Iso 27001
Iso 27001
Iso 27001
La versión más reciente y actualizada hasta la fecha es de 2013, mismo año en que se
añadió la IEC (Comisión Electrotécnica Internacional). Por lo tanto, su nombre oficial es
ISO/IEC 27001:2013.
Debe saber que tiene 14 cláusulas y el apéndice (Apéndice A) proporciona 114 controles
que debe implementar para garantizar el cumplimiento. Sin embargo, la ISO 27001 explica
muy brevemente cómo implementarlos, por lo que se recomienda acudir a la ISO 27002
aquí, ya que describe en detalle y con precisión el método requerido para reducir cada
riesgo.
7. Soporte: En esta cláusula la norma señala que para el buen funcionamiento del
SGSI la organización debe contar con los recursos, competencias, conciencia,
comunicación e información documentada pertinente en cada caso.
10. Mejora: Por último, en la sección décima vamos a encontrar las obligaciones que
tendrá una organización cuando encuentre una no conformidad y la importancia
de mejorar continuamente la conveniencia, adecuación y eficacia del SGSI.
3. Identificar las amenazas: Aquellas cosas que puedan suceder y dañar el activo de la
información, tales como desastres naturales, incendios o ataques de virus,
espionaje etc.
5. Identificar los riesgos: Definir para cada activo, la probabilidad de que las
amenazas o las vulnerabilidades propias del activo puedan causar un daño total o
parcial al activo de la información, en relación con su disponibilidad,
confidencialidad e integridad del mismo.
6. Cálculo del riesgo: Este se realiza a partir de la probabilidad de ocurrencia del
riesgo y el impacto que este tiene sobre la organización (Riesgo = impacto x
probabilidad de la amenaza). Con este procedimiento determinamos los riesgos
que deben ser controlados con prioridad.
7. Plan de tratamiento del riesgo: En este punto estamos preparados para definir la
política de tratamiento de los riesgos en función de los puntos anteriores y de la
política definida por la dirección. En este punto, es donde seleccionaremos los
controles adecuados para cada riesgo, los cuales irán orientados a :
Asumir el riesgo
Reducir el riesgo
Eliminar el riesgo
Transferir el riesgo
La gestión de riesgos es uno de los elementos clave en la prevención del fraude online,
robo de identidad, daños a los sitios Web, la pérdida de los datos personales y muchos
otros incidentes de seguridad de la información. Sin un marco de gestión de riesgos sólida,
las organizaciones se exponen a muchos tipos de amenazas informáticas.
La nueva norma internacional ISO / IEC 27001 - seguridad de la información, ayudará a las
organizaciones de todo tipo para mejorar la gestión de sus riesgos de seguridad de la
información.
Hoy en día, seguridad de la información está constantemente en las noticias con el robo
de identidad, las infracciones en las empresas los registros financieros y las amenazas de
terrorismo cibernético. Un sistema de gestión de seguridad de la información (SGSI) es un
enfoque sistemático para la gestión de la información confidencial de la empresa para que
siga siendo seguro. Abarca las personas, procesos y sistemas de TI.
El diseño y la implementación de un SGSI (ISO / IEC 27001:2005) dará confianza a clientes
y proveedores que la seguridad de la información se toma en serio dentro de la
organización, estando a la vanguardia en la aplicación de la técnica de procesos para hacer
frente a las amenazas de la información y a y los problemas de la seguridad.