ISO 27001

El estándar internacional ISO27001 describe en cualquier tipo de empresa cómo se debe estructurar la seguridad de la información. Esta norma se erige como el origen esencial para la gestión de la seguridad de la información.

El objetivo más importante de ISO 27001 es suministrar a las empresas unas tácticas para la implantación de la seguridad de la información. Además, concede que una empresa sea certificada, es decir, que una entidad certificadora neutral garantice que se ha procedido de forma correcta la implantación de la seguridad de la información.

Las cuatro fases de las que está compuesto un sistema de gestión de la seguridad de la información son:

1. Planificación.
2. Implementación.
3. Revisión.
4. Mantenimiento y mejora.

Con respecto a las acciones para dirigir riesgos y oportunidades, decimos que está dentro de la primera fase, la planificación. La planificación de dicho SGSI depende de los objetivos individuales de cada empresa, los requisitos propios de la cláusula 4 y el análisis o identificación de los riesgos. Las empresas tienen que planificar el SGSI para concretar los riesgos y oportunidades que le consienta:

• Consolidar resultados a través del SGSI.
• Disminuir o prevenir efectos inoportunos.
• Garantizar la mejora constante de la empresa.

Según el proceso análisis e identificación del riesgo hay que tener en cuenta lo siguiente:

• A través de la estimación de las pérdidas potenciales, se tienen que identificar los riesgos.
• Se debe reconocer al responsable del riesgo, en el área en el que se haya producido.
• Examinar las posibles consecuencias que tendrían los riesgos si se produjesen mediante la descripción de unos niveles.
• Medición de los riesgos reconocidos haciendo una comparación de los resultados con los niveles de riesgo tolerables establecidos con anterioridad.
• Realizar un plan de acciones para reorientar las posibles situaciones.

Según el proceso de tratamiento del riesgo resaltan, en función del contenido del plan, los aspectos siguientes:

• Elegir la opción más apta del riesgo.
• Decretar cuáles son los controles necesarios en relación a las alternativas de riesgo acordadas.
• Comparación de dichos controles con que están dentro del anexo A.
• Elaborar una declaración de aplicabilidad.
• Realizar un proyecto de implantación.
• Conseguir de los responsables del riesgo la aceptación de los niveles de riesgo para, en el caso que sea necesario, incluir más métodos de protección de seguridad de las acciones.

La Plataforma Tecnológica ISOTools es una herramienta que prepara el procedimiento de implantación del SGSI, de acorde con la norma ISO-27001, mediante la gestión, control y automatización del sistema de gestión.