Saltear al contenido principal
aspectos organizativos para la Seguridad de la Información

ISO 27001: Aspectos organizativos para la Seguridad de la Información

aspectos organizativos para la Seguridad de la Información

En el artículo de hoy vamos a revisar cuáles son los principales aspectos organizativos para la Seguridad de la Información en el marco de la norma ISO 27001: Organización Interna, Comité de Gestión de Seguridad de la Información, Coordinación de la Seguridad de la Información y Asignación de Responsabilidades en torno a la Seguridad de la Información.

Organización Interna

A nivel interno, tenemos que posibilitar una estructura que permita iniciar y controlar la implementación de Seguridad de la Información en el seno de la organización.

Crear esa estructura será posible organizando una adecuada comunicación para que la gerencia pueda aprobar la política de Seguridad de la Información, asignando responsabilidades y coordinando la implementación de la seguridad en todos los niveles de la organización.

En muchas ocasiones, resulta recomendable contar con el asesoramiento de consultores externos especializados en Seguridad de la Información que aporten el conocimiento necesario acerca de las tendencias de la industria en materia de Seguridad, las últimas novedades respecto a normativa y métodos de evaluación y puedan aportar recomendaciones en caso de incidencias de seguridad.

Comité de Gestión de Seguridad de la Información

Es la labor de la gerencia apoyar de forma activa la seguridad dentro de la propia organización mediante órdenes claras que demuestren su compromiso, asignaciones explícitas que faciliten al equipo comprender lo que se espera de ellos y llevarlo a cabo y un reconocimiento de las responsabilidades relacionadas con la Seguridad de la Información.
Algunas de las funciones que ese Comité de Seguridad de la Información debe llevar a cabo son:

  • Formular, revisar y aprobar la política de Seguridad de la Información.
  • Identificar las metas que se persigue con la seguridad de la información y asegurar que estas estén relacionadas con las exigencias de la organización e integradas en los procesos relevantes.
  • Proveer al equipo de directrices claras y de un gran apoyo durante la gestión de iniciativas en materia de seguridad.
  • Facilitar todos los recursos que sean necesarios.
  • Aprobar la asignación de responsabilidades respecto de la Seguridad de la Información.
  • Llevar a cabo los controles necesarios que verifiquen la idoneidad de la implementación de la Seguridad de la Información que se está realizando en la organización.

Coordinación de la Seguridad de la Información

Coordinar la Seguridad de la Información implica la cooperación y coordinación entre gerentes, responsables de área, clientes, diseñadores y personal que realice la auditoría de la norma ISO 27001 y un dominio de distintas áreas que abarquen desde los seguros, los recursos humanos, los trámites legales, la tecnología de la información y la gestión del riesgo.

Cuando hablamos de coordinación, no debemos olvidarnos de:

  • Asegurarnos de cumplir con la política de Seguridad de la Información establecida en la organización.
  • Identificar cómo se deben de manejar los no cumplimientos.
  • Aprobar las metodologías y procesos que se van a llevar a cabo para garantizar la seguridad de la información.
  • Adelantar todas las posibles amenazas o exposición de la información.
  • Establecer y realizar los controles necesarios para verificar que sé la información está segura.
  • Promover dentro de la organización una cultura de conciencia de Seguridad de la Información.

Asignación de Responsabilidades sobre Seguridad de la Información

Como ya hemos comentado anteriormente, se tienen que definir de una forma clara todas las responsabilidades locales para activos físicos y de información individualizados, así como los procesos de seguridad y los responsables de cada uno de ellos. Y además, es necesario documentar todos los niveles de autorización.

Gestionar a nivel práctico la Seguridad de la Información ISO 27001

Los Sistemas de Gestión de Seguridad de la Información o SGSI hacen posible que las organizaciones lleven a cabo una evaluación del riesgo y adopten los controles imprescindibles para lograr mitigarlos e incluso eliminarlos de una forma automatizada, con pleno control a lo largo de todo el proceso y que facilitan la gestión de los aspectos organizativos de la Seguridad para la Información que hemos revisado.

Ponte en contacto con el equipo de ISOTools Chile si necesitas que te asesore un experto.

¿Desea saber más?

Entradas relacionadas

Plan De Respuesta A Emergencias
6 Puntos clave para probar su plan de respuesta a emergencias

Hemos hablado de la importancia del plan de respuesta a emergencias, de las características que este documento debe…

Ver más
Volver arriba