La norma ISO 27001, es una norma internacional que da el marco para la implementación de un SGSI, o Sistema de Gestión de Seguridad de la Información. Se aplica para todo tipo de empresa que quiera implementar un sistema para garantizar la triada de la seguridad integrada por confidencialidad, integridad y disponibilidad de la información. Es de los principales estándares a nivel mundial para establecer buenas prácticas y controles en la seguridad de la información. La implementación de una norma ISO 27001, NO significa que una empresa sea segura pero ayuda a la creación de un cultura de seguridad de la información.
La ISO 27701, se divide en 11 secciones más el anexo A, en donde se integran 114 controles que son se pueden implementar en todo tipo de empresas. Es importante resaltar que uno puede implementar la norma ISO 27001, sin necesidad de certificarse, pero la certificación es el examen de validación del proceso de implementación de la norma.
Para implementar la norma en una empresa es fundamental entender el riesgo de la organización, identificar los activos de información, generar un compromiso de la dirección o la gerencia, definir un alcance del SGSI, formar y capacitar, realizar un plan de tratamiento de riesgo, definir roles y responsabilidades, verificar los requisitos normativos, redactar políticas, procesos, procedimientos en seguridad. Así mismo, se debe implementar controles de seguridad en temas como Firewall, Cifrado, Antivirus, herramientas de control entre otras.
El proceso de un Sistema de Gestión de Seguridad de la Información se basa en el ciclo PHVA, en donde se debe planear, actuar, verificar, y hacer el SGSI.
Dentro de la metodología de Cloud Seguro siempre resaltamos el contexto de la organización y se relaciona con sus riesgos. No es lo mismo un SGSI, en un banco que en una entidad de salud. Cada empresa requiere entender el nivel de la organización, establecer una DOFA, con debilidades, Oportunidades, Fortalezas y Amenazas en Seguridad.
En la actualidad muchas de las empresas que son clientes de Cloud Seguro tienen su infraestructura en a la nube, por lo que se debe implementar controles en nubes como AWS. Estas empresas cuentan con certificaciones para sus servicios pero de todas maneras las compañías que trabajen con ellos deben establecer procesos de seguridad de la información.
Es bueno recordar que no es lo mismo seguridad informática y seguridad de la información en el siguiente video lo explicamos.
Las empresas deben invertir recursos, personal y lo más importante tiempo ya que la preparación para la certificación es un proceso que interviene todos los procesos de la empresa. Como parte de nuestros procesos apoyamos las Pre-auditorias de ISO 27001, las cuales son un buen examen antes de que llegue el ente certificador.
Luego de la certificación se debe mantener el sistema y lo más importante implementar un sistema que perdure en el tiempo. Cualquier duda o apoyo en la norma ISO 27001, nos puedes escribir en [email protected]
