Please enable JavaScript.
Coggle requires JavaScript to display documents.
ISO 27001 - Seguridad de la Información - Coggle Diagram
ISO 27001 - Seguridad de la Información
SEGURIDAD
Ausencia de peligro o de riesgo.
SISTEMA DE GESTIÓN
Es la forma en que una organización maneja su gestión interna para así lograr sus objetivos
SEGURIDAD DE LA INFORMACIÓN
En el marco de las ISO, significa preservación de la confidencialidad, integridad y disponibilidad de la información.
Si la empresa ya se encuentra certificado en la ISO 9001 o la 14001, es posible la incorporación de dicho sistema de gestión (ISO 27001) a la organización tomando como base la estructura del alto nivel.
INFORMACIÓN CORPORATIVA
Uno de los activos más importantes que maneja una empresa y que la convierte en una herramienta fundamental para optar por un sistema de gestión que apoya para garantizar la seguridad de esta.
SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (SGSI)
Promueve un enfoque en base a procesos apoyándose en el ciclo de la mejora continua (P - H - V - A)
Enfoque que permite el manejo seguro de la información confidencial de una compañía, incluye las personas, procesos, sistemas informático y aplicar un proceso de gestión de riesgos. Puede apoyar a las grandes, medianas y pequeñas empresas de cualquier rubro a mantener los activos de información de forma segura.
ISO 27000
Apoya a la organizaciones a mantener los activos de su información de forma segura.
Términos y definiciones de un sistema de gestión de la seguridad de la información
ISO 27001
Estándar más conocido, provee los requerimientos para implementar un sistema de gestión de la seguridad de la información.
Emplearla ayudará a manejar la información de una forma confidencial y segura, desde información financiera, propiedad intelectual, detalles de los colaboradores o información de partes interesadas.
CONTENIDO
10 Cláusulas homogéneas a las últimas normas publicadas por la ISO
Objeto
Referencias normativas
Términos y definiciones
Contexto de la organización
Liderazgo
Planificación
Apoyo
Operación
Evaluación del desempeño
Mejora
CLÁUSULAS
Objeto
Habla de los requerimientos de un sistema de gestión de la seguridad de la información, indica que puede ser aplicable a cualquier organización independientemente de su tamaño o giro empresarial.
Referencias normativas
Hace referencia a la familia de las ISO 27000
Términos y definiciones
Indica que un glosario para un mejor entendimiento se pueden encontrar en la ISO 27000:2018.
Planificación
Indica que la empresa debe considerar aquellos peligros de la información que rodean el contexto de la organización. E identificar todos los riesgos y oportunidades que necesitan abortarse para asegurar que se cumplan los objetivos planificados, reducir efectos no deseados y promover la mejora continua. La empresa debe planificar cómo enfrentar los riesgos y dará lugar a las oportunidades para evaluar la efectividad de dichas acciones. A su vez se indica que se debe implementar un proceso de manejo de riesgos para la seguridad de la información.
Primero: Contando con información de cómo manejar los riesgos, asegurando que contenga los procesos de cómo tratar un riesgo cuando se materialice y evitar la pérdida total de confidencialidad, integridad y disponibilidad de la información. A su vez, esta obliga a la empresa que se proponga objetivos en cuanto al manejo de seguridad de la información y se establezca una planificación para cumplirlos.
Apoyo
La organización debe contar con los recursos necesarios para que todo lo planeado en la cláusula 6 pueda ser cumplido, incluyendo la competencia de las personas y la toma de conciencia sobre la seguridad de la información comunicando de forma activa las políticas, objetivos de la seguridad de la información y asegurando su cumplimiento y medición constante. También manejando toda aquella información documentada que respalde y apoye al SGSI incluyendo la requerida por la norma necesaria para lograr la efectividad de SGSI.
Operación
Cómo la empresa debe planificar, implementar y controlar los procesos relacionados con la seguridad de la información. Para garantizar las acciones definidas para la mitigación de riesgos, y objetivos de seguridad de la información. A su vez trata del manejo y aseguramiento de los riesgos relacionados a la información de la empresa, lo cual debe ser conservado como información documentada. La cual debe ejecutarse, evaluarse y medirse para garantizar que la empresa cuenta con la medidas de contingencia para disminuir y tratar los riesgos relacionados a la seguridad de la información.
Evaluación del desempeño
La empresa que implementa un SGSI debe medirlo para garantizar su desempeño y mejora, a su ves indica como método infalible una auditoría interna requiriendo que sea audible y el SGSI en los periodos o intervalos que la organización camine como ayuda a ello la norma 27001 propone la ejecución, control, implementación medición y seguimiento de un
programa de auditoría
. Finaliza con la evaluación por parte de la alta dirección, asegurando que la alta dirección revise el estatus de cumplimiento de la política y objetivos y el manejo de los riesgos de la seguridad de la información y la retroalimentación de las partes interesadas.
Mejora
Se hace mención de cómo una organización tarta las no conformidades que ocurran. Siendo una
no conformidad
el incumplimiento a los requisitos. Luego de tratar las no conformidades, la organización debe realizar una mejora continua en aquellos aspectos que promueven la seguridad de la información en la compañía.
Liderazgo
Se da a conocer el compromiso y apoyo que debe existir por parte de la alta dirección de la empresa, y todos los aspectos relativos al sistema incluyendo en el cumplimiento de la política y objetivos de la seguridad de la información. Asegurando que el SGSI se integre con la operación de la empresa, proveer los recursos necesarios para que se desempeñe el sistema, entre otros. A la vez se menciona sobre la implementación de una política de seguridad de la información, que sea conforme al alcance del negocio y sobre todo que considere los requisitos de seguridad de la información definidos por la empresa. Y finalmente se señala que la organización debe asignar los roles, responsables y autoridades que velen por la seguridad de la información y comuniquen la gestión de la misma.
Contexto de la organización
Menciona los aspectos que debe considerar una organización para implementar su sistema de gestión de la información. En primer lugar se deben determinar los aspectos internos y externos a la empresa que son relevantes y que pueden llegar a afectar al desempeño del sistema implementado.
En segundo lugar se deben identificar a las partes interesadas y relevantes al sistema de gestión de la seguridad de la información y asegurarse de cumplir con sus requisitos.
En tercer lugar, el alcance de dicho SGSI debe ser en base a las necesidades de la empresa tomando como referencia los requisitos de sus partes interesadas y considerando cada proceso de la organización.
Finalmente esta cláusula menciona que la empresa debe definir los límites y la aplicabilidad que debe tener el SGSI
¿ES POSIBLE LA CERTIFICACIÓN EN LA ISO 27001?
Sí es posible dicha certificación, al igual que en otros estándares ISO; sin embargo, no es un requisito que dicta la norma. Algunas organizaciones solo optan por implementar los requisitos del estándar con el fin de beneficiarse de las buenas prácticas que esta contiene y otras, deciden certificarse para asegurar a sus clientes y partes interesadas que sus procesos de información son confiables y seguros.