Implementacion de la norma ISO 27001
Enviado por Franzua Gonzalez • 27 de Febrero de 2019 • Ensayo • 2.217 Palabras (9 Páginas) • 277 Visitas
Introducción
A través del tiempo la información ha sido uno de los activos más valiosos para las organizaciones, es por eso que contar con metodologías para resguardar y proteger esa información es de suma importancia. En el presente documento se darán a conocer todos los aspectos necesarios a tomar en cuenta para implementar y buscar una certificación en la norma ISO 27001 en una organización, la cual tiene como objetivo principal analizar y gestionar los riesgos basados en todos los procesos de la organización.
A través de esa norma se busca garantizar que los riesgos de la seguridad de la información sean conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada, sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías.
Tomando en cuenta que las organizaciones actualmente utilizan herramientas tecnológicas que dependen en algunos casos de hasta de un 100% de bases de información, se genera la necesidad de implementen un SGSI (Sistema de Gestión de Seguridad de Información), el cual permita mantener su integridad, disponibilidad y confidencialidad y que a su vez se convierta en una ventaja competitiva para la organización.
Implementación del estándar ISO27001
A través del tiempo la información ha incrementado considerablemente su valor, por lo que actualmente se considerada uno de los activos más valiosos para las organizaciones, puesto que la información es vital para el funcionamiento normal de los procesos, operaciones y sistemas que las utilizan. Se debe tener claro que la información en cierto modo es intangible, puesto que mucha de la información que actualmente se almacena, está en sistemas informáticos, por lo que es necesario que las organizaciones tomen las medidas necesarias para resguardar y proteger toda esa información, así como todos los procesos, procedimientos y sistemas en los que se utiliza y se encuentra almacenada.
Es por tal razón que a través de este ensayo se pretende dar una crítica sobre la importancia de contar un sistema de gestión de la seguridad de la información implementado como lo es la norma ISO 27001, dicha norma tiene como fin gestionar y minimizar la materialización de los riesgos y peligros a través de actividades coordinadas y definidas para dirigir y controlar una organización, todo esto en relación con el riesgo.
La ISO 27001 es una norma internacional emitida por la organización internacional de normalización (ISO), dicha norma describe cómo gestionar la seguridad de la información en una organización, esta puede ser implementada en cualquier tipo de organización con o sin fines de lucro, privada o pública, pequeña o grande. La norma fue publicada por primera vez en 2005, la última versión de esta norma, fue publicada en el año 2013 y el nombre completo publicado en la revisión más reciente es ISO/IEC 27001:2013, su principal cambio radica en que aumentaron el número de dominios de seguridad de 11 a 14, esto se debió fundamentalmente a una reestructura del estándar, por ejemplo el dominio A.10 Administración de Comunicaciones y Operaciones de la versión 2005 ahora se separó en dos dominios, así como también se creó un dominio específico para Criptografía y otro para la Relación con proveedores, derivado de dicha reestructura el número de controles disminuyó pasando de 133 a 113, a continuación se muestra el listado comparativo de los nuevos dominios de seguridad de la información.
Tabla 1.1 Listado comparativo entre los dominios de seguridad
Anexo A ISO 27001:2005 | Anexo A ISO 27001:2013 |
A.5 Política de Seguridad | A.5 Políticas de Seguridad |
A.6 Organización de seguridad de la información | A.6 Organización de la seguridad de la información |
A.8 Seguridad en recursos humanos | A.7 Seguridad en recursos humanos |
A.7 Administración de activos | A.8 Administración de activos |
A.11 Control de acceso | A.9 Control de acceso |
| A.10 Criptografía |
A.9 Seguridad física y ambiental | A.11 Seguridad física y ambiental |
A.10 Administración de comunicaciones y operaciones | A.12 Seguridad en operaciones |
| A.13 Seguridad en comunicaciones |
A.12 Adquisición, desarrollo y mantenimiento de sistemas | A.14 Adquisición, desarrollo y mantenimiento de sistemas |
| A.15 Relación con proveedores |
A.13 Administración de incidentes de seguridad de la información | A.16 Administración de incidentes de seguridad de la información |
A.14 Administración de continuidad del negocio | A.17 Aspectos de seguridad de la información en la administración de continuidad del negocio |
A.15 Cumplimiento | A.18 Cumplimiento |
Nota: Leonardo Garcia, recuperado de: Suprema Qualitas http://www.squalitas.com/site/article/principales-cambios-de-la-nueva-version-de-iso-27001
Un dominio se define como las diferentes formas en las que se puede enfocar, abarcar o implementar la norma ISO 27001.
Aspectos claves para implementar la norma ISO 27001
Antes de conocer los pasos que se deben de seguir para implementar o buscar la certificación de la norma ISO 27001 en una organización, es importante tomar en cuenta como está compuesta dicha norma, adicional a los dominios que se describieron en el punto anterior también se debe conocer la función que cumplirá al ser implementada, dicha norma se base en la mejora continua, a través de la cual se puede desarrollar un Sistema de Gestión de Seguridad de la Información (SGSI) que permita evaluar todo tipo de riesgos o amenazas que puedan poner en peligro la información de la organización tanto propia como datos de terceros, adicional, permite establecer los controles y estrategias para eliminar o minimizar los riesgos y peligros que se presenten.
...