ISO 14001: Requisitos del Sistema de Gestión Ambiental: Planificación. Aspect...
Monográfico ISO 27001 ISOTools
1. RIESGOS Y SEGURIDAD
RIESGOS Y SEGURIDAD
La Norma ISO 27001 y la
importancia de la Gestión de
la Seguridad de la Información
Alcanzar la excelencia en la Seguridad de la Información.
Un mejor servicio con una menor inversión
Introducción
¿Se tiene una política formal y se han adoptado controles adecuados para la protección de riesgos de información? ¿Cuánto pagaría la competencia por su información confidencial? ¿Su base de datos está protegida?
Para poder responder a estas preguntas de manera contundente, y poder protegernos de forma óptima hacia todos los ataques en cuanto a seguridad de la información,
tenemos que tener muy presente en nuestra organización norma ISO 27001.
La ISO 27001, Sistemas de Gestión de Seguridad de la
Información es la norma que especifica los requisitos necesarios para establecer, implantar, mantener y mejorar
un sistema de gestión de la seguridad de la información
garantizando el aseguramiento, la confidencialidad e integridad de los datos y de la información, así como de los
sistemas que la procesan.
El objetivo principal de la implantación de un SGSI es el
control y mitigación de los riesgos de seguridad de la información a los que se encuentra expuesta la organización y que pueden afectar gravemente tanto a la propia
empresa como a su entorno.
La Norma ISO 27001 y la importancia de la Gestión
de la Seguridad de la Información.
Alcanzar la excelencia en la Seguridad de la Información.
Un mejor servicio con una menor inversión.
Más información
Tlf. (+34) 902 361 231
www.isotools.org
info@isotools.org
La norma ISO 27001 adquiere cada vez más un papel
más importante en las organizaciones, debido a la gran
dependencia que existe de los sistemas de información.
La vulnerabilidad de cualquier tipo de información puede
traer consigo consecuencias muy importantes para dicha
organización, así como sus grupos de interés.
Este estándar internacional fue publicado como tal por
la International Organization for Standardization y por la
comisión International Electrotechnical Commission en
octubre del año 2005 y actualmente es el único estándar
aceptado a nivel internacional para la gestión de la Seguridad de la Información.
Pero la ISO 27001, tal y como la conocemos hoy en día,
ha sido resultado de la evolución de otros estándares
relacionados con la seguridad de la información. En el
pasado año 2013 se publicó la nueva versión que ha supuesto algunos cambios en su estructura, evaluación y
tratamiento de los riesgos.
La norma ISO 27001 es certificable, teniendo un reconocimiento internacional. Cualquier organización que tenga
implantado un SGSI puede solicitar una auditoría a una
2. RIESGOS Y SEGURIDAD
entidad certificadora acreditada para obtener la
certificación del sistema según ISO 27001.
La ISO 27001 es perfectamente integrable con
otros sistemas de gestión como ISO 9001, ISO
14001 u OHSAS, entre otras. Esta integración
se hace más sencilla con esta nueva versión ISO
27001:2013, debido a que esta nueva versión de
la norma está adaptada a los requisitos del Anexo
SL., que es la nueva estructura ISO para cualquier
sistema de gestión y que facilita la integración con
cualquier otro sistema de gestión de la organización, al tener exactamente la misma estructura.
Evolución
de la norma
ISO 27001
BS 7799-1:1995
Mejores prácticas para
ayudar a las empresas
británicas a administrar la Seguridad de la
Información. Eran recomendaciones que no
permitían la certifiación
ni establecía la forma
de conseguirla.
1979
1995
1998
¿Cómo implantar un SGSI en base a ISO
27001?
ISO 27001 posibilita la idea de implantar un sistema de gestión de seguridad de la información que
pueda operar, monitorear, mantener y mejorar la
seguridad de la información.
La implantación de un SGSI debe realizarse de
acuerdo a unas pautas marcadas por la ISO 27001,
realizándose de manera sistemática, documentada
y comunicada a toda la organización.
Por ello, la implantación de un Sistema de Gestión
de Seguridad de la Información es útil en cualquier
empresa, pero especialmente en aquellas cuya actividad entrañe la exposición a riesgos de seguridad de la información que puedan poner en riesgo
su continuidad o dañar a terceros.
Existen ciertos pasos previos importantes a la implantación, y que la empresa debe afrontar, son los
siguientes:
Reunión inicial para identificar y conocer los procesos internos del negocio, documentación de seguridad… con objetivo de poder definir el alcance.
Auditoría inicial para estar al tanto el estado de
situación en seguridad de la información de donde
se va a obtener una planificación personalizada y
las primeras líneas de actuación.
Análisis y gestión de riesgos para poder realizar
La Norma ISO 27001 y la importancia de la Gestión
de la Seguridad de la Información.
Alcanzar la excelencia en la Seguridad de la Información.
Un mejor servicio con una menor inversión.
Más información
Tlf. (+34) 902 361 231
www.isotools.org
info@isotools.org
ISO/IEC 17799:2000
La organización Internacional para la Estandarización (ISO) tomó
la norma británica BS
7799-1 que dio lugar a
la llamada ISO 17799,
sin experimentar grandes cambios.
ISO/IEC 27001:2005 e
ISO/IEC 17799:2005
Aparece el estándar
ISO 27001 como norma
internacional certificable y se revisa la ISO
17799 dando lugar a la
ISO 27001:2005.
ISO 27001:
2007/1M:2009
Se publica un documento adicional
de modificaciones llamado ISO
27001:2007/1M:2009.
2000
2002
2005
2007
Normas BS
La British Standars Institution publica normas
con el prefijo BS con
carácter internacional.
Estas son el origen de
normas actuales como
ISO 9001, ISO 14001 u
OHSAS 18001.
BS 7799-2:1999
Revisión de la anterior
norma. Estrablecía
los requisitos para
implantar un Sistema
de Gestión de Seguridad de la Información
certificable. En 1999 se
revisa.
BS 7799-2:2002
Se publicó una nueva
versión que permitió
la acreditación de
empresas por una entidad certificadora de
Reino Unido y en otros
países.
ISO 17799. Se renombra y pasa a ser la ISO
27002:2005
ISO/IEC 27001:2007.
Se publica la nueva
versión
2009
2013
Nueva ISO 27001:2013
3. RIESGOS Y SEGURIDAD
un inventario de activos añadiendo sus amenazas, vulnerabilidades, impactos… De esta etapa resulta un plan de
tratamiento de riesgos.
Con esto la empresa está lista para implantar el SGSI fundamentado ISO 27001, siguiendo estos pasos:
Alcance
Toda implantación ha de comenzar con la definición del
alcance del sistema, es decir, el ámbito de la organización
que va a trabajar bajo los requisitos de la norma.
Es conveniente revisar el estado inicial de la organización
en relación a los puntos de la norma. Con esto se fija el
punto de partida y de referencia para medir el progreso
que se irá alcanzando con el SGSI.
Es importante evaluar, aprobar y distribuir la política de
seguridad que represente los objetivos y líneas a seguir
en materia de seguridad de la información.
Ciclo PDCA
Es el instante de implantar el plan de tratamiento de riesgos que se creó en la etapa antepuesta.
Revisión por la dirección y auditoría interna
La revisión es responsabilidad del comité de seguridad, y
se propondrán cambios y mejoras.
Mejora continua
Mediante el análisis de las no conformidades detectadas
se pretende impedir que éstas se vuelvan a producir, mejorando el SGSI ISO 27001.
En definitiva, la implantación de un SGSI basado en ISO
27001, supone el conocimiento, de la organización en su
conjunto y de los riesgos a los que se encuentra expuesta. De manera que se asuman y se trabaje en su minimización y control de manera sistemática, para mejorar
continuamente.
Es indispensable que la Dirección esté implicada para
que el SGSI tenga éxito, ésta debe decidir, apoyar, aprobar, dirigir y dotar de recursos a la empresa para llegar al
éxito del sistema.
Se creará una estructura organizativa de la seguridad
interna, liderada por un responsable de seguridad, así
como un comité de seguridad que tome decisiones de
alto nivel relativas al SGSI.
PDCA
Cycle
Análisis de Riesgos
La siguiente paso es elaborar un inventario de activos. Se
han de identificar todos los activos de la entidad susceptibles de ser gestionados en relación con la seguridad de
la información. Se recomienda, para facilitar esta tarea,
clasificar o categorizar los activos.
Se debe tantear la probabilidad de ocurrencia de la amenaza, el impacto que supondría y definir un nivel de riesgo aceptable por la organización. A continuación se debe
pasar al tratamiento de los riesgos no aceptados por la
organización.
De esta etapa resultará un plan de tratamiento de riesgos.
La Norma ISO 27001 y la importancia de la Gestión
de la Seguridad de la Información.
Alcanzar la excelencia en la Seguridad de la Información.
Un mejor servicio con una menor inversión.
Más información
Tlf. (+34) 902 361 231
www.isotools.org
info@isotools.org
Planificar (PLAN)
Se centra en entender el comportamiento energético de la Organización para establecer los controles y objetivos necesarios que permitan
mejorar el desempeño energético.
Hacer (DO)
Busca implementar procedimientos y procesos sistematizados, con el
fin de controlar y mejorar el desempeño energético.
Verificar (CHECK)
Monitorear y medir procesos y
productos en base a las Políticas, Objetivos y características claves de
las operaciones y reportar los resultados.
Actuar (ACT)
Deben tomarse acciones para mejorar continuamente el desempeño
energético en base a los resultados.
4. RIESGOS Y SEGURIDAD
La implantación de un SGSI basado en ISO 27001, obviamente, supone una dedicación e inversión de recursos,
pero, como contraprestación aporta grandes beneficios
a las empresas que deciden implantarlo.
Con la aplicación de ISO 27001, se obtienen importantes mejoras en la competitividad, al mismo tiempo que se
mejora su imagen.
Todos estos beneficios vienen derivados del establecimiento de una operativa basada en la seguridad y la excelencia en el tratamiento de la información en la organización, que se traducen en un mejor servicio con una
menor inversión.
Estas son las ventajas más destacables que aporta su
implantación:
Ventajas de implantar un SGSI basado en ISO 27001
Garantizar la confidencialidad, integridad y disponibilidad de información sensible.
Cumplir la legislación vigente referente a seguridad de la información.
Disminuir el riesgo, con la consiguiente reducción
de gastos asociados.
Cumplir la legislación vigente referente a seguridad de la información.
Reducir la incertidumbre por el conocimiento de
los riesgos e impactos asociados.
Aumentar las oportunidades de negocio.
Reducir los costos asociados a los incidentes.
Mejorar continuamente la gestión de la seguridad
de la información.
Mejorar la implicación y participación del personal
en la gestión de la seguridad.
Garantizar la continuidad del negocio.
Aumentar de la competitividad por mejora de la
imagen corporativa.
Posibilidad de integración con otros sistemas de
gestión como ISO 9001, ISO14001, OHSAS 18001,
entre otros.
Incrementar de la confianza de los stakeholders.
Mejorar los procesos y servicios prestados.
Aumentar de rentabilidad, derivado de un control
de los riesgos.
Aumentar de la competitividad por mejora de la
imagen corporativa.
La Norma ISO 27001 y la importancia de la Gestión
de la Seguridad de la Información.
Alcanzar la excelencia en la Seguridad de la Información.
Un mejor servicio con una menor inversión.
Más información
Tlf. (+34) 902 361 231
www.isotools.org
info@isotools.org
5. RIESGOS Y SEGURIDAD
Nueva versión de ISO 27001:2013
La implantación de un SGSI basado en ISO 27001, obviamente, supone una dedicación e inversión de recursos, pero,
como contraprestación aporta grandes beneficios a las empresas que deciden implantarlo. Con la aplicación de ISO
27001, se obtienen importantes mejoras en la competitividad, al mismo tiempo que se mejora su imagen.
Otras de las ventajas que aporta su implantación son:
1. Desaparece el apartado “Enfoque a procesos” que establecía una metodología de trabajo en base al ciclo PDCA
de mejora continua, ofreciendo una mayor flexibilidad en
cuanto a la elección de metodologías de trabajo de análisis de riesgos o de mejora continua.
Desaparece
Enfoque a
procesos
2. Cambio de la estructura de acuerdo al Anexo SL común
al resto de estándares ISO, lo que facilita la integración
entre sistemas.
3. Este mismo anexo SL, establece un nuevo modelo de
estructura de la documentación, que elimina la obligatoriedad de algunos documentos en la versión anterior,
conservándose solamente como obligatoria la declaración de aplicabilidad.
4. Se revisan los requisitos y controles. Los requisitos pasan de ser 102 a 130, lo controles establecidos en el Anexo A se eliminan, fusionan y añaden, viéndose aumentado
el número de dominios de 11 a 14 y reduciéndose el número de controles de 133 a 114. Destacamos un nuevo
dominio que se crea sobre “Relaciones con el Proveedor”
debido a la evolución a la nube o Cloud Computing.
5. Enfoque del análisis del riesgo en la fase de planificación
y operación. A partir de ahora para identificar los riesgos
no es necesario identificar los activos, las amenazas y sus
vulnerabilidades. Sino que se parte del análisis de riesgos
para determinar los controles necesarios y compararlos
con el Anexo A para que no se olvide ninguno aplicable.
Cambio de
estructura
que facilita la
integración
Nuevo
modelo de
estructura
documental
Nueva
ISO 27001:2013
Se revisan
requisitos y
controles
Enfoque del análisis
del riesgo en la fase
de planificación y
operación.
Todos estos beneficios vienen derivados del establecimiento de una operativa basada en la seguridad y la excelencia en
el tratamiento de la información en la organización, que se traducen en un mejor servicio con una menor inversión.
La Norma ISO 27001 y la importancia de la Gestión
de la Seguridad de la Información.
Alcanzar la excelencia en la Seguridad de la Información.
Un mejor servicio con una menor inversión.
Más información
Tlf. (+34) 902 361 231
www.isotools.org
info@isotools.org
6. RIESGOS Y SEGURIDAD
Conclusiones
La implantación de un SGSI basado en ISO 27001, supone el conocimiento, de la organización en su conjunto, de los riesgos a los
que se encuentra expuesta. De manera que se asuman y se trabaje
en su minimización y control de manera sistemática, para mejorar
continuamente.
La ISO 27001 es perfectamente integrable con otros sistemas de
gestión como ISO 9001, ISO 14001 u OHSAS, entre otras. Esta integración se hace más sencilla con esta nueva versión ISO 27001:2013
Ya está vigente la nueva versión ISO 27001:2013 que sustituye a la
anterior ISO 27001:2005.
La ISO 27001 permite una operativa basada en la seguridad y la
excelencia en el tratamiento de la información en la organización,
que se traducen en un mejor servicio con una menor inversión.
La Plataforma
Tecnológica ISOTools le
ayuda a automatizar su
sistema ISO 27001
ISOTools es la Plataforma Tecnológica ideal para facilita la implementación, mantenimiento y
automatización de su sistemas
de gestión de Seguridad en la
Información conforme a la norma ISO 27001:2013. Así como
dar cumplimiento de manera
complementaria y sencilla a las
buenas prácticas o controles
establecidos en ISO 27002.
ISOTools es una herramienta
de gestión integral de la norma
que cumple con el ciclo completo de la misma, desde las fases
de inicio y planificación del proyecto hasta el mantenimiento y
mejora continua, pasando por
el análisis de riesgos, el cuadro
de mando, la implantación de
procedimientos, etc.
Con ISOTools puede integrar,
en una misma Herramienta,
este estándar con otros existentes en la organización como
ISO 9001, ISO 14001, OHSAS
18001, entre otras.
La Norma ISO 27001 y la importancia de la Gestión
de la Seguridad de la Información.
Alcanzar la excelencia en la Seguridad de la Información.
Un mejor servicio con una menor inversión.
Más información
Tlf. (+34) 902 361 231
www.isotools.org
info@isotools.org