ISO 27001

Gestin de la Seguridad de la Informacin

Para el fin de preservar la informacin, se ha demostrado que no es suficiente la

implantacin de controles y procedimientos de seguridad realizados frecuentemente sin

un criterio comn establecido, en torno a la compra de productos tcnicos y sin

considerar toda la informacin esencial que se debe proteger.

La Organizacin Internacional de Estandarizacin (ISO), a travs de las normas recogidas

en ISO / IEC 27000, establece una implementacin efectiva de la seguridad de la

informacin empresarial desarrolladas en las normas ISO 27001 / ISO 27002.

Los requisitos de la Norma ISO 27001 norma nos aportan un Sistema de Gestin de la

Seguridad de la Informacin (SGSI), consistente en medidas orientadas a proteger la

informacin, indistintamente del formato de la misma, contra cualquier amenaza, de

forma que garanticemos en todo momento la continuidad de las actividades de la empresa.

Los Objetivos del SGSI son preservar la:

Confidencialidad Integridad y Disponibilidad de la Informacin

Elementos o fases para la Implementacin de un SGSI

El Sistema de Gestin de La Seguridad de la Informacin que propone la Norma ISO

27001 se puede resumir en las siguientes fases que se detallan en la figura:

UN SGSI, QU BENEFICIOS APORTA? Un anlisis de riesgos, identificando amenazas, vulnerabilidades e impactos en la

actividad empresarial. Una mejora continua en la gestin de la seguridad. Una garanta de continuidad y disponibilidad del negocio. Reduccin de los costos vinculados a los incidentes. El incremento de los niveles de confianza de clientes y partners. El aumento del valor comercial y mejora de la imagen de la organizacin. Voluntad

de cumplir con la legislacin vigente de proteccin de datos de carcter personal,

servicios de la sociedad e la informacin, comercio electrnico, propiedad

intelectual y en general, aquella relacionada con la seguridad de la informacin.

IMPLANTACIN DE UN SGSI Para realizar la implementacin de un SGSI con xito, por nuestra experiencia y

conocimientos, consideramos que los puntos esenciales a tener en cuenta, siempre

que se inicie un proyecto de consultora SGSI son: El alcance y la planificacin temporal requerido por el SGSI. El compromiso y completa implicacin de la Direccin en el proyecto desde

inicio a fin. El nivel de seguridad deseado, tamao y complejidad de la organizacin.

PROCESO DE IMPLANTACIN Este estndar internacional adopta el modelo de mejora continua PDCA (Planificar, hacer, verificar y actuar) aplicado a toda la estructura de procesos del

SGSI. El modelo PDCA establece que no es suficiente con el diseo e

implementacin del SGSI, sino que es necesario garantizar la revisin peridica y

continua actualizacin y mejora del mismo, permitiendo a cada organizacin

utilizar los instrumentos que consideren oportunos para medir y controlar la mejora

del sistema. Un SGSI debe identificar fundamentalmente, los objetivos y alcance del sistema,

los procesos de negocio crticos para la organizacin.

CERTIFICACIN ISO 27001

La certificacin del SGSI contribuye a fomentar las actividades y procesos de proteccin de la

informacin dentro de las organizaciones, mejorando su imagen y generando confianza ante

terceros. Una vez finalizado el proceso de implantacin del SGSI, si la organizacin lo decide, tiene la

opcin de certificar su SGSI conforme a normativas internacionales, (actualmente ISO 27001).

El SGSI segn la norma ISO 27001 es complementario a los sistemas de gestin de la calidad

ISO 9001 y gestin medioambiental ISO 14001.

QUIN PUEDE CERTIFICAR?

El proceso de certificacin lo realiza una tercera entidad acreditada por ENAC (Entidad Nacional de Acreditacin), que evaluar el SGSI de la organizacin y expedir un certificado que

demuestra que la organizacin satisface los requisitos de la norma ISO 27001. El certificado se

mantendr siempre y cuando la organizacin contine cumpliendo los requisitos de la norma. Algunas de las empresas certificadoras, en orden alfabtico, son: ASOCIACIN ESPAOLA DE NORMALIZACIN Y CERTIFICACIN (AENOR)

BRITISH STANDARS INSTITUTION ESPAA, S.A. BVQI SERVICIOS DE CERTIFICACIN, S.A.

EUROPEAN QUALITY ASSURANCE

POR QU CERTIFICARSE EN LA NORMA ISO 27001?

La certificacin demuestra a clientes, competidores, proveedores, personal e

inversores, que una organizacin emplea buenas prcticas revisadas y aprobadas a

nivel internacional.

Un certificado de seguridad de tercera parte, ayuda a que una organizacin demuestre

que gestiona eficientemente la seguridad de su negocio.

Provee la implicacin, participacin y motivacin del personal en mantener la poltica

de seguridad de la organizacin.

Establece procedimientos que mejoran continuamente su actividad y evidencia un

enfoque innovador con visin al futuro.

La certificacin puede mejorar el desempeo total, suprimir la incertidumbre y ampliar

sus oportunidades en el mercado.

GESTIN DE LA SEGURIDAD DE LA INFORMACIN. ISO

27001:2005

Un SGSI establece un completo plan de acciones que ayudar a su empresa a solucionar los problemas de seguridad tcnicos, organizativos y legislativos mediante el anlisis de riesgos, mejorando y manteniendo la seguridad de la informacin empresarial y garantizando una continuidad de negocio. En una organizacin, el diseo e implementacin de un SGSI est influenciado por sus necesidades y objetivos,

requerimientos de seguridad, procesos empleados y el tamao y estructura de la organizacin. Un SGSI no tiene un fin esttico, se espera que evolucione de forma conjunta con los objetivos estratgicos de seguridad de la Organizacin. La implantacin de un SGSI se apoya en normativas de carcter internacional como son: ISO/IEC 27001:2005 e ISO/IEC 17799:2005.