La información es fundamental para el funcionamiento y para la supervivencia de una empresa. Por lo cual existen diversos medios y regulaciones que permiten la seguridad de los datos e información.

Haciendo referencia propiamente a las regulaciones podemos decir que la ISO/IEC 27001 es la única norma internacional auditable que define lo requisitos para un sistema de gestión de la seguridad de la información (SGSI). La norma se ha concebido para garantizar la selección de controles de seguridad adecuados y proporcionales. Todo lo mencionado permite proteger los activos de información y otorga confianza a cualquiera de las partes interesadas, sobre todo a los clientes. La norma adopta un enfoque por procesos para establecer, implantar, operar, supervisar, revisar, mantener y mejorar un SGSI.

ISO/IEC 27001 es una norma adecuada para cualquier organización, grande o pequeña, de cualquier sector o parte del mundo. La norma es particularmente interesante si la protección de la información es crítica, como en finanzas, sanidad sector público y tecnología de la información (TI). Esta norma es también es muy eficaz para organizaciones que gestionan la información por encargo de otros.

Es importante saber que la implantación de ISO/IEC 27001 en una organización es un proyecto completo que suele tener una duración entre 6 y 12 meses, dependiendo del grado de madurez en seguridad de la información y el alcance, entendiendo éste último como el ámbito de la organización que va a estar sometido al Sistema de Gestión de la Seguridad de la Información elegido. Aquellas organizaciones que hayan adecuado previamente de forma rigurosa sus sistemas de información y sus procesos de trabajo a las exigencias de las normativas legales de protección de datos o que hayan realizado un acercamiento progresivo a la seguridad de la información mediante la aplicación de las buenas prácticas de ISO/IEC 27002, partirán de una posición más ventajosa a la hora de implantar ISO/IEC 27001.

El equipo de proyecto de implantación debe estar formado por representantes de todas las áreas de la organización que se vean afectadas por el SGSI, liderado por la dirección y asesorado por consultores externos especializados en seguridad informática generalmente Ingenieros o Ingenieros Técnicos en Informática, derecho de las nuevas tecnologías, protección de datos y sistemas de gestión de seguridad de la información.

Es importante destacar que se recomienda tener al menos una persona que haya realizado un curso de implantador de SGSI.

Como dato anexo les comentamos que la seguridad de la información tiene asignada la serie 27000 dentro de los estándares ISO/IEC:

• ISO 27000: Contiene la descripción general y vocabulario a ser empleado en toda la serie 27000. Se puede utilizar para comprender la serie y la relación entre los diferentes documentos que la conforman.
• UNE-ISO/IEC 27001:2007 “Sistemas de Gestión de la Seguridad de la Información (SGSI). Requisitos”. Es la norma principal de requisitos de un Sistema de Gestión de Seguridad de la Información. Los SGSIs deberán ser certificados por auditores externos a las organizaciones. En su Anexo A, contempla una lista con los objetivos de control y controles que desarrolla la ISO 27002.
• ISO 27002: (anteriormente denominada ISO17799).Guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información con 11 dominios, 39 objetivos de control y 133 controles.
• ISO 27003: Contiene una guía de implementación de SGSI e información acerca del uso del modelo PDCA y de los requisitos de sus diferentes fases. Tiene su origen en el anexo B de la norma BS 7799-2 y en la serie de documentos publicados por BSI a lo largo de los años con recomendaciones y guías de implantación.
• ISO 27004: Especifica las métricas y las técnicas de medida aplicables para determinar la eficiencia y eficacia de la implantación de un SGSI y de los controles relacionados.
• ISO 27005: Consiste en una guía para la gestión del riesgo de la seguridad de la información y sirve, por tanto, de apoyo a la ISO 27001 y a la implantación de un SGSI.
• ISO 27006: Especifica los requisitos para acreditación de entidades de auditoría y certificación de sistemas de gestión de seguridad de la información.

Cabe destacar que no somos especialistas en esta norma pero al menos queríamos responder a las solicitudes de los lectores informando de manera general sobre esta norma que es tan importante al momento de asegurar nuestra información. Esperamos que este post sea de utilidad y los invitamos a dejar sus comentarios y aportes sobre el tema elegido. Si poseen experiencia implementando esta norma sería interesante que lo compartieran para saber cuáles son las dificultades y beneficios de su implementación. 

Hasta el próximo post!

FUENTE: http://oriondesarrollos.com.ar/blog/2011/09/26/isoiec-27001-seguridad-de-la-informacin

Comments

No responses.