aplicación.
4 de 5
5. Sistema de Gestión de Seguridad de la
Información Norma ISO/IEC 27001:2005
Los objetivos de Magerit son:
CONSIDERACIONES FINALES
> Ofrecer un método sistemático para
analizar los riesgos que puedan > La duración aproximada hasta lograr
afectar al Sistema de Información. la certificación es de entre 6 y 9
> Dar soporte para descubrir y meses.
planificar las medidas oportunas para > El desarrollo del Proyecto incluye
mantener los riesgos bajo control. tramitación y seguimiento de las
> Apoyar a la organización en procesos correspondientes Subvenciones, las
de evaluación, auditoría certificación cuales llegan a cubrir la implantación
> Concienciar a los responsables de los y certificación.
Sistemas de Información de la
existencia de riesgos y la necesidad
de atajarlos a tiempo.
ascêndia reingeniería + consultoría
colabora con las siguientes Organizaciones
Instituto Nacional de Asociación Española Socios de Socio fundador del
Tecnologías de la para el Fomento de Asociación comité de Andalucía de
Información la Seguridad de la Andaluza de ITSMF (Information
Información Comercio Technology Service
Electrónico Management Forum)
www.inteco.es www.ismsforum.es www.andce.es www.itsmf.es
www.ascendiarc.com - info@ascendiarc.com
5 de 5
Avda. Padre García Tejero, 6, Torre B, Local. 41012 – Sevilla
T. 954 298 201 - 902 111 024 F. 954 629 674