LA NORMA ISO 27001

Flussdiagrammknoten

• LA NORMA ISO 27001

• Es una norma internacional emitida por la Organización Internacional de Normalización (ISO) y describe cómo gestionar la seguridad de la información en una empresa.

• Sus principios de gestión

• Su trabajo se centra en función a 8 principios básicos de gestión:

• 1. Orientación al cliente.

• 6. Mejora continua.

• 2. Liderazgo.

• 3. Participación del personal.

• 4. Enfoque de procesos.

• 5.Enfoque de sistemas de gestión.

• 7.Enfoque de mejora continúa.

• 8.Relación mutuamente beneficiosa con el proveedor.

• Enfoque 

•  Basado en el ciclo de mejora continua o de Deming.

• Planificar

• Hacer

• Verificar

• Actuar

• Definir la política de seguridad Establecer al alcance del SGSI Realizar el análisis de riesgo Seleccionar los controles Definir competencias Establecer un mapa de procesos Definir autoridades y responsabilidades.

• Implantar el plan de gestión de riesgos Implantar el SGSI Implantar los controles.

• Revisar internamente el SGSI Realizar auditorías internas del SGSI Poner en marcha indicadores y métricas Hacer una revisión por parte de la Dirección.

• Adoptar acciones correctivas Adoptar acciones de mejora.

• Fases de un SGSI

• establece las siguientes fases para elaborar un SGSI

• 1. Análisis y evaluación de riesgos.

• 9. Auditorías internas y externas.

• 8. Proceso documental.

• 7. Fijación y medición de objetivos.

• 6. Partes interesadas.

• 5. Contexto de organización.

• 4. Alcance de la gestión.

• 3. Definición de un plan de tratamiento de los riesgos o esquema de mejora.

• 2. Implementación de controles.

• Estructura 

• Objeto y campo de aplicación:

• La norma comienza aportando unas orientaciones sobre el uso, finalidad y modo de aplicación de este estándar.

• Referencias Normativas:

• Recomienda la consulta de ciertos documentos indispensables para la aplicación de ISO27001.

• Términos y Definiciones:

• Describe la terminología aplicable a este estándar.

• Contexto de la Organización:

• Recoge indicaciones sobre el conocimiento de la organización y su contexto, la comprensión de las necesidades y expectativas de las partes interesadas y la determinación del alcance del SGSI.

• Liderazgo:

• Destaca la necesidad de que todos los empleados de la organización han de contribuir al establecimiento de la norma. 

• Planificación:

• La importancia de la determinación de riesgos y oportunidades a la hora de planificar, así como de establecer objetivos de Seguridad de la Información y el modo de lograrlos.

• El buen funcionamiento del SGSI la organización debe contar con los recursos, competencias, conciencia, comunicación e información documentada pertinente en cada caso.

• Operación:

• Para cumplir con los requisitos de Seguridad de la Información, se debe planificar, implementar y controlar los procesos de la organización, hacer una valoración de los riesgos y un tratamiento de ellos.

• Se establece la necesidad y forma de llevar a cabo el seguimiento, la medición, el análisis, la evaluación, la auditoría interna y la revisión por la dirección del Sistema de Gestión de Seguridad de la Información, para asegurar que funciona según lo planificado.

• Mejora:

• Son las obligaciones que tendrá una organización cuando encuentre una no conformidad y la importancia de mejorar continuamente la conveniencia, adecuación y eficacia del SGSI.

• Soporte: 

• Evaluación del Desempeño:

• Proporciona una metodología para implementar la gestión de la seguridad de la información en una organización.

• Objetivos

• Ventajas

• Confidencialidad

• Disponibilidad de la Información.

• Integridad

• Puede ser implementada en cualquier tipo de organización, con o sin fines de lucro, privada o pública, pequeña o grande.

• Evaluación y tratamiento de datos.

• Implementación de medidas de seguridad.

• Menores costos 

• Cumplir con los requerimientos legales

• Una mejor organización

• Metodología sugerida

• Las fases de esta metodología: son los siguientes:

• 1. Identificar los Activos de Información y sus responsables.

• 2. Identificar las Vulnerabilidades de cada activo.

• 3.Identificar las amenazas.

• 4. Identificar los requisitos legales y contractuales.

• 5. Identificar los riesgos puedan causar un daño total o parcial.

• 6. Cálculo del riesgo: Este se realiza a partir de la probabilidad de ocurrencia del riesgo y el impacto

• 7.Plan de tratamiento del riesgo controles adecuados para cada riesgo

• Asumir el riesgo

• Transferir el riesgo

• Reducir el riesgo

• Eliminar el riesgo