SlideShare una empresa de Scribd logo

Monográfico ISO 27001 ISOTools

ISOTools Excellence
ISOTools Excellence
1 de 6
Descargar para leer sin conexión
RIESGOS Y SEGURIDAD RIESGOS Y SEGURIDAD La Norma ISO 27001 y la importancia de la Gestión de la Seguridad de la Información Alcanzar la excelencia en la Seguridad de la Información. Un mejor servicio con una menor inversión Introducción ¿Se tiene una política formal y se han adoptado controles adecuados para la protección de riesgos de información? ¿Cuánto pagaría la competencia por su información confidencial? ¿Su base de datos está protegida? Para poder responder a estas preguntas de manera contundente, y poder protegernos de forma óptima hacia todos los ataques en cuanto a seguridad de la información, tenemos que tener muy presente en nuestra organización norma ISO 27001. La ISO 27001, Sistemas de Gestión de Seguridad de la Información es la norma que especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un sistema de gestión de la seguridad de la información garantizando el aseguramiento, la confidencialidad e integridad de los datos y de la información, así como de los sistemas que la procesan. El objetivo principal de la implantación de un SGSI es el control y mitigación de los riesgos de seguridad de la información a los que se encuentra expuesta la organización y que pueden afectar gravemente tanto a la propia empresa como a su entorno. La Norma ISO 27001 y la importancia de la Gestión de la Seguridad de la Información. Alcanzar la excelencia en la Seguridad de la Información. Un mejor servicio con una menor inversión. Más información Tlf. (+34) 902 361 231 www.isotools.org info@isotools.org La norma ISO 27001 adquiere cada vez más un papel más importante en las organizaciones, debido a la gran dependencia que existe de los sistemas de información. La vulnerabilidad de cualquier tipo de información puede traer consigo consecuencias muy importantes para dicha organización, así como sus grupos de interés. Este estándar internacional fue publicado como tal por la International Organization for Standardization y por la comisión International Electrotechnical Commission en octubre del año 2005 y actualmente es el único estándar aceptado a nivel internacional para la gestión de la Seguridad de la Información. Pero la ISO 27001, tal y como la conocemos hoy en día, ha sido resultado de la evolución de otros estándares relacionados con la seguridad de la información. En el pasado año 2013 se publicó la nueva versión que ha supuesto algunos cambios en su estructura, evaluación y tratamiento de los riesgos. La norma ISO 27001 es certificable, teniendo un reconocimiento internacional. Cualquier organización que tenga implantado un SGSI puede solicitar una auditoría a una
RIESGOS Y SEGURIDAD entidad certificadora acreditada para obtener la certificación del sistema según ISO 27001. La ISO 27001 es perfectamente integrable con otros sistemas de gestión como ISO 9001, ISO 14001 u OHSAS, entre otras. Esta integración se hace más sencilla con esta nueva versión ISO 27001:2013, debido a que esta nueva versión de la norma está adaptada a los requisitos del Anexo SL., que es la nueva estructura ISO para cualquier sistema de gestión y que facilita la integración con cualquier otro sistema de gestión de la organización, al tener exactamente la misma estructura. Evolución de la norma ISO 27001 BS 7799-1:1995 Mejores prácticas para ayudar a las empresas británicas a administrar la Seguridad de la Información. Eran recomendaciones que no permitían la certifiación ni establecía la forma de conseguirla. 1979 1995 1998 ¿Cómo implantar un SGSI en base a ISO 27001? ISO 27001 posibilita la idea de implantar un sistema de gestión de seguridad de la información que pueda operar, monitorear, mantener y mejorar la seguridad de la información. La implantación de un SGSI debe realizarse de acuerdo a unas pautas marcadas por la ISO 27001, realizándose de manera sistemática, documentada y comunicada a toda la organización. Por ello, la implantación de un Sistema de Gestión de Seguridad de la Información es útil en cualquier empresa, pero especialmente en aquellas cuya actividad entrañe la exposición a riesgos de seguridad de la información que puedan poner en riesgo su continuidad o dañar a terceros. Existen ciertos pasos previos importantes a la implantación, y que la empresa debe afrontar, son los siguientes: Reunión inicial para identificar y conocer los procesos internos del negocio, documentación de seguridad… con objetivo de poder definir el alcance. Auditoría inicial para estar al tanto el estado de situación en seguridad de la información de donde se va a obtener una planificación personalizada y las primeras líneas de actuación. Análisis y gestión de riesgos para poder realizar La Norma ISO 27001 y la importancia de la Gestión de la Seguridad de la Información. Alcanzar la excelencia en la Seguridad de la Información. Un mejor servicio con una menor inversión. Más información Tlf. (+34) 902 361 231 www.isotools.org info@isotools.org ISO/IEC 17799:2000 La organización Internacional para la Estandarización (ISO) tomó la norma británica BS 7799-1 que dio lugar a la llamada ISO 17799, sin experimentar grandes cambios. ISO/IEC 27001:2005 e ISO/IEC 17799:2005 Aparece el estándar ISO 27001 como norma internacional certificable y se revisa la ISO 17799 dando lugar a la ISO 27001:2005. ISO 27001: 2007/1M:2009 Se publica un documento adicional de modificaciones llamado ISO 27001:2007/1M:2009. 2000 2002 2005 2007 Normas BS La British Standars Institution publica normas con el prefijo BS con carácter internacional. Estas son el origen de normas actuales como ISO 9001, ISO 14001 u OHSAS 18001. BS 7799-2:1999 Revisión de la anterior norma. Estrablecía los requisitos para implantar un Sistema de Gestión de Seguridad de la Información certificable. En 1999 se revisa. BS 7799-2:2002 Se publicó una nueva versión que permitió la acreditación de empresas por una entidad certificadora de Reino Unido y en otros países. ISO 17799. Se renombra y pasa a ser la ISO 27002:2005 ISO/IEC 27001:2007. Se publica la nueva versión 2009 2013 Nueva ISO 27001:2013
RIESGOS Y SEGURIDAD un inventario de activos añadiendo sus amenazas, vulnerabilidades, impactos… De esta etapa resulta un plan de tratamiento de riesgos. Con esto la empresa está lista para implantar el SGSI fundamentado ISO 27001, siguiendo estos pasos: Alcance Toda implantación ha de comenzar con la definición del alcance del sistema, es decir, el ámbito de la organización que va a trabajar bajo los requisitos de la norma. Es conveniente revisar el estado inicial de la organización en relación a los puntos de la norma. Con esto se fija el punto de partida y de referencia para medir el progreso que se irá alcanzando con el SGSI. Es importante evaluar, aprobar y distribuir la política de seguridad que represente los objetivos y líneas a seguir en materia de seguridad de la información. Ciclo PDCA Es el instante de implantar el plan de tratamiento de riesgos que se creó en la etapa antepuesta. Revisión por la dirección y auditoría interna La revisión es responsabilidad del comité de seguridad, y se propondrán cambios y mejoras. Mejora continua Mediante el análisis de las no conformidades detectadas se pretende impedir que éstas se vuelvan a producir, mejorando el SGSI ISO 27001. En definitiva, la implantación de un SGSI basado en ISO 27001, supone el conocimiento, de la organización en su conjunto y de los riesgos a los que se encuentra expuesta. De manera que se asuman y se trabaje en su minimización y control de manera sistemática, para mejorar continuamente. Es indispensable que la Dirección esté implicada para que el SGSI tenga éxito, ésta debe decidir, apoyar, aprobar, dirigir y dotar de recursos a la empresa para llegar al éxito del sistema. Se creará una estructura organizativa de la seguridad interna, liderada por un responsable de seguridad, así como un comité de seguridad que tome decisiones de alto nivel relativas al SGSI. PDCA Cycle Análisis de Riesgos La siguiente paso es elaborar un inventario de activos. Se han de identificar todos los activos de la entidad susceptibles de ser gestionados en relación con la seguridad de la información. Se recomienda, para facilitar esta tarea, clasificar o categorizar los activos. Se debe tantear la probabilidad de ocurrencia de la amenaza, el impacto que supondría y definir un nivel de riesgo aceptable por la organización. A continuación se debe pasar al tratamiento de los riesgos no aceptados por la organización. De esta etapa resultará un plan de tratamiento de riesgos. La Norma ISO 27001 y la importancia de la Gestión de la Seguridad de la Información. Alcanzar la excelencia en la Seguridad de la Información. Un mejor servicio con una menor inversión. Más información Tlf. (+34) 902 361 231 www.isotools.org info@isotools.org Planificar (PLAN) Se centra en entender el comportamiento energético de la Organización para establecer los controles y objetivos necesarios que permitan mejorar el desempeño energético. Hacer (DO) Busca implementar procedimientos y procesos sistematizados, con el fin de controlar y mejorar el desempeño energético. Verificar (CHECK) Monitorear y medir procesos y productos en base a las Políticas, Objetivos y características claves de las operaciones y reportar los resultados. Actuar (ACT) Deben tomarse acciones para mejorar continuamente el desempeño energético en base a los resultados.
RIESGOS Y SEGURIDAD La implantación de un SGSI basado en ISO 27001, obviamente, supone una dedicación e inversión de recursos, pero, como contraprestación aporta grandes beneficios a las empresas que deciden implantarlo. Con la aplicación de ISO 27001, se obtienen importantes mejoras en la competitividad, al mismo tiempo que se mejora su imagen. Todos estos beneficios vienen derivados del establecimiento de una operativa basada en la seguridad y la excelencia en el tratamiento de la información en la organización, que se traducen en un mejor servicio con una menor inversión. Estas son las ventajas más destacables que aporta su implantación: Ventajas de implantar un SGSI basado en ISO 27001 Garantizar la confidencialidad, integridad y disponibilidad de información sensible. Cumplir la legislación vigente referente a seguridad de la información. Disminuir el riesgo, con la consiguiente reducción de gastos asociados. Cumplir la legislación vigente referente a seguridad de la información. Reducir la incertidumbre por el conocimiento de los riesgos e impactos asociados. Aumentar las oportunidades de negocio. Reducir los costos asociados a los incidentes. Mejorar continuamente la gestión de la seguridad de la información. Mejorar la implicación y participación del personal en la gestión de la seguridad. Garantizar la continuidad del negocio. Aumentar de la competitividad por mejora de la imagen corporativa. Posibilidad de integración con otros sistemas de gestión como ISO 9001, ISO14001, OHSAS 18001, entre otros. Incrementar de la confianza de los stakeholders. Mejorar los procesos y servicios prestados. Aumentar de rentabilidad, derivado de un control de los riesgos. Aumentar de la competitividad por mejora de la imagen corporativa. La Norma ISO 27001 y la importancia de la Gestión de la Seguridad de la Información. Alcanzar la excelencia en la Seguridad de la Información. Un mejor servicio con una menor inversión. Más información Tlf. (+34) 902 361 231 www.isotools.org info@isotools.org
RIESGOS Y SEGURIDAD Nueva versión de ISO 27001:2013 La implantación de un SGSI basado en ISO 27001, obviamente, supone una dedicación e inversión de recursos, pero, como contraprestación aporta grandes beneficios a las empresas que deciden implantarlo. Con la aplicación de ISO 27001, se obtienen importantes mejoras en la competitividad, al mismo tiempo que se mejora su imagen. Otras de las ventajas que aporta su implantación son: 1. Desaparece el apartado “Enfoque a procesos” que establecía una metodología de trabajo en base al ciclo PDCA de mejora continua, ofreciendo una mayor flexibilidad en cuanto a la elección de metodologías de trabajo de análisis de riesgos o de mejora continua. Desaparece Enfoque a procesos 2. Cambio de la estructura de acuerdo al Anexo SL común al resto de estándares ISO, lo que facilita la integración entre sistemas. 3. Este mismo anexo SL, establece un nuevo modelo de estructura de la documentación, que elimina la obligatoriedad de algunos documentos en la versión anterior, conservándose solamente como obligatoria la declaración de aplicabilidad. 4. Se revisan los requisitos y controles. Los requisitos pasan de ser 102 a 130, lo controles establecidos en el Anexo A se eliminan, fusionan y añaden, viéndose aumentado el número de dominios de 11 a 14 y reduciéndose el número de controles de 133 a 114. Destacamos un nuevo dominio que se crea sobre “Relaciones con el Proveedor” debido a la evolución a la nube o Cloud Computing. 5. Enfoque del análisis del riesgo en la fase de planificación y operación. A partir de ahora para identificar los riesgos no es necesario identificar los activos, las amenazas y sus vulnerabilidades. Sino que se parte del análisis de riesgos para determinar los controles necesarios y compararlos con el Anexo A para que no se olvide ninguno aplicable. Cambio de estructura que facilita la integración Nuevo modelo de estructura documental Nueva ISO 27001:2013 Se revisan requisitos y controles Enfoque del análisis del riesgo en la fase de planificación y operación. Todos estos beneficios vienen derivados del establecimiento de una operativa basada en la seguridad y la excelencia en el tratamiento de la información en la organización, que se traducen en un mejor servicio con una menor inversión. La Norma ISO 27001 y la importancia de la Gestión de la Seguridad de la Información. Alcanzar la excelencia en la Seguridad de la Información. Un mejor servicio con una menor inversión. Más información Tlf. (+34) 902 361 231 www.isotools.org info@isotools.org
RIESGOS Y SEGURIDAD Conclusiones La implantación de un SGSI basado en ISO 27001, supone el conocimiento, de la organización en su conjunto, de los riesgos a los que se encuentra expuesta. De manera que se asuman y se trabaje en su minimización y control de manera sistemática, para mejorar continuamente. La ISO 27001 es perfectamente integrable con otros sistemas de gestión como ISO 9001, ISO 14001 u OHSAS, entre otras. Esta integración se hace más sencilla con esta nueva versión ISO 27001:2013 Ya está vigente la nueva versión ISO 27001:2013 que sustituye a la anterior ISO 27001:2005. La ISO 27001 permite una operativa basada en la seguridad y la excelencia en el tratamiento de la información en la organización, que se traducen en un mejor servicio con una menor inversión. La Plataforma Tecnológica ISOTools le ayuda a automatizar su sistema ISO 27001 ISOTools es la Plataforma Tecnológica ideal para facilita la implementación, mantenimiento y automatización de su sistemas de gestión de Seguridad en la Información conforme a la norma ISO 27001:2013. Así como dar cumplimiento de manera complementaria y sencilla a las buenas prácticas o controles establecidos en ISO 27002. ISOTools es una herramienta de gestión integral de la norma que cumple con el ciclo completo de la misma, desde las fases de inicio y planificación del proyecto hasta el mantenimiento y mejora continua, pasando por el análisis de riesgos, el cuadro de mando, la implantación de procedimientos, etc. Con ISOTools puede integrar, en una misma Herramienta, este estándar con otros existentes en la organización como ISO 9001, ISO 14001, OHSAS 18001, entre otras. La Norma ISO 27001 y la importancia de la Gestión de la Seguridad de la Información. Alcanzar la excelencia en la Seguridad de la Información. Un mejor servicio con una menor inversión. Más información Tlf. (+34) 902 361 231 www.isotools.org info@isotools.org

Recomendados

Curso SGSI
Curso SGSICurso SGSI
Curso SGSI
José María Apellidos
 
Iso 27001 Jonathan Blas
Iso 27001 Jonathan BlasIso 27001 Jonathan Blas
Iso 27001 Jonathan Blas
JonathanBlas
 
ISO 27000
ISO 27000ISO 27000
ISO 27000
indeson12
 
0405 iso 27000present final
0405 iso 27000present final0405 iso 27000present final
0405 iso 27000present final
JABERO241
 
NTC ISO/IEC 27001
NTC ISO/IEC 27001 NTC ISO/IEC 27001
NTC ISO/IEC 27001
George Gaviria
 
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
Luis Fernando Aguas Bucheli
 
Certificacion Iso 27001 isec-segurity
Certificacion Iso 27001 isec-segurityCertificacion Iso 27001 isec-segurity
Certificacion Iso 27001 isec-segurity
Securinf.com Seguridad Informatica - Tecnoweb2.com
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
ascêndia reingeniería + consultoría
 

Recomendados

Curso SGSI
Curso SGSICurso SGSI
Curso SGSI
José María Apellidos
 
Iso 27001 Jonathan Blas
Iso 27001 Jonathan BlasIso 27001 Jonathan Blas
Iso 27001 Jonathan Blas
JonathanBlas
 
ISO 27000
ISO 27000ISO 27000
ISO 27000
indeson12
 
0405 iso 27000present final
0405 iso 27000present final0405 iso 27000present final
0405 iso 27000present final
JABERO241
 
NTC ISO/IEC 27001
NTC ISO/IEC 27001 NTC ISO/IEC 27001
NTC ISO/IEC 27001
George Gaviria
 
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
Luis Fernando Aguas Bucheli
 
Certificacion Iso 27001 isec-segurity
Certificacion Iso 27001 isec-segurityCertificacion Iso 27001 isec-segurity
Certificacion Iso 27001 isec-segurity
Securinf.com Seguridad Informatica - Tecnoweb2.com
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
ascêndia reingeniería + consultoría
 
Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001
Ramiro Cid
 
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacionIso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
Gabriel Gonzales
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio
Fabián Descalzo
 
Iso 27001 interpretación introducción
Iso 27001 interpretación introducciónIso 27001 interpretación introducción
Iso 27001 interpretación introducción
Maria Jose Buigues
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
krn kdna cadena
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
osbui
 
AI04 ISO/IEC 27001
AI04 ISO/IEC 27001AI04 ISO/IEC 27001
AI04 ISO/IEC 27001
Pedro Garcia Repetto
 
Norma Iso 27001
Norma Iso 27001Norma Iso 27001
Norma Iso 27001
Juana Rotted
 
Norma iso 27002
Norma iso 27002Norma iso 27002
Norma iso 27002
FabiolaGumucio
 
Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002
Tensor
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
julianabh
 
Familia ISO/IEC 27000 evolución a septiembre 2014
Familia ISO/IEC 27000 evolución a septiembre 2014Familia ISO/IEC 27000 evolución a septiembre 2014
Familia ISO/IEC 27000 evolución a septiembre 2014
Ricardo Urbina Miranda
 
Iso27000 bernardo martinez
Iso27000 bernardo martinezIso27000 bernardo martinez
Iso27000 bernardo martinez
BernaMartinez
 
Norma iso 27000
Norma iso 27000Norma iso 27000
Norma iso 27000
Haroll Suarez
 
La norma iso 27001
La norma iso 27001La norma iso 27001
La norma iso 27001
uniminuto
 
Primer Dominio ISO 27002
Primer Dominio ISO 27002Primer Dominio ISO 27002
Primer Dominio ISO 27002
Alex Díaz
 
Normas iso-27000
Normas iso-27000Normas iso-27000
Normas iso-27000
Pedhro Acuario
 
ISO 27001 ISOTools Chile
ISO 27001 ISOTools ChileISO 27001 ISOTools Chile
ISO 27001 ISOTools Chile
ISOTools Chile
 
Norma iso 27001
Norma iso 27001 Norma iso 27001
Norma iso 27001
Jose Rafael
 
Iso 27000(2)
Iso 27000(2)Iso 27000(2)
Iso 27000(2)
Benet Oliver Noguera
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
frank Ramirez
 
Cisco preguntas frecuentes sobre el examen 200-120 CCNA R&S. Diferencias con ...
Cisco preguntas frecuentes sobre el examen 200-120 CCNA R&S. Diferencias con ...Cisco preguntas frecuentes sobre el examen 200-120 CCNA R&S. Diferencias con ...
Cisco preguntas frecuentes sobre el examen 200-120 CCNA R&S. Diferencias con ...
INGEFORMA
 

Más contenido relacionado

La actualidad más candente

Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacionIso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
Gabriel Gonzales
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
osbui
 
Familia ISO/IEC 27000 evolución a septiembre 2014
Familia ISO/IEC 27000 evolución a septiembre 2014Familia ISO/IEC 27000 evolución a septiembre 2014
Familia ISO/IEC 27000 evolución a septiembre 2014
Ricardo Urbina Miranda
 
La norma iso 27001
La norma iso 27001La norma iso 27001
La norma iso 27001
uniminuto
 
Primer Dominio ISO 27002
Primer Dominio ISO 27002Primer Dominio ISO 27002
Primer Dominio ISO 27002
Alex Díaz
 

La actualidad más candente (20)

Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001
 
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacionIso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio
 
Iso 27001 interpretación introducción
Iso 27001 interpretación introducciónIso 27001 interpretación introducción
Iso 27001 interpretación introducción
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
 
AI04 ISO/IEC 27001
AI04 ISO/IEC 27001AI04 ISO/IEC 27001
AI04 ISO/IEC 27001
 
Norma Iso 27001
Norma Iso 27001Norma Iso 27001
Norma Iso 27001
 
Norma iso 27002
Norma iso 27002Norma iso 27002
Norma iso 27002
 
Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
 
Familia ISO/IEC 27000 evolución a septiembre 2014
Familia ISO/IEC 27000 evolución a septiembre 2014Familia ISO/IEC 27000 evolución a septiembre 2014
Familia ISO/IEC 27000 evolución a septiembre 2014
 
Iso27000 bernardo martinez
Iso27000 bernardo martinezIso27000 bernardo martinez
Iso27000 bernardo martinez
 
Norma iso 27000
Norma iso 27000Norma iso 27000
Norma iso 27000
 
La norma iso 27001
La norma iso 27001La norma iso 27001
La norma iso 27001
 
Primer Dominio ISO 27002
Primer Dominio ISO 27002Primer Dominio ISO 27002
Primer Dominio ISO 27002
 
Normas iso-27000
Normas iso-27000Normas iso-27000
Normas iso-27000
 
ISO 27001 ISOTools Chile
ISO 27001 ISOTools ChileISO 27001 ISOTools Chile
ISO 27001 ISOTools Chile
 
Norma iso 27001
Norma iso 27001 Norma iso 27001
Norma iso 27001
 
Iso 27000(2)
Iso 27000(2)Iso 27000(2)
Iso 27000(2)
 

Destacado

Cisco ccna1-version-4-examenes
Cisco ccna1-version-4-examenesCisco ccna1-version-4-examenes
Cisco ccna1-version-4-examenes
Ana Chucuma
 

Destacado (6)

ISO 27001
ISO 27001ISO 27001
ISO 27001
 
Cisco preguntas frecuentes sobre el examen 200-120 CCNA R&S. Diferencias con ...
Cisco preguntas frecuentes sobre el examen 200-120 CCNA R&S. Diferencias con ...Cisco preguntas frecuentes sobre el examen 200-120 CCNA R&S. Diferencias con ...
Cisco preguntas frecuentes sobre el examen 200-120 CCNA R&S. Diferencias con ...
 
PROYECTO CCNA
PROYECTO CCNAPROYECTO CCNA
PROYECTO CCNA
 
Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013
 
Certificación Microsoft Office Specialist_vEmpresas en Chile
Certificación Microsoft Office Specialist_vEmpresas en ChileCertificación Microsoft Office Specialist_vEmpresas en Chile
Certificación Microsoft Office Specialist_vEmpresas en Chile
 
Cisco ccna1-version-4-examenes
Cisco ccna1-version-4-examenesCisco ccna1-version-4-examenes
Cisco ccna1-version-4-examenes
 

Similar a Monográfico ISO 27001 ISOTools

Seguridad de la Información ISO 27000, LOPD y su integración con otras normas
Seguridad de la Información ISO 27000, LOPD y su integración con otras normas Seguridad de la Información ISO 27000, LOPD y su integración con otras normas
Seguridad de la Información ISO 27000, LOPD y su integración con otras normas
pocketbox
 
Norma iso 27001.Autor Edickson Aguilera
Norma iso 27001.Autor Edickson AguileraNorma iso 27001.Autor Edickson Aguilera
Norma iso 27001.Autor Edickson Aguilera
Edickson Aguilera
 
Norma iso 27001, Autor Edickson Aguilera
Norma iso 27001, Autor Edickson AguileraNorma iso 27001, Autor Edickson Aguilera
Norma iso 27001, Autor Edickson Aguilera
Edickson Aguilera
 

Similar a Monográfico ISO 27001 ISOTools (20)

Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Estandares Iso
Estandares IsoEstandares Iso
Estandares Iso
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
Auditoria
AuditoriaAuditoria
Auditoria
 
Iso 27001 - Cueva Córdova Diego
Iso 27001 - Cueva Córdova DiegoIso 27001 - Cueva Córdova Diego
Iso 27001 - Cueva Córdova Diego
 
Iso 27k abril 2013
Iso 27k abril 2013Iso 27k abril 2013
Iso 27k abril 2013
 
Seguridad-auditoria
Seguridad-auditoriaSeguridad-auditoria
Seguridad-auditoria
 
Trabajo Auditoria
Trabajo AuditoriaTrabajo Auditoria
Trabajo Auditoria
 
Trabajo Auditoria
Trabajo AuditoriaTrabajo Auditoria
Trabajo Auditoria
 
Iso 27000 estandar
Iso 27000 estandarIso 27000 estandar
Iso 27000 estandar
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
 
Iso 27000 nueva copia
Iso 27000 nueva copiaIso 27000 nueva copia
Iso 27000 nueva copia
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
 
NORMAS ISO 27001
NORMAS ISO 27001NORMAS ISO 27001
NORMAS ISO 27001
 
Seguridad de la Información ISO 27000, LOPD y su integración con otras normas
Seguridad de la Información ISO 27000, LOPD y su integración con otras normas Seguridad de la Información ISO 27000, LOPD y su integración con otras normas
Seguridad de la Información ISO 27000, LOPD y su integración con otras normas
 
Norma iso 27001.Autor Edickson Aguilera
Norma iso 27001.Autor Edickson AguileraNorma iso 27001.Autor Edickson Aguilera
Norma iso 27001.Autor Edickson Aguilera
 
Norma iso 27001, Autor Edickson Aguilera
Norma iso 27001, Autor Edickson AguileraNorma iso 27001, Autor Edickson Aguilera
Norma iso 27001, Autor Edickson Aguilera
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Buenas prácticas ISO 27001
Buenas prácticas ISO 27001Buenas prácticas ISO 27001
Buenas prácticas ISO 27001
 
La norma ISO 27001
La norma ISO 27001La norma ISO 27001
La norma ISO 27001
 

Más de ISOTools Excellence

ISO 14001: Requisitos del Sistema de Gestión Ambiental. Verificación. Parte II.
ISO 14001: Requisitos del Sistema de Gestión Ambiental. Verificación. Parte II.ISO 14001: Requisitos del Sistema de Gestión Ambiental. Verificación. Parte II.
ISO 14001: Requisitos del Sistema de Gestión Ambiental. Verificación. Parte II.
ISOTools Excellence
 
ISO 14001:REQUISITOS DEL SISTEMA DE GESTIÓN AMBIENTAL. Verificación. Parte I.
ISO 14001:REQUISITOS DEL SISTEMA DE GESTIÓN AMBIENTAL. Verificación. Parte I.ISO 14001:REQUISITOS DEL SISTEMA DE GESTIÓN AMBIENTAL. Verificación. Parte I.
ISO 14001:REQUISITOS DEL SISTEMA DE GESTIÓN AMBIENTAL. Verificación. Parte I.
ISOTools Excellence
 
ISO 14001: Requisitos del Sistema de Gestión Ambiental Implementación y Opera...
ISO 14001: Requisitos del Sistema de Gestión Ambiental Implementación y Opera...ISO 14001: Requisitos del Sistema de Gestión Ambiental Implementación y Opera...
ISO 14001: Requisitos del Sistema de Gestión Ambiental Implementación y Opera...
ISOTools Excellence
 
ISO 14001: Requisitos del Sistema de Gestión Ambiental Implementación y Opera...
ISO 14001: Requisitos del Sistema de Gestión Ambiental Implementación y Opera...ISO 14001: Requisitos del Sistema de Gestión Ambiental Implementación y Opera...
ISO 14001: Requisitos del Sistema de Gestión Ambiental Implementación y Opera...
ISOTools Excellence
 
ISO 14001 REQUISITOS DEL SISTEMA DE GESTIÓN AMBIENTAL: Implementación y opera...
ISO 14001 REQUISITOS DEL SISTEMA DE GESTIÓN AMBIENTAL: Implementación y opera...ISO 14001 REQUISITOS DEL SISTEMA DE GESTIÓN AMBIENTAL: Implementación y opera...
ISO 14001 REQUISITOS DEL SISTEMA DE GESTIÓN AMBIENTAL: Implementación y opera...
ISOTools Excellence
 
ISO 14001 Requisitos del Sistema de Gestión Ambiental Implementación y Operac...
ISO 14001 Requisitos del Sistema de Gestión Ambiental Implementación y Operac...ISO 14001 Requisitos del Sistema de Gestión Ambiental Implementación y Operac...
ISO 14001 Requisitos del Sistema de Gestión Ambiental Implementación y Operac...
ISOTools Excellence
 
ISO 14001:Requisitos del Sistema de Gestión Ambiental implementación y operac...
ISO 14001:Requisitos del Sistema de Gestión Ambiental implementación y operac...ISO 14001:Requisitos del Sistema de Gestión Ambiental implementación y operac...
ISO 14001:Requisitos del Sistema de Gestión Ambiental implementación y operac...
ISOTools Excellence
 
ISO 14001: REQUISITOS DEL SISTEMA DE GESTIÓN AMBIENTAL: Implementación y oper...
ISO 14001: REQUISITOS DEL SISTEMA DE GESTIÓN AMBIENTAL: Implementación y oper...ISO 14001: REQUISITOS DEL SISTEMA DE GESTIÓN AMBIENTAL: Implementación y oper...
ISO 14001: REQUISITOS DEL SISTEMA DE GESTIÓN AMBIENTAL: Implementación y oper...
ISOTools Excellence
 
ISO 14001 REQUISITOS DEL SISTEMA DE GESTIÓN AMBIENTAL: Objetivos, metas y pro...
ISO 14001 REQUISITOS DEL SISTEMA DE GESTIÓN AMBIENTAL: Objetivos, metas y pro...ISO 14001 REQUISITOS DEL SISTEMA DE GESTIÓN AMBIENTAL: Objetivos, metas y pro...
ISO 14001 REQUISITOS DEL SISTEMA DE GESTIÓN AMBIENTAL: Objetivos, metas y pro...
ISOTools Excellence
 
ISO 14001: REQUISITOS DEL SISTEMA DE GESTIÓN AMBIENTAL: Planificación. Aspect...
ISO 14001: REQUISITOS DEL SISTEMA DE GESTIÓN AMBIENTAL: Planificación. Aspect...ISO 14001: REQUISITOS DEL SISTEMA DE GESTIÓN AMBIENTAL: Planificación. Aspect...
ISO 14001: REQUISITOS DEL SISTEMA DE GESTIÓN AMBIENTAL: Planificación. Aspect...
ISOTools Excellence
 
ISO 14001: Requisitos del Sistema de Gestión Ambiental: Planificación. Aspect...
ISO 14001: Requisitos del Sistema de Gestión Ambiental: Planificación. Aspect...ISO 14001: Requisitos del Sistema de Gestión Ambiental: Planificación. Aspect...
ISO 14001: Requisitos del Sistema de Gestión Ambiental: Planificación. Aspect...
ISOTools Excellence
 

Más de ISOTools Excellence (20)

El funcionamiento según el borrador ISO/DIS 14001
El funcionamiento según el borrador ISO/DIS 14001El funcionamiento según el borrador ISO/DIS 14001
El funcionamiento según el borrador ISO/DIS 14001
 
El apoyo en el borrador ISO/DIS 14001. Parte II
El apoyo en el borrador ISO/DIS 14001. Parte II El apoyo en el borrador ISO/DIS 14001. Parte II
El apoyo en el borrador ISO/DIS 14001. Parte II
 
El apoyo en el borrador ISO/DIS 14001. Parte I
El apoyo en el borrador ISO/DIS 14001. Parte IEl apoyo en el borrador ISO/DIS 14001. Parte I
El apoyo en el borrador ISO/DIS 14001. Parte I
 
La Planificación en el borrador ISO/DIS 14001. parte II
La Planificación en el borrador ISO/DIS 14001. parte IILa Planificación en el borrador ISO/DIS 14001. parte II
La Planificación en el borrador ISO/DIS 14001. parte II
 
La planificación en el borrador ISO/DIS 14001. Parte I
La planificación en el borrador ISO/DIS 14001. Parte ILa planificación en el borrador ISO/DIS 14001. Parte I
La planificación en el borrador ISO/DIS 14001. Parte I
 
El Liderazgo según el borrador ISO/DIS 14001
El Liderazgo según el borrador ISO/DIS 14001El Liderazgo según el borrador ISO/DIS 14001
El Liderazgo según el borrador ISO/DIS 14001
 
El contexto de la organización según el borrador ISO/DIS 14001
El contexto de la organización según el borrador ISO/DIS 14001El contexto de la organización según el borrador ISO/DIS 14001
El contexto de la organización según el borrador ISO/DIS 14001
 
ISO 14001: REQUISITOS DEL SISTEMA DE GESTIÓN AMBIENTAL: Revisión por la direc...
ISO 14001: REQUISITOS DEL SISTEMA DE GESTIÓN AMBIENTAL: Revisión por la direc...ISO 14001: REQUISITOS DEL SISTEMA DE GESTIÓN AMBIENTAL: Revisión por la direc...
ISO 14001: REQUISITOS DEL SISTEMA DE GESTIÓN AMBIENTAL: Revisión por la direc...
 
ISO 14001: Requisitos del Sistema de Gestión Ambiental. Auditoría Interna
ISO 14001: Requisitos del Sistema de Gestión Ambiental. Auditoría InternaISO 14001: Requisitos del Sistema de Gestión Ambiental. Auditoría Interna
ISO 14001: Requisitos del Sistema de Gestión Ambiental. Auditoría Interna
 
ISO 14001: Requisitos del Sistema de Gestión Ambiental. Verificación. Parte II.
ISO 14001: Requisitos del Sistema de Gestión Ambiental. Verificación. Parte II.ISO 14001: Requisitos del Sistema de Gestión Ambiental. Verificación. Parte II.
ISO 14001: Requisitos del Sistema de Gestión Ambiental. Verificación. Parte II.
 
ISO 14001:REQUISITOS DEL SISTEMA DE GESTIÓN AMBIENTAL. Verificación. Parte I.
ISO 14001:REQUISITOS DEL SISTEMA DE GESTIÓN AMBIENTAL. Verificación. Parte I.ISO 14001:REQUISITOS DEL SISTEMA DE GESTIÓN AMBIENTAL. Verificación. Parte I.
ISO 14001:REQUISITOS DEL SISTEMA DE GESTIÓN AMBIENTAL. Verificación. Parte I.
 
ISO 14001: Requisitos del Sistema de Gestión Ambiental Implementación y Opera...
ISO 14001: Requisitos del Sistema de Gestión Ambiental Implementación y Opera...ISO 14001: Requisitos del Sistema de Gestión Ambiental Implementación y Opera...
ISO 14001: Requisitos del Sistema de Gestión Ambiental Implementación y Opera...
 
ISO 14001: Requisitos del Sistema de Gestión Ambiental Implementación y Opera...
ISO 14001: Requisitos del Sistema de Gestión Ambiental Implementación y Opera...ISO 14001: Requisitos del Sistema de Gestión Ambiental Implementación y Opera...
ISO 14001: Requisitos del Sistema de Gestión Ambiental Implementación y Opera...
 
ISO 14001 REQUISITOS DEL SISTEMA DE GESTIÓN AMBIENTAL: Implementación y opera...
ISO 14001 REQUISITOS DEL SISTEMA DE GESTIÓN AMBIENTAL: Implementación y opera...ISO 14001 REQUISITOS DEL SISTEMA DE GESTIÓN AMBIENTAL: Implementación y opera...
ISO 14001 REQUISITOS DEL SISTEMA DE GESTIÓN AMBIENTAL: Implementación y opera...
 
ISO 14001 Requisitos del Sistema de Gestión Ambiental Implementación y Operac...
ISO 14001 Requisitos del Sistema de Gestión Ambiental Implementación y Operac...ISO 14001 Requisitos del Sistema de Gestión Ambiental Implementación y Operac...
ISO 14001 Requisitos del Sistema de Gestión Ambiental Implementación y Operac...
 
ISO 14001:Requisitos del Sistema de Gestión Ambiental implementación y operac...
ISO 14001:Requisitos del Sistema de Gestión Ambiental implementación y operac...ISO 14001:Requisitos del Sistema de Gestión Ambiental implementación y operac...
ISO 14001:Requisitos del Sistema de Gestión Ambiental implementación y operac...
 
ISO 14001: REQUISITOS DEL SISTEMA DE GESTIÓN AMBIENTAL: Implementación y oper...
ISO 14001: REQUISITOS DEL SISTEMA DE GESTIÓN AMBIENTAL: Implementación y oper...ISO 14001: REQUISITOS DEL SISTEMA DE GESTIÓN AMBIENTAL: Implementación y oper...
ISO 14001: REQUISITOS DEL SISTEMA DE GESTIÓN AMBIENTAL: Implementación y oper...
 
ISO 14001 REQUISITOS DEL SISTEMA DE GESTIÓN AMBIENTAL: Objetivos, metas y pro...
ISO 14001 REQUISITOS DEL SISTEMA DE GESTIÓN AMBIENTAL: Objetivos, metas y pro...ISO 14001 REQUISITOS DEL SISTEMA DE GESTIÓN AMBIENTAL: Objetivos, metas y pro...
ISO 14001 REQUISITOS DEL SISTEMA DE GESTIÓN AMBIENTAL: Objetivos, metas y pro...
 
ISO 14001: REQUISITOS DEL SISTEMA DE GESTIÓN AMBIENTAL: Planificación. Aspect...
ISO 14001: REQUISITOS DEL SISTEMA DE GESTIÓN AMBIENTAL: Planificación. Aspect...ISO 14001: REQUISITOS DEL SISTEMA DE GESTIÓN AMBIENTAL: Planificación. Aspect...
ISO 14001: REQUISITOS DEL SISTEMA DE GESTIÓN AMBIENTAL: Planificación. Aspect...
 
ISO 14001: Requisitos del Sistema de Gestión Ambiental: Planificación. Aspect...
ISO 14001: Requisitos del Sistema de Gestión Ambiental: Planificación. Aspect...ISO 14001: Requisitos del Sistema de Gestión Ambiental: Planificación. Aspect...
ISO 14001: Requisitos del Sistema de Gestión Ambiental: Planificación. Aspect...
 

Monográfico ISO 27001 ISOTools

  • 1. RIESGOS Y SEGURIDAD RIESGOS Y SEGURIDAD La Norma ISO 27001 y la importancia de la Gestión de la Seguridad de la Información Alcanzar la excelencia en la Seguridad de la Información. Un mejor servicio con una menor inversión Introducción ¿Se tiene una política formal y se han adoptado controles adecuados para la protección de riesgos de información? ¿Cuánto pagaría la competencia por su información confidencial? ¿Su base de datos está protegida? Para poder responder a estas preguntas de manera contundente, y poder protegernos de forma óptima hacia todos los ataques en cuanto a seguridad de la información, tenemos que tener muy presente en nuestra organización norma ISO 27001. La ISO 27001, Sistemas de Gestión de Seguridad de la Información es la norma que especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un sistema de gestión de la seguridad de la información garantizando el aseguramiento, la confidencialidad e integridad de los datos y de la información, así como de los sistemas que la procesan. El objetivo principal de la implantación de un SGSI es el control y mitigación de los riesgos de seguridad de la información a los que se encuentra expuesta la organización y que pueden afectar gravemente tanto a la propia empresa como a su entorno. La Norma ISO 27001 y la importancia de la Gestión de la Seguridad de la Información. Alcanzar la excelencia en la Seguridad de la Información. Un mejor servicio con una menor inversión. Más información Tlf. (+34) 902 361 231 www.isotools.org info@isotools.org La norma ISO 27001 adquiere cada vez más un papel más importante en las organizaciones, debido a la gran dependencia que existe de los sistemas de información. La vulnerabilidad de cualquier tipo de información puede traer consigo consecuencias muy importantes para dicha organización, así como sus grupos de interés. Este estándar internacional fue publicado como tal por la International Organization for Standardization y por la comisión International Electrotechnical Commission en octubre del año 2005 y actualmente es el único estándar aceptado a nivel internacional para la gestión de la Seguridad de la Información. Pero la ISO 27001, tal y como la conocemos hoy en día, ha sido resultado de la evolución de otros estándares relacionados con la seguridad de la información. En el pasado año 2013 se publicó la nueva versión que ha supuesto algunos cambios en su estructura, evaluación y tratamiento de los riesgos. La norma ISO 27001 es certificable, teniendo un reconocimiento internacional. Cualquier organización que tenga implantado un SGSI puede solicitar una auditoría a una
  • 2. RIESGOS Y SEGURIDAD entidad certificadora acreditada para obtener la certificación del sistema según ISO 27001. La ISO 27001 es perfectamente integrable con otros sistemas de gestión como ISO 9001, ISO 14001 u OHSAS, entre otras. Esta integración se hace más sencilla con esta nueva versión ISO 27001:2013, debido a que esta nueva versión de la norma está adaptada a los requisitos del Anexo SL., que es la nueva estructura ISO para cualquier sistema de gestión y que facilita la integración con cualquier otro sistema de gestión de la organización, al tener exactamente la misma estructura. Evolución de la norma ISO 27001 BS 7799-1:1995 Mejores prácticas para ayudar a las empresas británicas a administrar la Seguridad de la Información. Eran recomendaciones que no permitían la certifiación ni establecía la forma de conseguirla. 1979 1995 1998 ¿Cómo implantar un SGSI en base a ISO 27001? ISO 27001 posibilita la idea de implantar un sistema de gestión de seguridad de la información que pueda operar, monitorear, mantener y mejorar la seguridad de la información. La implantación de un SGSI debe realizarse de acuerdo a unas pautas marcadas por la ISO 27001, realizándose de manera sistemática, documentada y comunicada a toda la organización. Por ello, la implantación de un Sistema de Gestión de Seguridad de la Información es útil en cualquier empresa, pero especialmente en aquellas cuya actividad entrañe la exposición a riesgos de seguridad de la información que puedan poner en riesgo su continuidad o dañar a terceros. Existen ciertos pasos previos importantes a la implantación, y que la empresa debe afrontar, son los siguientes: Reunión inicial para identificar y conocer los procesos internos del negocio, documentación de seguridad… con objetivo de poder definir el alcance. Auditoría inicial para estar al tanto el estado de situación en seguridad de la información de donde se va a obtener una planificación personalizada y las primeras líneas de actuación. Análisis y gestión de riesgos para poder realizar La Norma ISO 27001 y la importancia de la Gestión de la Seguridad de la Información. Alcanzar la excelencia en la Seguridad de la Información. Un mejor servicio con una menor inversión. Más información Tlf. (+34) 902 361 231 www.isotools.org info@isotools.org ISO/IEC 17799:2000 La organización Internacional para la Estandarización (ISO) tomó la norma británica BS 7799-1 que dio lugar a la llamada ISO 17799, sin experimentar grandes cambios. ISO/IEC 27001:2005 e ISO/IEC 17799:2005 Aparece el estándar ISO 27001 como norma internacional certificable y se revisa la ISO 17799 dando lugar a la ISO 27001:2005. ISO 27001: 2007/1M:2009 Se publica un documento adicional de modificaciones llamado ISO 27001:2007/1M:2009. 2000 2002 2005 2007 Normas BS La British Standars Institution publica normas con el prefijo BS con carácter internacional. Estas son el origen de normas actuales como ISO 9001, ISO 14001 u OHSAS 18001. BS 7799-2:1999 Revisión de la anterior norma. Estrablecía los requisitos para implantar un Sistema de Gestión de Seguridad de la Información certificable. En 1999 se revisa. BS 7799-2:2002 Se publicó una nueva versión que permitió la acreditación de empresas por una entidad certificadora de Reino Unido y en otros países. ISO 17799. Se renombra y pasa a ser la ISO 27002:2005 ISO/IEC 27001:2007. Se publica la nueva versión 2009 2013 Nueva ISO 27001:2013
  • 3. RIESGOS Y SEGURIDAD un inventario de activos añadiendo sus amenazas, vulnerabilidades, impactos… De esta etapa resulta un plan de tratamiento de riesgos. Con esto la empresa está lista para implantar el SGSI fundamentado ISO 27001, siguiendo estos pasos: Alcance Toda implantación ha de comenzar con la definición del alcance del sistema, es decir, el ámbito de la organización que va a trabajar bajo los requisitos de la norma. Es conveniente revisar el estado inicial de la organización en relación a los puntos de la norma. Con esto se fija el punto de partida y de referencia para medir el progreso que se irá alcanzando con el SGSI. Es importante evaluar, aprobar y distribuir la política de seguridad que represente los objetivos y líneas a seguir en materia de seguridad de la información. Ciclo PDCA Es el instante de implantar el plan de tratamiento de riesgos que se creó en la etapa antepuesta. Revisión por la dirección y auditoría interna La revisión es responsabilidad del comité de seguridad, y se propondrán cambios y mejoras. Mejora continua Mediante el análisis de las no conformidades detectadas se pretende impedir que éstas se vuelvan a producir, mejorando el SGSI ISO 27001. En definitiva, la implantación de un SGSI basado en ISO 27001, supone el conocimiento, de la organización en su conjunto y de los riesgos a los que se encuentra expuesta. De manera que se asuman y se trabaje en su minimización y control de manera sistemática, para mejorar continuamente. Es indispensable que la Dirección esté implicada para que el SGSI tenga éxito, ésta debe decidir, apoyar, aprobar, dirigir y dotar de recursos a la empresa para llegar al éxito del sistema. Se creará una estructura organizativa de la seguridad interna, liderada por un responsable de seguridad, así como un comité de seguridad que tome decisiones de alto nivel relativas al SGSI. PDCA Cycle Análisis de Riesgos La siguiente paso es elaborar un inventario de activos. Se han de identificar todos los activos de la entidad susceptibles de ser gestionados en relación con la seguridad de la información. Se recomienda, para facilitar esta tarea, clasificar o categorizar los activos. Se debe tantear la probabilidad de ocurrencia de la amenaza, el impacto que supondría y definir un nivel de riesgo aceptable por la organización. A continuación se debe pasar al tratamiento de los riesgos no aceptados por la organización. De esta etapa resultará un plan de tratamiento de riesgos. La Norma ISO 27001 y la importancia de la Gestión de la Seguridad de la Información. Alcanzar la excelencia en la Seguridad de la Información. Un mejor servicio con una menor inversión. Más información Tlf. (+34) 902 361 231 www.isotools.org info@isotools.org Planificar (PLAN) Se centra en entender el comportamiento energético de la Organización para establecer los controles y objetivos necesarios que permitan mejorar el desempeño energético. Hacer (DO) Busca implementar procedimientos y procesos sistematizados, con el fin de controlar y mejorar el desempeño energético. Verificar (CHECK) Monitorear y medir procesos y productos en base a las Políticas, Objetivos y características claves de las operaciones y reportar los resultados. Actuar (ACT) Deben tomarse acciones para mejorar continuamente el desempeño energético en base a los resultados.
  • 4. RIESGOS Y SEGURIDAD La implantación de un SGSI basado en ISO 27001, obviamente, supone una dedicación e inversión de recursos, pero, como contraprestación aporta grandes beneficios a las empresas que deciden implantarlo. Con la aplicación de ISO 27001, se obtienen importantes mejoras en la competitividad, al mismo tiempo que se mejora su imagen. Todos estos beneficios vienen derivados del establecimiento de una operativa basada en la seguridad y la excelencia en el tratamiento de la información en la organización, que se traducen en un mejor servicio con una menor inversión. Estas son las ventajas más destacables que aporta su implantación: Ventajas de implantar un SGSI basado en ISO 27001 Garantizar la confidencialidad, integridad y disponibilidad de información sensible. Cumplir la legislación vigente referente a seguridad de la información. Disminuir el riesgo, con la consiguiente reducción de gastos asociados. Cumplir la legislación vigente referente a seguridad de la información. Reducir la incertidumbre por el conocimiento de los riesgos e impactos asociados. Aumentar las oportunidades de negocio. Reducir los costos asociados a los incidentes. Mejorar continuamente la gestión de la seguridad de la información. Mejorar la implicación y participación del personal en la gestión de la seguridad. Garantizar la continuidad del negocio. Aumentar de la competitividad por mejora de la imagen corporativa. Posibilidad de integración con otros sistemas de gestión como ISO 9001, ISO14001, OHSAS 18001, entre otros. Incrementar de la confianza de los stakeholders. Mejorar los procesos y servicios prestados. Aumentar de rentabilidad, derivado de un control de los riesgos. Aumentar de la competitividad por mejora de la imagen corporativa. La Norma ISO 27001 y la importancia de la Gestión de la Seguridad de la Información. Alcanzar la excelencia en la Seguridad de la Información. Un mejor servicio con una menor inversión. Más información Tlf. (+34) 902 361 231 www.isotools.org info@isotools.org
  • 5. RIESGOS Y SEGURIDAD Nueva versión de ISO 27001:2013 La implantación de un SGSI basado en ISO 27001, obviamente, supone una dedicación e inversión de recursos, pero, como contraprestación aporta grandes beneficios a las empresas que deciden implantarlo. Con la aplicación de ISO 27001, se obtienen importantes mejoras en la competitividad, al mismo tiempo que se mejora su imagen. Otras de las ventajas que aporta su implantación son: 1. Desaparece el apartado “Enfoque a procesos” que establecía una metodología de trabajo en base al ciclo PDCA de mejora continua, ofreciendo una mayor flexibilidad en cuanto a la elección de metodologías de trabajo de análisis de riesgos o de mejora continua. Desaparece Enfoque a procesos 2. Cambio de la estructura de acuerdo al Anexo SL común al resto de estándares ISO, lo que facilita la integración entre sistemas. 3. Este mismo anexo SL, establece un nuevo modelo de estructura de la documentación, que elimina la obligatoriedad de algunos documentos en la versión anterior, conservándose solamente como obligatoria la declaración de aplicabilidad. 4. Se revisan los requisitos y controles. Los requisitos pasan de ser 102 a 130, lo controles establecidos en el Anexo A se eliminan, fusionan y añaden, viéndose aumentado el número de dominios de 11 a 14 y reduciéndose el número de controles de 133 a 114. Destacamos un nuevo dominio que se crea sobre “Relaciones con el Proveedor” debido a la evolución a la nube o Cloud Computing. 5. Enfoque del análisis del riesgo en la fase de planificación y operación. A partir de ahora para identificar los riesgos no es necesario identificar los activos, las amenazas y sus vulnerabilidades. Sino que se parte del análisis de riesgos para determinar los controles necesarios y compararlos con el Anexo A para que no se olvide ninguno aplicable. Cambio de estructura que facilita la integración Nuevo modelo de estructura documental Nueva ISO 27001:2013 Se revisan requisitos y controles Enfoque del análisis del riesgo en la fase de planificación y operación. Todos estos beneficios vienen derivados del establecimiento de una operativa basada en la seguridad y la excelencia en el tratamiento de la información en la organización, que se traducen en un mejor servicio con una menor inversión. La Norma ISO 27001 y la importancia de la Gestión de la Seguridad de la Información. Alcanzar la excelencia en la Seguridad de la Información. Un mejor servicio con una menor inversión. Más información Tlf. (+34) 902 361 231 www.isotools.org info@isotools.org
  • 6. RIESGOS Y SEGURIDAD Conclusiones La implantación de un SGSI basado en ISO 27001, supone el conocimiento, de la organización en su conjunto, de los riesgos a los que se encuentra expuesta. De manera que se asuman y se trabaje en su minimización y control de manera sistemática, para mejorar continuamente. La ISO 27001 es perfectamente integrable con otros sistemas de gestión como ISO 9001, ISO 14001 u OHSAS, entre otras. Esta integración se hace más sencilla con esta nueva versión ISO 27001:2013 Ya está vigente la nueva versión ISO 27001:2013 que sustituye a la anterior ISO 27001:2005. La ISO 27001 permite una operativa basada en la seguridad y la excelencia en el tratamiento de la información en la organización, que se traducen en un mejor servicio con una menor inversión. La Plataforma Tecnológica ISOTools le ayuda a automatizar su sistema ISO 27001 ISOTools es la Plataforma Tecnológica ideal para facilita la implementación, mantenimiento y automatización de su sistemas de gestión de Seguridad en la Información conforme a la norma ISO 27001:2013. Así como dar cumplimiento de manera complementaria y sencilla a las buenas prácticas o controles establecidos en ISO 27002. ISOTools es una herramienta de gestión integral de la norma que cumple con el ciclo completo de la misma, desde las fases de inicio y planificación del proyecto hasta el mantenimiento y mejora continua, pasando por el análisis de riesgos, el cuadro de mando, la implantación de procedimientos, etc. Con ISOTools puede integrar, en una misma Herramienta, este estándar con otros existentes en la organización como ISO 9001, ISO 14001, OHSAS 18001, entre otras. La Norma ISO 27001 y la importancia de la Gestión de la Seguridad de la Información. Alcanzar la excelencia en la Seguridad de la Información. Un mejor servicio con una menor inversión. Más información Tlf. (+34) 902 361 231 www.isotools.org info@isotools.org