ISO 27001

ISO 27001 es una herramienta idónea para cualquier PYME, se dedique a la actividad que se dedique y tenga el tamaño que tenga, siempre y cuando muestre interés en establecer, implementar y certificar un SGSI. Este tipo de empresas pueden servirse también de ISO 27002, norma que aporta un código de buenas prácticas para la gestión de la seguridad de PYMEs.

Hoy comenzamos con un serial de artículos en el que intentaremos facilitar la comprensión de las normas citadas, con el objetivo de que su adopción sea menos costosa, más sencilla y asequible para todas las PYMEs.

Con esto, pretendemos adaptar ISO-27001 a las circunstancias y peculiaridades de cada PYME, reconocer sus necesidades e impulsarlas a que logren una adecuada integridad, confidencialidad y disponibilidad de la información.

A lo largo de estos artículos se abordarán los siguientes temas:

• Generalidades del SGSI.
• Forma de desarrollar el análisis y la gestión de riesgos.
• Modo de gestionar las incidencias en seguridad de la información.
• Gestión de cambios en el sistema.
• Alcance, objetivos,
• Metodología para asignar responsabilidades, para establecer el alcance del SGSI, para crear la política de seguridad y para crear el comité de seguridad.
• Implantación y adopción de controles de seguridad de la información.
• Creación de plan de continuidad de negocio.

Es conveniente antes de comenzar saber por qué una PYME debe implantar la norma ISO27001 y qué beneficios le aporta.

La información de una organización es un activo básico para su correcto funcionamiento y continuidad. Pero antes de nada hay que aclarar qué es lo que se quiere proteger, ya que es frecuente encontrarse con una implantación de controles y procedimientos de seguridad llevada a cabo sin un criterio común establecido.

Así, ISO 27001 trabajará para minimizar riesgos, asegurar la continuidad del negocio y adaptar la seguridad a los cambios con los que nos encontremos en la propia PYME y en su entorno.

En realidad se habla de riesgo asumible en lugar de seguridad total, pues no se llegará a alcanzar ésta pero se puede estar muy cerca de ella mediante la mejora continua. Esto evita gastos innecesarios procedentes de impactos potenciales que no están incluidos en los riesgos de la organización.

La Plataforma Tecnológica ISOTools simplifica el trabajo para que las PYMEs puedan establecer, implementar y mantener el Sistema de Gestión de la Información de ISO 27001, a través de su automatización, y así conducir a la empresa hacia la seguridad.