NORMA UNE-ISO/IEC 27001
- 1. Norma UNE-ISO/IEC 27001 JoselinYalixa Quintanilla Aguilar
- 2. Un Sistema de Gestión de Seguridad de la Información (SGSI), según la Norma UNE-ISO/IEC 27001, es una parte del sistema de gestión general, basada en un enfoque de riesgo empresarial, que se establece para crear, implementar, operar, supervisar, revisar, mantener y mejorar la seguridad de la información. Esto significa que se va a dejar de operar de una manera intuitiva y se va a empezar a tomar el control sobre lo que sucede en los sistemas de información y sobre la propia información que se maneja en la organización. Nos permitirá conocer mejor nuestra organización, cómo funciona y qué podemos hacer para que la situación mejore.
- 3. Es normal que la Norma UNE-ISO/IEC 27001 exija que se adopte un proceso para establecer, implementar, operar, monitorizar, revisar, mantener y mejorar el SGSI en una organización. Es decir, hay que diseñarlo, ponerlo en marcha, comprobar que se obtienen los resultados esperados y, en función de esa evaluación, tomar acciones para corregir las desviaciones detectadas o intentar mejorar la situación, en este caso, la seguridad de la información.Y todo ello de una manera ordenada y metódica, mediante un proceso.
- 4. Requisitos aplicables de la norma en el SGSI • Sistema de gestión de la seguridad de la información. • Responsabilidad de la dirección. • Auditorías internas del SGSI. • Revisión del SGSI por la dirección. • Mejora del SGSI.
- 5. El sistema constará de una documentación en varios niveles • Políticas, que proporcionan las guías generales de actuación en cada caso. • Procedimientos, que dan las instrucciones para ejecutar cada una de las tareas previstas. • Registros, que son las evidencias de que se han llevado a cabo las actuaciones establecidas.
- 6. El SGSI contará con los siguientes documentos: • Política de seguridad, que contendrá las directrices generales a las que se ajustará la organización en cuanto a seguridad, así como la estrategia a seguir a la hora de establecer objetivos y líneas de actuación. La política estará alineada con el resto de los objetivos del negocio y políticas de gestión que existan en la organización. Esta política estará aprobada por la dirección. • Inventario de activos, que detallará los activos dentro del alcance del SGSI, así como los propietarios y la valoración de tales activos. • Análisis de riesgos, con los riesgos identificados basándose en la política de la organización sobre seguridad de la información y el grado de seguridad requerido.
- 7. El SGSI contará con los siguientes documentos: • Las decisiones de la dirección respecto a los riesgos identificados, así como la aprobación de los riesgos residuales. • Documento de aplicabilidad con la relación de los controles que son aplicables para conseguir el nivel de riesgo residual aprobado por la dirección.
- 8. Implementación del SGSI Definición del alcance del SGSI Definición de la política de seguridad Identificación de los activos de información Definición del enfoque del análisis de riesgos Cómo escoger la metodología del análisis de riesgos Tratamiento de los riesgos Selección de controles Gestión de riesgos Declaración de aplicabilidad Implementación y puesta en marcha del SGSI Control y revisión del SGSI Mantenimiento y mejora del SGSI
- 9. LA NORMA –ISO/27001 ADAPTA EL MODELO PDCA El modelo PDCA es un ciclo de mejora continua: planear,desarrollar,comprobar,y actuar de esta manera se consigue mejorar el sistema. Plan: establecer el SGSI. Do: implementar y utilizar. Check: monitorear y revisar el SGSI. Act: mantener y mejorar el SGSI.