ISO 27001

ISO 27001 posibilita la idea de implantar un sistema de gestión de seguridad de la información, tambien conocido por las siglas SGSI muy útil para las organizaciones que deseen operar, monitorear, mantener y mejorar la seguridad de la información.

Antes de llevar a cabo la implantación del estándar, es necesario que la organización afronte ciertos pasos previos importantes a la implantación:

• Reunión inicial: para identificar y conocer los procesos internos del negocio, documentación de seguridad, etc. El objetivo principal se basa en poder definir el alcance.

• Auditoria inicial: se realiza para estar al tanto del estado de situación en temas de seguridad de la información, de ella se va a obtener una planificación personalizada y las primeras líneas de actuación.

• Análisis y gestión de riesgos:  para poder realizar un inventario de activos en el que se incluyan las amenazas, vulnerabilidades, impactos, etc. De esta etapa resulta un plan de tratamiento de riesgos.

Con esto, la empresa está lista para realizar los pasos oportunos para implantar el SGSI fundamentado en la norma ISO-27001:

• Alcance

Toda implantación de un sistema de gestión de seguridad d ela información basado en la  ISO 27001, ha de comenzar con la definición del alcance del sistema, es decir, el ámbito en el que la organización va a trabajar según los requisitos establecidos por la norma.

Es conveniente revisar el estado inicial de la organización en relación a los puntos de la norma, con esto se fija el punto de partida y de referencia para medir el progreso que se irá alcanzando con el SGSI.

Es importante evaluar, aprobar y distribuir la política de seguridad que represente los objetivos y líneas a seguir en materia de seguridad de la información.

Resulta indispensable que la Dirección esté implicada para que el SGSI tenga éxito, ésta debe decidir, apoyar, aprobar, dirigir y dotar de recursos a la empresa para llegar que el sistema se implante y mantenga con éxito.

Se creará una estructura organizativa de la seguridad interna, liderada por un responsable de seguridad, así como un comité de seguridad que tome decisiones de alto nivel relativas al SGSI.

• Análisis de riesgos

La primera labor es desarrollar un inventario de activos, se han de identificar todos los activos de la entidad susceptibles de ser gestionados en relación con la seguridad de la información. Se recomienda que para facilitar esta tarea se realice una clasificación o categorización de los activos.

Se debe tantear la probabilidad de ocurrencia de la amenaza, el impacto que supondría y definir un nivel de riesgo aceptable por la organización. A continuación se debe pasar al tratamiento de los riesgos no aceptados por la organización, de esta etapa resultará un plan de tratamiento de riesgos.

• Ciclo PDCA

Es el momento en el que se lleva a cabo la implantación del plan de tratamiento de riesgos que se creó en la etapa antepuesta.

• Revisión por la dirección y auditoria interna

La revisión es responsabilidad del comité de seguridad, y se propondrán cambios y mejoras.

• Mejora

Mediante el análisis de las No Conformidades detectadas, se pretende impedir que éstas se vuelvan a producir, consiguiendo mejoras en el SGSI.

La Plataforma Tecnológica ISOTools es una herramienta que facilita el proceso de implantación del SGSI según la ISO 27001, mediante la automatización, gestión y control del sistema de gestión.