ISO 27001:2013 está formada por una serie de cláusulas, de entre todas ellas hoy hablaremos de la sexta, la relacionada con la Planificación.
Este capítulo se divide en:
ISO 27001 realiza la evaluación de riesgos para identificar las amenazas, vulnerabilidades y riesgos de la información, sobre la plataforma tecnológica de una organización, con el fin de generar un plan de implementación de los controles que aseguren un ambiente informático seguro, bajo los criterios de disponibilidad, confidencialidad e integridad de la información.
ISO 27001 busca conseguir una estrategia de buenas prácticas para la seguridad de la información consistente y eficiente, pero para ello es imprescindible contar con un total compromiso de la dirección.
ISO 27001, estamos viendo que puede implantarse en las PYMEs para que éstas dispongan de un SGSI con validez internacional y plenamente fiable y eficaz.
En artículos anteriores hemos descrito la metodología PHVA, aplicada a estas empresas y, concretamente, a todos sus procesos.
ISO 27001, vimos en el artículo anterior de este serial, que da conformidad a un SGSI fundamentado en el ciclo PHVA. Se habla mucho sobre este ciclo pero, orientándolo en PYMEs, ¿en qué consisten sus fases?
Ya hemos hablado sobre las dos primeras, Planificar y Hacer, hoy continuamos y terminamos con las fases de Verificar y Actuar.
El SGSI, basado en las normas ISO 27001 e ISO 27002, posibilita la prevención o reducción de forma eficaz del nivel de riesgo a través de la implantación de controles adecuados, para preparar a la organización a actuar ante posibles emergencias y garantizar la continuidad del negocio.
ISO 27001 es una herramienta idónea para cualquier PYME, se dedique a la actividad que se dedique y tenga el tamaño que tenga, siempre y cuando muestre interés en establecer, implementar y certificar un SGSI. Este tipo de empresas pueden servirse también de ISO 27002, norma que aporta un código de buenas prácticas para la gestión de la seguridad de PYMEs.
ISO 27001 es una norma internacional de implantación voluntaria que, en este caso se ocupa de la Seguridad de la Información en las organizaciones en que esta sea implantada.
ISO 27001 respalda la información de cualquier organización, siendo ésta su principal activo. La defensa de la información es garantía de continuidad y desarrollo de un negocio, de cumplimiento de la legislación pertinente y de toma de confianza por parte de los clientes.
ISO 27001 es implementada para mantener salvaguardada la información de una organización. Hoy en día, todas las organizaciones manejan información, sea del tipo que sea, y cualquier pérdida o extravío de la misma puede causar incidentes en el normal desarrollo del negocio.
