ISO 27001. Aspectos claves y relación con las normas ISO 22301 e ISO/IEC 20000

Un blog editado por ISOTools Excellence

SGSI

Blog especializado en Sistemas de Gestión
de Seguridad de la Información

cerrojo

ISO 27001. Aspectos claves y relación con las normas ISO 22301 e ISO/IEC 20000

ISO 27001. Aspectos claves y relación con las normas ISO 22301 e ISO/IEC 20000

ISO 27001

ISO 27001

En la actualidad, las empresas se enfrentan a muchos riesgos e inseguridades procedentes de focos diversos. Esto quiere decir que los activos de información de las empresas, son uno de sus valores más importantes, se encuentran ligados o asociados a riesgos y amenazas que explotan una amplia tipología de vulnerabilidades. ISO 27001 regula todo lo relacionado con este tipo de aspectos.

La seguridad de estos activos de información está en función de la correcta gestión de una serie de factores como: la capacidad, la elaboración de un plan de contingencia frente a los incidentes, el análisis de riesgos, las competencias, el grado de involucración de la Dirección, las inversiones en seguridad y el grado de implementación de controles.

Aunque existen muchos soportes documentales diferentes, como la información en papel o los soportes analógicos participantes, lo cierto es que, en la actualidad, la mayor parte de la información gestionada por una empresa se sustenta en la información automatizada (informatizada) a través de las nuevas herramientas de las Tecnologías de la Información y la Comunicación (TICs). Por este motivo, la tendencia de la norma ISO 27001 es tratar aspectos mayoritariamente del rango informático.

 

 

Aspectos claves de un SGSI basado en la norma ISO 27001

La norma ISO 27001 es una solución de mejora continua en base a la cual puede desarrollarse un Sistema de Gestión de Seguridad de la Información (SGSI) que permita evaluar todo tipo de riesgos o amenazas susceptibles de poner en peligro la información de una organización tanto propia como datos de terceros.

Por otro lado, también permite establecer los controles y estrategias más adecuadas para eliminar o minimizar dichos peligros.

Como ocurre con todas las normas ISO, la 27001 es un sistema basado en enfoque basado en el ciclo de mejora continua o de Deming. Dicho ciclo consiste, como ya sabemos, en Planificar-Hacer-Verificar-Actuar, por lo que se le conoce también como ciclo PDCA (acrónimo de sus siglas en inglés Plan-Do-Check-Act).

Trasladado a las necesidades de un SGSI, el ciclo PDCA planteado por la ISO 27001 se dividiría en los siguientes pasos, cada uno de ellos ligado a una serie de acciones:

PLANIFICAR

  • Definir la política de seguridad
  • Establecer al alcance del SGSI
  • Realizar el análisis de riesgo
  • Seleccionar los controles
  • Definir competencias
  • Establecer un mapa de procesos
  • Definir autoridades y responsabilidades

HACER

  • Implantar el plan de gestión de riesgos
  • Implantación del SGSI
  • Implantar los controles

CONTROLAR

  • Revisar internamente el SGSI
  • Realizar auditorías internas del SGSI
  • Poner en marcha indicadores y métricas
  • Hacer una revisión por parte de la Dirección

ACTUAR

  • Adoptar acciones correctivas
  • Adoptar acciones de mejora

 

Relación de la norma ISO 27001 con la ISO 22301 y la ISO /IEC 20000

La norma ISO 27001, que como hemos visto está muy enfocada en la parte informática de la empresa, se encuentra muy ligada y tiene puntos en común con otras dos normas ISO: la ISO 22301 de continuidad del negocio y la ISO/IEC 20000, de gestión de servicios TI (Tecnología de la Información).

La ISO 22301 trabaja el tema de la seguridad en la empresa desde una perspectiva mucho más general y global, tratando de asegurar la continuidad del negocio, lo cual influye en aspectos tan diversos como: los activos financieros, la contabilidad, los aspectos legales y todos los factores ligados con la producción y la operativa.

El estándar ISO 22301 se centra en diversos aspectos de la organización que van a permitir su sustentabilidad, utilizando para ello ciertos elementos y controles que van a evitar las consecuencias de las distintas amenazas, así como también encontrar las causas que motivan el problema.

Un aspecto muy importante de la norma ISO 22301, que no tiene en cuenta la 27001, son los tiempos de recuperación, una cuestión crucial para poder evaluar si nuestro plan de contingencia es el adecuado para poder reanudar la actividad en unos niveles aceptables para la organización, una vez ha ocurrido el incidente.

Otra noma relacionada con la ISO 27001 es el estándar ISO/IEC 20000, de gestión de la calidad de los servicios TI (Tecnologías de la Información): hosting, páginas web, elearning, desarrollo de software. Todo ello val ligado a la continuidad del negocio y de los servicios de información y, en conjunto, sirve para garantizar un servicio seguro, sin interrupciones importantes y de calidad.

 

La Plataforma ISOTools facilita la automatización para los SGSI

La ISO 27001 para los SGSI es sencilla de implantar, automatizar y mantener con la Plataforma Tecnológica ISOTools.

Con ISOTools se da cumplimiento a los requisitos basados en el ciclo PHVA (Planear – Hacer – Verificar – Actuar) para establecer, implementar, mantener y mejorar el Sistema Gestión de la Seguridad de la Información, así como se da cumplimiento de manera complementaria a las buenas prácticas o controles establecidos en ISO 27002.

ISOTools también permite aplicar los requisitos de otras normas de Seguridad de la Información como PMG SSI de los Servicios Públicos de Chile, entre otros. Este software, permite integrar la ISO 27001 con otras normas, como ISO 9001, ISO 14001 y OHSAS 18001 de una forma sencilla gracias a su estructura modular.

Seguridad de la información
1 Star2 Stars3 Stars4 Stars5 Stars (1 votes, average: 4,00 out of 5)
Cargando…