NORMA ISO 27001
¿Qué son las Normas ISO?
Las normas ISO son un conjunto de normas orientadas a ordenar la gestión de una empresa en sus distintos ámbitos. La alta competencia internacional acentuada por los procesos globalizadores de la economía y el mercado y el poder e importancia que ha ido tomando la figura y la opinión de los consumidores, ha propiciado que dichas normas, pese a su carácter voluntario, hayan ido ganando un gran reconocimiento y aceptación internacional.
Las normas ISO son establecidas por el Organismo Internacional de Estandarización (ISO), y se componen de estándares y guías relacionados con sistemas y herramientas específicas de gestión aplicables en cualquier tipo de organización
Finalidad de la Norma
Las normas ISO se crearon con la finalidad de ofrecer orientación, coordinación, simplificación y unificación de criterios a las empresas y organizaciones con el objeto de reducir costes y aumentar la efectividad, así como estandarizar las normas de productos y servicios para las organizaciones internacionales
Las normas ISO se han desarrollado y adoptado por multitud de empresas de muchos países por una necesidad y voluntad de homogeneizar las características y los parámetros de calidad y seguridad de los productos y servicios.
Ventajas de la Norma
- Alcanzar y mantener mayores niveles de calidad.
- Satisfacer las necesidades del cliente.
- Aumentar los niveles de productividad.
- Ventaja competitiva frente a otras empresas.
- Procesos de mejora continua.
¿Qué es ISO 27001?
Es un modelo para el establecimiento, implementación, operación, seguimiento, revisión, mantenimiento y mejora de un sistema de gestión de la seguridad de la información (SGSI).
Esta norma promueve la adopción de un enfoque basado en Procesos, para establecer, implementar, operar, hacer seguimiento, mantener y mejorar el SGSI de una organización.
¿Qué es Información?
Es un conjunto de datos acerca de algún suceso, hecho, fenómeno o situación, que organizados en un contexto determinado tienen un significado y que tiene el propósito de reducir la incertidumbre o incrementar el conocimiento de algo. Esta puede ser o estar clasificada de la siguiente forma:
- Activos de Información (datos, manuales de usuario)
- Documentos en Papel (contratos)
- Activos de software (aplicación, software de sistema)
- Activos físicos (computadores, medios magnéticos.)
- Personal (clientes, trabajadores)
- Servicios (comunicaciones, etc.)
Características de la Seguridad de la Información
- Confidencial: Acceso únicamente a aquellos que estén autorizados a la información.
- Integridad: En este punto se asegura la información y que los métodos de proceso sean completos y exactos
- Disponibilidad: Asegurando que los usuarios autorizados tienen acceso a la información y a sus activos asociados cuando lo requieran
Amenazas
Riesgo o posible peligro. Estas pueden ser:
- Humana.
- Operacional.
- Social.
- Naturales.
- Tecnológicas.
- Estructurales.
Modelo de Aplicación: Ciclo PHVA O DEMING
El ciclo PHVA es una herramienta para la mejora continua.
- Planificación: Establecer la política, los objetivos, procesos y procedimientos de seguridad pertinentes para gestionar el riesgo y mejorar la seguridad de la información, con el fin de entregar resultados acordes con las políticas y objetivos globales de una organización.
- Hacer: Implementar y operar la política, los controles, procesos y procedimientos del SGSI.
- Verificación: Evaluar, y, en donde sea aplicable, medir el desempeño del proceso contra la política y los objetivos de seguridad y la experiencia práctica, y reportar los resultados a la dirección, para su revisión.
- Actuar: Emprender acciones correctivas y preventivas con base en los resultados de la auditoría interna del SGSI y la revisión por la dirección, para lograr la mejora continua del SGSI.
Estructura de la Norma
- Introducción: Preámbulo de la norma.
- Alcance: Identifica los límites del proceso, su inicio, su finalización y su cobertura.
- Referencias normativas: Contiene Leyes, artículos, acuerdos, y resoluciones que regulan las acciones y alcances que deben ser establecidos en la gestión e implementación de la norma.
- Términos y definiciones: Leguaje que se emplea para caracterizar situaciones y procedimientos necesarios para la aplicación de la norma. Su fin es ayudar a la comprensibilidad de la misma.
- Contexto de la organización: Evaluación metódica de características internas o externas que pueden afectar positiva o negativamente a la organización.
- Liderazgo: Jerarquización y delegación de responsabilidades sobre los cuales recae el funcionamiento de la norma.
- Planeación: Especificación de procesos sistemáticos llevados a cabo, que permiten la proyección a futuro de acciones y resultados esperados.
- Soporte: Apoyo a procesos y procedimientos.
- Operación: Ejecución de estrategias y acciones establecidas previamente en la planeación.
- Evaluación del desempeño: Estimaciones cualitativas y cuantitativas de las acciones y procesos que son llevados a cabo.
- Mejora: Modelo de acciones consecuentes del proceso de evaluativo de resultados, enfocados al cumplimiento de objetivos propuestos.
Términos y Definiciones
Para los propósitos de la norma, se aplican los siguientes términos y definiciones:
- Aceptación de riesgo: Decisión de asumir un riesgo.
- Activo: Cualquier cosa que tiene valor para la organización.
- Análisis de riesgo: Uso sistemático de la información para identificar las fuentes y estimar el riesgo.
- Confidencialidad: Propiedad que determina que la información no esté disponible ni sea revelada a individuos, entidades o procesos no autorizados.
- Declaración de aplicabilidad: Documento que describe los objetivos de control y los controles pertinentes y aplicables para el SGSI de la organización.
- Disponibilidad: Propiedad de que la información sea accesible y utilizable por solicitud de una entidad autorizada.
- Evaluación del riesgo: Proceso de comparar el riesgo estimado contra criterios de riesgo dados, para determinar la importancia del riesgo.
- Evento de seguridad de la información: Presencia identificada de una condición de un sistema, servicio o red, que indica una posible violación de la política de seguridad de la información o la falla de las salvaguardas, o una situación desconocida previamente que puede ser pertinente a la seguridad.
- Gestión del riesgo: actividades coordinadas para dirigir y controlar una organización en relación con el riesgo
- Incidente de seguridad de la información: Evento o serie de eventos de seguridad de la información no deseados o inesperados, que tienen una probabilidad significativa de comprometer las operaciones del negocio y amenazar la seguridad de la información.
- Integridad: Propiedad de salvaguardar la exactitud y estado completo de los activos.
- Riesgo residual: Nivel restante de riesgo después del tratamiento del riesgo.
- Seguridad de la información: Preservación de la confidencialidad, la integridad y la disponibilidad de la información; además, puede involucrar otras propiedades tales como: autenticidad, trazabilidad, y fiabilidad.
- Sistema de gestión de la seguridad de la información SGSI: parte del sistema de gestión global, basada en un enfoque hacia los riesgos globales de un negocio, cuyo fin es establecer, implementar, operar, hacer seguimiento, revisar, mantener y mejorar la seguridad de la información.
- Tratamiento del riesgo: proceso de selección e implementación de medidas para modificar el riesgo.
- Valoración del riesgo: proceso global de análisis y evaluación del riesgo.
(Definiciones tomadas de Guía NTC-ISO/IEC:2006)