Fundamentos de la ISO 27001 y la seguridad de la información

Un blog editado por ISOTools Excellence

SGSI

Blog especializado en Sistemas de Gestión
de Seguridad de la Información

cerrojo

Fundamentos de la ISO 27001 y la seguridad de la información

Fundamentos de la ISO 27001 y la seguridad de la información

ISO 27001

ISO 27001

Hoy traemos la razón por la cual se creó este blog, ISO 27001. Queremos hacer llegar los fundamentos o principios a todos aquellos que quieren iniciarse en el conocimiento de ISO 27001 y refrescar conocimientos a los ya iniciados.

A modo de introducción, podemos decir que es una norma de carácter internacional publicada por ISO (International Organization for Standardization) en el año 2013. Esta norma nos indica cómo gestionar la Seguridad de la Información de una organización.

La norma sustituyó a su versión anterior de 2005. Puede aplicarse a cualquier organización sin importar el área o el tamaño de la misma. Esta norma permite la certificación en la misma. De hecho, una certificación en la misma aportará innumerables ventajas, no obstante, no es necesaria la certificación, ya que, siguiendo los principios de la misma, una organización podrá beneficiarse del aumento de la Seguridad de la Información de sus Sistemas sin haberse certificado.

El desarrollo y avance tecnológico hace que cada vez se trabaje con más datos en formato digital, por lo que la necesidad de protección de los mismos es fundamental. Encontramos prueba de ello analizando el aumento en el número de certificaciones en ISO 27001 con respecto a los últimos años.

Principios ISO 27001

Para entenderlo de forma simple, podemos decir que ISO 27001 trata de garantizar la seguridad de los Sistemas de Gestión de Seguridad de la información.

También, debemos tener en cuenta que la máxima que debe seguir un Sistema de Gestión de Seguridad de la Información basado en ISO 27001 está basado en tres principios:

  • Confidencialidad: esto significa que la información no se puede ofrecer o revelar a ninguna persona, entidad o proceso que no esté autorizado para acceder a la información.
  • Integridad: esta característica indica que la información tiene que mantenerse exactamente de la misma forma en la que se introdujo en el sistema, no es admisible modificación ni en contenido ni cantidad.
  • Disponibilidad: este último pilar nos indica que la información debe ser accesible para cualquier persona, entidad o proceso autorizado en cualquier momento que sea necesaria.

Funcionamiento

Para conseguir esta seguridad, también se necesita analizar y encontrar los problemas potenciales que podrían afectar a la seguridad de la información y después definir las medidas necesarias para evitar que estos riesgos no ocurran.

En otras palabras, ISO 27001 se une a la tendencia de otras normas publicadas y sigue el ciclo PHVA. Planificar, Hacer, Verificar y Actuar. Todo con el objetivo de minimizar y eliminar los riesgos lo máximo posible y siempre buscando la mejora continua.

En general, la mayoría de las compañías, son conscientes de los ciber riesgos a los que se enfrentan. Por lo que, en su gran mayoría, todas cuentan con un antivirus o programa para detener amenazas. Sin embargo, la mayoría de causas de una brecha de seguridad, son las personas, ya que o no utilizamos procesos seguros, ponemos contraseñas débiles o incluso accedemos a archivos de dudosa procedencia.

Por lo tanto, ISO 27001 no solo se centrará en la seguridad de información de las tecnologías de la información, sino que, aúna y establece los requisitos de seguridad que los empleados de una organización deben seguir.

¿Qué ventajas aporta a una organización?

Las ventajas son muy numerosas, pero, si nos centramos en las más importantes, nos encontraremos con los siguientes:

Reducción de costos:

Uno de los principales motivos es la reducción de costes, un SGSI basado en ISO 27001 evitará que sucedan incidentes relacionados con la seguridad de la información tan frecuentemente, o al menos reducirá la magnitud de estos. Por lo tanto, la empresa no tendrá que invertir más tanto dinero en solucionar dichos incidentes.

Evitar sanciones legales:

Cada vez se desarrollan más leyes de carácter normativo relacionadas con la mejora de la seguridad de la información. El más claro ejemplo lo podemos encontrar en el GDPR. Un incumplimiento de esta normativa en el caso de la Unión Europea, podría ocasionar graves sanciones.

Ventaja frente competencia:

evidentemente, un reconocimiento a nivel internacional como es ISO 27001 aportará una ventaja comercial. Si tenemos que elegir entre dos organizaciones que ofrezcan las mismas condiciones, elegiremos aquella certificada, ya que tendremos la seguridad de la protección de nuestros datos.

Procesos y empresas más organizadas:

Uno de los mayores problemas a los que se enfrentan las empresas que más rápido crecen es la organización. Muchos empleados se encuentran con dudas a la hora de seguir los procesos de la organización correctamente, ya que no los conocen.

Diplomado ISO 27001

En este artículo hemos aprendido algunos de los aspectos generales de la norma ISO 27001 y algunas de las muchas ventajas que ofrece su implementación. A pesar de que la norma se puede implementar en cualquier organización sin importar el tamaño o sector, es difícil que se implemente si no se dispone del conocimiento necesario. Por ello, le ofrecemos el Diplomado de Seguridad de la Información con la ISO/IEC 27001:2013 que le ayudará con esta compleja tarea facilitándole todo lo que necesita saber para implementar la norma.

 

Seguridad de la información
1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
Cargando…