La implementación de la norma ISO/IEC 27001 en una empresa es un proyecto que suele tener una duración de entre 6 y 12 meses, dependiendo del grado de madurez en seguridad de la información y el alcance, entendiendo por alcance el ámbito de la empresa que va a estar sometido al Sistema de Gestión de Seguridad de la Información seleccionado.
El artículo de hoy está centrado en ISO/IEC 27007:2017, la norma para auditoría de sistemas de gestión de seguridad de la información. Cuando pensamos en Sistemas de Gestión de Seguridad de la Información, pensamos simplemente en ISO/IEC 27001:2013. Esto es un grave error, pues como veremos a continuación, la familia de estas normas en mucho mayor.
Existe un ambiente dinámico de los riesgos en seguridad, ya que muestra continuos cambios, nuevas amenazas se desarrollan, se descubren vulnerabilidades e incidentes de seguridad que tienen grandes repercusiones. Es cuestión de tiempo que las organizaciones padezcan las consecuencias de dichas amenazas, por eso deben protegerse con la norma ISO 27001.
La norma ISO 27001 sobre la Seguridad de la Información, conseguir tener seguridad cuesta tiempo, dinero y esfuerzo. Es posible que se obtengan diferentes niveles mínimos de seguridad sin gastar de forma considerable.
Según la norma ISO 27001 la seguridad de TI comprende a todos los activos de información y como hoy en día casi todo se encuentra informatizado se extiende a casi toda la organización.
La norma ISO 27001 establece que una fuente de vulnerabilidad se encuentra asociada al fallo en la seguridad del entorno no impendo que se encuentre sin autorización, lo que puede generar daños en las instalaciones de la organización y la información sensible de ésta.
El principal objetivo que tiene la ISO 27001 es asegurar que la empresa tiene la suficiente capacidad como para cubrir la demanda actual y futura de su negocio.
Según la norma ISO 27001 el personal que realiza el trabajo para asegurar la Seguridad de la Información tiene que ser competente, y esto será gracias a las capacitaciones que reciba, las habilidades con las que cuente y la experiencia adquirida a lo largo del tiempo.
La norma ISO 27001 pretende evitar accesos no autorizados, daños e interferencias que puedan afectar a la Seguridad de la Información.
Según la norma ISO 27001 el gobierno corporativo se puede entender como: “El proceso por el cual, el consejo de administración de una organización consigue el logro sostenido durante los objetivos, además de la protección de su patrimonio y de los intereses de todos los grupos de interés social, a quienes se les tiene que ofrecer transparencia en las prácticas de administración y control de la entidad”.
