La norma ISO 27001 para mejorar la seguridad en la información

ISO 27001 es una norma de carácter internacional emitida por la Organización Internacional de Normalización, y establece un riguroso protocolo acerca de la gestión de la seguridad de la información en el ámbito corporativo. La norma puede ser implementada en cualquier tipo de compañía, con independencia de su tamaño y sector de actividad. Actualmente es la norma más importante de todo el mundo para mejorar la seguridad en la información, algo vital teniendo en cuenta que es precisamente la información el activo más valioso del siglo XXI.

[media:633]

La ISO 27001se basa en tres pilares fundamentales: integridad, confidencialidad y disponibilidad de la información en una compañía. Para ello, la empresa debe llevar a cabo una evaluación de riesgos con el claro objetivo de detectar cualquier tipo de amenaza y/o debilidad que podría afectar de algún modo a la información. Una vez realizada la evaluación de riesgos, hay que definir el plan de actuación para evitar que los problemas tengan lugar.

Por lo general, las medidas de seguridad que se implementan se presentan bajo la forma de políticas y procedimientos. Así, buena parte de la implementación de ISO 27001 está relacionada con determinar las reglas corporativas que son necesarias para prevenir cualquier brecha de seguridad.

3 razones por las que la ISO 27001 es tan importante

Existen una serie de razones que explican por qué la implementación de esta norma internacional es tan importante, incluso para pequeños negocios.

Lo primero para tener en cuenta es que cada vez existen más leyes y normativas vinculados con la seguridad de la información. Pues bien, gracias a la ISO 27001 es mucho más fácil adaptarse a ellos porque la norma proporciona la mejor metodología.

En segundo lugar, cabe destacar que los usuarios actuales son cada vez más exigentes con el tratamiento que las empresas dan a sus datos personales. Por esta razón, si una compañía obtiene esta certificación y sus competidores directos no, supone una clara ventaja competitiva.

Y, en tercer y último lugar, supone un importante ahorro de costes. El principal objetivo de la norma es evitar que se produzcan incidentes de seguridad en la empresa. Pues bien, no hay que olvidar que cualquiera de estos incidentes puede suponer un importante desembolso económico.

Estructura de la norma ISO 27001

1. Objeto y campo de aplicación: especifica los requisitos genéricos, que se pueden aplicar en cualquier tipo de organización.
2. Normas para consulta: se refiere al estándar ISO 27000.
3. Términos y condiciones: este apartado refleja las definiciones y los términos aplicables.
4. Contexto de la organización: este “capítulo” explica de forma detallada cuáles son las principales fortalezas y debilidades del Sistema de Gestión de la empresa.
5. Liderazgo: la dirección de la compañía y sus responsables deben implicarse y mostrar un compromiso firme con la norma ISO 27001.
6. Planificación: por supuesto, la empresa tiene que planificar las acciones que considere necesarias para afrontar las amenazas y aprovechar las oportunidades en el ámbito de la seguridad en la información. La compañía también debe definir un protocolo de análisis de riesgos y un plan de tratamiento de los riesgos que han sido detectados.
7. Soporte: la organización tiene que poner a disposición los recursos técnicos y humanos necesarios.
8. Operación: la empresa tiene la obligación de planificar, implementar y analizar los procesos que sean necesarios para cumplir con las exigencias de seguridad de la información.
9. Evaluación: de manera periódica la compañía tiene que evaluar el desempeño de la norma a través de auditorías internas.
10. Mejora: y, por último, la norma ISO 27001 hace hincapié en la mejora continua.