Sistemas de gestión de seguridad de la información
Actualmente hablar de la información es hablar de uno de los activos más importantes para las organizaciones -cualquiera que sea su negocio-, ya que ésta conduce y fija muchos de sus procesos críticos.
Debido al gran valor de la información y al gran impacto que tiene sobre las organizaciones el riesgo en su integridad, la ISO ha desarrollado un conjunto de normas que ayuda a las empresas a gestionar sus activos de información, con el fin de garantizar la continuidad del negocio y la eficiencia de sus procesos.
En el ámbito mundial, las normas ISO/IEC 27001 Sistemas de gestión de seguridad de la información -SGSI-, y la ISO/IEC 27002 Código de práctica para la gestión de la seguridad de la información son los referentes de aplicación de las mejores prácticas en la materia.
Las normas ISO/IEC 27001, 27002 y su estructura
Para el cumplimiento de las directrices de la norma ISO/IEC 27001, las organizaciones deben cumplir los numerales 4 al 8 descritos en la norma, los cuales hacen referencia a: requisitos generales, establecimiento del SGSI, implementación y operación del SGSI, seguimiento y revisión del SGSI, mantenimiento y mejora del SGSI, requisitos de documentación exigidos por la norma, responsabilidad de la dirección, gestión de los recursos, auditorías internas, revisión por la dirección y mejora continua del SGSI.
Adicionalmente las organizaciones deben implementar los objetivos de control y los controles descritos en los numerales 5 al 15 de la ISO/IEC 27002, que cumplan los requisitos identificados en el proceso de valoración y tratamiento de riesgos.
Esta norma está dividida en once dominios de control, 39 objetivos y 133 controles. Los dominios presentados abarcan: política de seguridad, organización de la seguridad de la información, gestión de activos, control de acceso, seguridad de los recursos humanos, cumplimiento, seguridad física y del entorno, adquisición, desarrollo y mantenimiento de sistemas de información, gestión de las comunicaciones y operaciones, gestión de la continuidad del negocio y gestión de incidentes de seguridad de la información.
De esta manera, la ISO/IEC 27001 y la ISO/IEC 27002 se convierten en el pilar de normas para la seguridad de la información.
La certificación ICONTEC ISO/IEC 27001 permite
-Prevenir o reducir eficazmente el nivel de riesgo, mediante la implantación de los controles adecuados; de este modo, prepara a la organización ante posibles emergencias y garantiza la continuidad del negocio.
-Diseñar una herramienta para la implementación del sistema de gestión de seguridad de la información teniendo en cuenta la política, la estructura organizativa, los procedimientos y los recursos.
-A la dirección, gestionar las políticas y los objetivos de seguridad en términos de integridad, confidencialidad y disponibilidad.
-Incrementa el nivel de concientización del personal respecto a los tópicos de seguridad informática.
