2. ¿Qué es?
Una norma internacional emitida por la Organización
Internacional de Normalización (ISO) y describe cómo
gestionar la seguridad de la información en una empresa.
La revisión más reciente de esta norma fue publicada en
2013 y su nombre completo es ISO/IEC 27001:2013.
Puede ser implementada en cualquier tipo de
organización, con o sin fines de lucro, privada o
pública, pequeña o grande.
3. Objetivo Principal
Proteger la
confidencialidad,
integridad y disponibilidad
de la información en una
empresa.
Investigando cuáles son los
potenciales problemas que
podrían afectar la
información (evaluación de
riesgos) y luego definiendo
lo que es necesario hacer
para evitar que estos
problemas se produzcan
(mitigación del riesgo).
4. ¿Cómo funciona?
Filosofía principal: investigar dónde están los riesgos y luego
tratarlos sistemáticamente.
La implementación demanda la gestión de múltiples políticas,
procedimientos, personas, bienes, etc., que sean necesarios.
No se acota solamente a la seguridad de TI (cortafuegos,
antivirus, etc.), sino también la gestión de procesos, de los
recursos humanos, reglamentos, políticas,etc.
5. Importancia
• Cumplir con los requerimientos legales : cada vez
hay más leyes, normativas y requerimientos
contractuales relacionados con la seguridad de la
información y la mayoría de ellos se pueden resolver
implementando ISO 27001
• Obtener una ventaja comercial : si una empresa
obtiene la certificación y sus competidores no, es
posible que obtenga una ventaja sobre ellos ante los
ojos de los clientes.
6. Importancia
• Menores costos : cada incidente, ya sea grande o
pequeño, cuesta dinero; por lo tanto, evitándolos una
empresa va a ahorrar mucho dinero.
• Una mejor organización : las empresas de rápido
crecimiento no tienen tiempo para hacer una pausa y
definir sus procesos y procedimientos; como
consecuencia, muchas veces los empleados no saben
qué hacer ante distintas situaciones. La norma ayuda a
resolver este tipo de situaciones ya que dicta el cómo
proceder.
8. Elementos
clave de
la
seguridad
de la
Informació
n
Personas: realizan la gestión y el tratamiento
de la información como empleados, directivos,
autoridades competentes, clientes, entre
otros.
Procesos: actividades que se realizan para
cumplir con los objetivos planteados, la
mayoría de estas incluyen información o
dependen de esta.
Tecnología: está relacionada con los servicios
e infraestructura de la empresa, lleva el
manejo de la información, además, permite
almacenar, recuperar, difundir y darle
mantenimiento a los datos de valor que se
encuentran ahí.