Mauricio López
Sistemas de gestión de seguridad de
la información
• Actualmente hablar de la información es hablar de uno de
los activos más importantes para las organizaciones -
cualquiera que sea su negocio-, ya que ésta conduce y fija
muchos de sus procesos críticos.
Debido al gran valor de la información y al gran impacto
que tiene sobre las organizaciones el riesgo en su
integridad, la ISO ha desarrollado un conjunto de normas
que ayuda a las empresas a gestionar sus activos de
información, con el fin de garantizar la continuidad del
negocio y la eficiencia de sus procesos.
• En el ámbito mundial, las normas ISO/IEC
27001 Sistemas de gestión de seguridad de la
información -SGSI-, y la ISO/IEC 27002 Código
de práctica para la gestión de la seguridad de
la información son los referentes de aplicación
de las mejores prácticas en la materia.
Las normas ISO/IEC 27001, 27002 y su
estructura
• Para el cumplimiento de las directrices de la norma
ISO/IEC 27001, las organizaciones deben cumplir los
numerales 4 al 8 descritos en la norma, los cuales
hacen referencia a: requisitos generales,
establecimiento del SGSI, implementación y operación
del SGSI, seguimiento y revisión del SGSI,
mantenimiento y mejora del SGSI, requisitos de
documentación exigidos por la norma, responsabilidad
de la dirección, gestión de los recursos, auditorías
internas, revisión por la dirección y mejora continua el
SGSI.
• Adicionalmente las organizaciones deben implementar los
objetivos de control y los controles descritos en los numerales
5 al 15 de la ISO/IEC 27002, que cumplan los requisitos
identificados en el proceso de valoración y tratamiento de
riesgos.
Esta norma está dividida en once dominios de control, 39
objetivos y 133 controles. Los dominios presentados abarcan:
política de seguridad, organización de la seguridad de la
información, gestión de activos, control de acceso, seguridad
de los recursos humanos, cumplimiento, seguridad física y del
entorno, adquisición, desarrollo y mantenimiento de sistemas
de información, gestión de las comunicaciones y operaciones,
gestión de la continuidad del negocio y gestión de incidentes
de seguridad de la información.
• De esta manera, la ISO/IEC 27001 y la ISO/IEC
27002 se convierten en el pilar de normas
para la seguridad de la información.
La certificación ICONTEC ISO/IEC
27001 permite
-Prevenir o reducir eficazmente el nivel de riesgo,
mediante la implantación de los controles adecuados;
de este modo, prepara a la organización ante posibles
emergencias y garantiza la continuidad del negocio.
-Diseñar una herramienta para la implementación del
sistema de gestión de seguridad de la información
teniendo en cuenta la política, la estructura
organizativa, los procedimientos y los recursos.
• -A la dirección, gestionar las políticas y los
objetivos de seguridad en términos de
integridad, confidencialidad y disponibilidad.
-Incrementa el nivel de concientización del
personal respecto a los tópicos de seguridad
informática.