sábado, 29 de febrero de 2020

Conoce en qué consiste la norma ISO-27000



Las empresas modernas procuran continuamente mejorar sus procesos internos de producción y gestión para posicionarse ante la competencia.

En un mundo globalizado y competitivo, la mejor forma de lograr este objetivo es a través de la obtención de certificaciones de calidad o ISO, avaladas por la International Standard Organization.

Una certificación ISO garantiza el fiel cumplimiento de normas internacionales en los procesos principales de una empresa.

Pero también hay otras normas que se aplican a áreas específicas de la organización, sin importar si se relacionan directamente con la producción o servicio que esta presta.

Por ejemplo, una empresa productora de piezas automotrices puede recibir la certificación de calidad ISO en sus líneas de producción, pero además procurar la certificación en su área administrativa y de manejo de Recursos Humanos.

En este artículo explicaremos qué es la norma ISO-27000, referida en este caso al conjunto de estándares que deben cumplir las organizaciones para implementar con éxito un Sistema de Gestión de la Seguridad de la Información (SGSI).

¿A qué nos referimos con gestión de la Seguridad de la Información?

Este término se refiere a los procesos y políticas implementadas para asegurar que la información manejada por la empresa, clientes y usuarios de sus servicios estará debidamente protegida.

Esto implica tres objetivos principales:

Ÿ  Garantizar la confidencialidad de los datos e información de la empresa, clientes y/o usuarios.

Ÿ  Proteger y conservar los datos y su integridad ante todo tipo de riesgo interno o externo.

Ÿ  Asegurar que los datos e información protegida puedan ser consultados rápida y eficientemente cuando lo requiera cualquier otra unidad de la organización o un ente regulador.

¿Cuál es el contenido de la familia de la norma ISO-27000?

La norma ISO-27000 agrupa varias subnormas que señalan detalladamente cada uno de los pasos a seguir para poder recibir esta certificación.

Sus bases son las ISO-27001 y la ISO-27002. La primera se aplica en organizaciones que ejecutan una gestión de seguridad de la información que identifica riesgos de manera continua en el tiempo.

Por su parte, la ISO-27002 es una guía de buenas prácticas que señala los principales objetivos que deben cumplir las empresas en materia de control y gestión de la seguridad de la información.

Al cumplir la norma ISO-27000 las empresas pueden poner en práctica las siguientes subnormas para mejorar de manera integral su gestión de Seguridad de la Información:

Ÿ  La primera es la ISO-27001, que define los requisitos a cumplir para implementar un Sistema de Gestión de Seguridad de la Información en cualquier organización. Esta subnorma cuenta con su propia certificación.

Ÿ  En segundo lugar tenemos la ISO-27002, que es un manual de buenas prácticas que describe los controles y objetivos que se deben cumplir en un SGSI.
Su última actualización incluye 14 dominios, así como 114 controles y 35 objetivos de control que se deben aplicar.

Ÿ  Luego sigue la norma ISO-27003, que es una guía de ayuda para la puesta en práctica de un SGSI y contiene directrices generales para el éxito de este proyecto. Sirve de complemento a la norma 27001.

Ÿ  Por su parte la norma ISO-27004 enumera varias recomendaciones a seguir para medir y evaluar el funcionamiento de un SGSI.
Describe temas como la configuración de métricas, frecuencia de las mediciones y formas para hacerlo, así como da guías sobre cómo conseguir objetivos específicos.

Ÿ  La ISO-27005 orienta a la organización sobre cómo abordar la gestión de riesgos. A tal efecto, describe potenciales amenazas y vulnerabilidades que deben ser atendidas y previstas en todo SGSI.

Ÿ  La ISO-27006 explica los requisitos necesarios para la acreditación de las empresas certificadoras de la norma ISO-27000.

Ÿ  Finalmente, la ISO-27007 orienta sobre cómo realizar auditorías a un SGSI.
Al respecto, señala qué procesos se deben auditar y con cuál frecuencia, así como la forma de planificar y realizar la auditoría y el método para asignar auditores cualificados a esta tarea. 

No hay comentarios:

Publicar un comentario