Publicado el Deja un comentario

FAQ ISO 27001

¿Qué es ISO 27001 y para qué sirve?
ISO 27001 es una norma internacional que permite el aseguramiento, la confidencialidad e integridad de los datos y de la información, así como de los sistemas que la procesan. … La Gestión de la Seguridad de la Información se complementa con las buenas prácticas o controles establecidos en la norma ISO 27002.

¿Qué es seguridad de la información ISO 27001?
El SGSI (Sistema de Gestión de Seguridad de la Información) es el concepto central sobre el que se construye ISO 27001. La gestión de la seguridad de la información debe realizarse mediante un proceso sistemático, documentado y conocido por toda la organización.
¿Cuál es el objetivo de la seguridad de la información?
El objetivo de la seguridad informática es mantener la Integridad, Disponibilidad, Privacidad, Control y Autenticidad de la información manejada por computadora. Los usuarios deben tener disponibles todos los componentes del sistema cuando así lo deseen.

La ISO/IEC 27001 se basa en el conocido «Ciclo de Deming» Plan-Do-Check-Act (PDCA o PHVA) que significa «Planificar-Hacer-Verificar-Actuar» siendo este un enfoque de mejora continua:

Plan (planificar): es una fase de diseño del SGSI, realizando la evaluación de riesgos de seguridad de la información y la selección de controles adecuados .
Do (hacer): es una fase que envuelve la implantación y operación de los controles.
Check (verificar): es una fase que tiene como objetivo revisar y evaluar el desempeño (eficiencia y eficacia) del SGSI.
Act (actuar): en esta fase se realizan cambios cuando sea necesario para llevar de vuelta el SGSI a máximo rendimiento.
SGSI es descrito por la ISO/IEC 27001 y ISO/IEC 27002 y relaciona los estándares publicados por la International Organization for Standardization (ISO) y la International Electrotechnical Commission (IEC). JJO también define normas estandarizadas de distintos SGSI.

Publicado el Deja un comentario

¿Cómo implementar ISO 27001?

Para implementar la norma ISO 27001 en una empresa, usted tiene que seguir estos 16 pasos:

1) Obtener el apoyo de la dirección
2) Utilizar una metodología para gestión de proyectos
3) Definir el alcance del SGSI
4) Redactar una política de alto nivel sobre seguridad de la información
5) Definir la metodología de evaluación de riesgos
6) Realizar la evaluación y el tratamiento de riesgos
7) Redactar la Declaración de aplicabilidad
8) Redactar el Plan de tratamiento de riesgos
9) Definir la forma de medir la efectividad de sus controles y de su SGSI
10) Implementar todos los controles y procedimientos necesarios
11) Implementar programas de capacitación y concienciación
12) Realizar todas las operaciones diarias establecidas en la documentación de su SGSI
13) Monitorear y medir su SGSI
14) Realizar la auditoría interna
15) Realizar la revisión por parte de la dirección
16) Implementar medidas correctivas

Publicado el Deja un comentario

¿Qué es un SGSI?

SGSI es la abreviatura utilizada para referirse a un Sistema de Gestión de la
Seguridad de la Información. ISMS es el concepto equivalente en idioma inglés, siglas
de Information Security Management System.
En el contexto aquí tratado, se entiende por información todo aquel conjunto de datos
organizados en poder de una entidad que posean valor para la misma,
independientemente de la forma en que se guarde o transmita (escrita, en imágenes,
oral, impresa en papel, almacenada electrónicamente, proyectada, enviada por correo,
fax o e-mail, transmitida en conversaciones, etc.), de su origen (de la propia
organización o de fuentes externas) o de la fecha de elaboración.

La seguridad de la información, según ISO 27001, consiste en la preservación de su
confidencialidad, integridad y disponibilidad, así como de los sistemas implicados en
su tratamiento, dentro de una organización. Así pues, estos tres términos constituyen
la base sobre la que se cimienta todo el edificio de la seguridad de la información:
• Confidencialidad: la información no se pone a disposición ni se revela a individuos,
entidades o procesos no autorizados.
• Integridad: mantenimiento de la exactitud y completitud de la información y sus
métodos de proceso.
• Disponibilidad: acceso y utilización de la información y los sistemas de tratamiento
de la misma por parte de los individuos, entidades o procesos autorizados cuando lo
requieran.
Para garantizar que la seguridad de la información es gestionada correctamente, se
debe hacer uso de un proceso sistemático, documentado y conocido por toda la
organización, desde un enfoque de riesgo empresarial. Este proceso es el que
constituye un SGSI.

www.iso27000.es