Cuando se habla de la norma ISO 27001 podemos caer en el error de asumir que es un medio para cumplir con la legislación vigente en el sector que nos ocupe, sin embargo de esta manera solo se consigue mermar su importancia y minamos su objetivo.
La información es un activo vital para el conseguir el éxito y la continuidad en el mercado de cualquier empresa. Las organizaciones buscan mecanismos eficaces que les permiten asegurar y gestionar la seguridad de la información y de los sistemas que la procesan. La norma ISO 27001 es la norma que explica cómo implementar un Sistema de Gestión de Seguridad de la Información en una empresa.
Los profesionales de la seguridad de la información que son nuevos en cuanto a la implementación de la norma ISO 27001 muy a menudo tienden a pensar que la norma requiere de una definición muy centralizada y detallada de las funciones y de las responsabilidades. Aunque esto no es cierto del todo.
La norma ISO 27001 ha sido emitida por la Organización Internacional de Normalización (ISO) y describe cómo se debe gestionar la seguridad de la información en la organización.
Muchas organizaciones modernas operan de una forma ágil y esto a menudo es visto como contradictorio con todos los procesos burocráticos tradicionales que se asocian a la norma ISO 27001. Algunos incluso creen que pueden limitar la forma en la que dirigen sus negocios.
Cada vez son más los hospitales que se encuentran interesados en proteger información de los pacientes, pero no ven que puedan utilizar la norma ISO 27001 por no ser lo suficientemente específica. Aunque cubre muchos de los aspectos generales sobre la seguridad de la información, se puede integrar con otras normas para cubrir aspectos más específicos, por ejemplo, la norma ISO 27799 para la protección de la información personal del sector salud. Esta integración es similar a la norma ISO 27001 e ISO 27002.
Cuando se habla sobre la seguridad de la información nos viene a la cabeza la norma ISO 27001. Esta norma es muy relevante dentro del sector ya que, toma como base todos los riesgos a los que se enfrenta la organización en su día a día, tiene como objetivo principal establecer, implantar, mantener y mejorar de forma continua la seguridad de la información de la organización. Sin embargo, no debemos olvidar el papel que ocupan otras normas.
La no mejora continua no es ninguna opción en la norma ISO 22301. Los mejores resultados se pueden conseguir si las mejoras se aplican en los distintos aspectos del enfoque.
La implantación de un Sistema de Gestión de Seguridad de la Información basado en la norma ISO 27001 en su empresa puede parecer abrumadora, usted puede prepararse para crear y gestionar la documentación.
La norma ISO 27001 implica un proceso continuo que debe revisarse y mantenerse, la gestión de la seguridad de la información constituye un conjunto de engranajes que se encuentran compuestos por diferentes factores y elementos. La planificación, la asignación, la evaluación y la auditoría son solo algunos de los aspectos que se deben considerar durante la implementación del Sistema de Gestión de Seguridad de la Información.
