ISO 27001: la mejora continua en los Sistemas de Gestión de Seguridad de la Información

ISO 27001

La protección de la información de una empresa requiere de la implementación de un Sistema de Gestión de Seguridad de la Información según ISO 27001, además del mantenimiento y la mejora de las medidas de seguridad.

Si su empresa cuenta con un buen Sistema de Gestión de Seguridad de la Información (SGSI), no deje que se estropee. La excelencia se encuentra en la mejora continua del sistema y no solo en su implementación. Para saber más ISO 27001 2013: Pasos a seguir en una evaluación de riesgos.

Todas las empresas, sean del ámbito público o del privado, afrontan diariamente un elevado número de riesgos e inseguridad que proviene de una gran variedad de fuentes diferentes. Ante ello la mejora continua debe ser, como su nombre lo indica, una práctica constante de mejora actualizando el antivirus.

La norma ISO 27001 constituye la solución de mejora continua de una manera apropiada para evaluar los distintos riesgos y establecer las estrategias y los controles oportunos que permiten asegurar la protección y defender la información.

Para esto el Sistema de Gestión de Seguridad de la Información según la norma ISO 27001 sigue el enfoque basado en procesos que utiliza el ciclo de Deming o el ciclo de mejora continua, que consiste en PHVA (Planificar, Hacer, Verificar y Actuar).

Una vez que se haga la evaluación de los riesgos y aplicados a todos los controles, siempre queda lo que se conoce como un riesgo residual que debe ser revisado por lo menos una vez al año para tomar la medidas preventivas.

El ciclo Deming, según el Sistema de Gestión de Seguridad de la Información basado en la norma ISO 27001 cuenta con indicadores y métricas con los que es posible medir la eficiencia de los diferentes controles empleados. De esta forma aporta los datos reales relacionados con la seguridad de los sistemas de información. Con todos estos datos se puede contar con un mecanismo de alerta, y consecuentemente, hacer las correcciones y mejoras del caso.

Es necesario señalar que la norma ISO 27001 sea un sistema activo e integrado en la empresa, orientado a los objetivos empresariales y con proyección del futuro. En ese sentido es importante señalar que, cada vez se introduce una nueva herramienta de la tecnología de la información y la comunicación a la empresa, es necesario actualizar el análisis de los riesgos para mitigar y minimizar los riesgos que ha incorporado a las nuevas herramientas implícitas.

La norma ISO 27001 se encuentra relacionada con otras normas que constituyen el gobierno y la gestión de las TIC. El modelo propone dos certificaciones: ISO 38500 “Gobierno corporativo de las TIC” e ISO 22301 “Sistemas de Continuidad de Negocio”. Al implantar los sistemas de gestión se gestiona también la calidad y la seguridad de los servicios de las TIC. De forma que se propone a minimizar los riesgos que están relacionados con la seguridad de la información y aumentar la seguridad de las TIC.

Uno de los mejores aportes que nos brindan los estándares de gestión es el concepto de mejora continua. La mejora continua es el motor impulsor de cualquier sistema de gestión, incluyéndose, en el Sistema de Gestión de Seguridad de la Información.

Como parte del ciclo Deming, se constituye un sistema que nos ayuda a aprender de nuestros errores, acometer actuaciones para satisfacer ciertas debilidades, adelantarse a posibles eventos desagradables antes de que esto suceda, etc.

Se establece un aporte adicional del Sistema de Gestión de Seguridad de la Información, el cual despliega controles para salvaguardar la información propiedad de la empresa, pero sin adoptar estándares soportados por el ciclo Deming. La metodología que nos brinda la norma ISO 27001 como estándar de gestión, viene a mejorar las prácticas que se llevan a cabo en seguridad de la información, sobre todo las centralizadas en la gestión de incidencias.

Una de las cosas que se han podido comprobar es que en el Sistema de Gestión de Seguridad de la Información los usuarios, en muchas ocasiones, no saben distinguir entre lo que son correcciones puntuales, las acciones correctivas y las acciones preventivas.

Software ISO 27001

El estándar internacional ISO 27001, junto con todas las normas que componen su familia, generan todos los requisitos necesarios para poder implementar un Sistema de Gestión de Seguridad de la Información de una forma rápida y sencilla, además el Software ISOTools Excellence para ISO 27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa.