La norma ISO 27001 proporciona las directrices necesarias para definir un sistema de gestión de la seguridad de la información. Esto abarca no sólo los aspectos técnicos, como la infraestructura y los medios técnicos, sino también las buenas prácticas empresariales, las políticas de tratamiento de la información, la formación del personal y los planes de contingencia, entre otros.
¿Cuáles son los principales principios y requisitos de la ISO 27001?
1. Contexto de la organización
Las distintas organizaciones de diferentes sectores están potencialmente expuestas a diferentes factores, tanto internos como externos, que pueden suponer una amenaza para su forma de gestionar la información. Aquí entran en juego, entre otras cosas, las características técnicas de los sistemas de información, las expectativas de las partes interesadas, los requisitos legales, las obligaciones contractuales y la información especialmente sensible.
2. Alcance del SGSI
Un Sistema de Gestión de la Seguridad de la Información (SGSI) debe planificarse teniendo en cuenta su ámbito de aplicación, es decir, definiendo los procesos y las actividades implicadas, los tipos de información que hay que vigilar y proteger y, a la inversa, definiendo también sus límites, técnicos o de otro tipo. Para una mayor eficacia, el SGSI debe integrar los sistemas y procesos de gestión en funcionamiento dentro de la organización.
3. Liderazgo
La dirección de la organización tiene un papel fundamental en la definición y el mantenimiento de este sistema de gestión. Son los líderes jerárquicos los responsables de la elaboración de una política de seguridad de la información, de su integración en los procesos de la organización, de la comunicación de sus principios a través de la cadena jerárquica y de la promoción continua del tema dentro de su organización, incluyendo la impartición de una formación adecuada a su personal.
4. Planificación
La planificación es fundamental, sobre todo en lo que se refiere al establecimiento de procesos de gestión de riesgos y oportunidades dentro del SGSI, incluyendo: criterios de riesgo, identificación de amenazas, evaluación de riesgos asociados a cada peligro, medidas de mitigación y control, incluidos los planes de tratamiento de riesgos, sin olvidar la concreción de los objetivos de seguridad de la información.
5. Soporte
Por soporte se entiende la adquisición y asignación de todos los recursos necesarios para la aplicación efectiva del sistema de gestión. Se puede considerar aquí la infraestructura (por ejemplo, servidores y programas informáticos), los recursos humanos (por ejemplo, empleados especializados o proveedores externos) y los conocimientos técnicos (por ejemplo, acciones de formación o sensibilización).
6. Operación
En esta fase se lleva a cabo toda la ejecución de los planes y procesos definidos anteriormente. Es importante mencionar que la fase de explotación debe ir acompañada de una elaboración cuidadosa y bien organizada de la documentación, capaz de detallar todas las actividades realizadas. Solo así será posible, en una fase posterior, evaluar el trabajo realizado y detectar los problemas y riesgos que hay que corregir.
7. Evaluación de resultados
Como es lógico, la fase de evaluación del rendimiento busca asegurar la calidad del trabajo desarrollado, siendo el garante de la eficacia del SGSI y potenciando la introducción de futuras mejoras, así como minimizando los problemas detectados, alimentando los procesos de auditoría interna.
8. Mejora
Cualquier problema o no conformidad detectado durante la fase de evaluación debe dar lugar a una rápida intervención, ya sea en el sentido de minimizar las posibles pérdidas y daños, o con la intención de evitar su futura reproducción. Cualquier vulnerabilidad en términos de seguridad de la información puede tener fuertes impactos a nivel reputacional y legal, pudiendo tener consecuencias en el marco del RGPD, donde las multas se calculan en función del volumen de ventas anual de una organización.
¡Consúltanos!
Acerca de SGS
Somos SGS, la empresa líder mundial en ensayos, inspección y certificación. Somos reconocidos como el referente mundial en sostenibilidad, calidad e integridad. Nuestro equipo está formado por 98.000 personas que operan en una red de 2.650 oficinas y laboratorios trabajando para hacer posible un mundo mejor, más seguro e interconectado.
C/ Trespaderne 29,
Edif. Barajas I. Barrio Aeropuerto, 28042,
Madrid, Madrid, España