Skip to Menu Skip to Search Contacta con nosotros Spain Páginas Web e Idiomas Skip to Content

La norma ISO 27001 proporciona las directrices necesarias para definir un sistema de gestión de la seguridad de la información. Esto abarca no sólo los aspectos técnicos, como la infraestructura y los medios técnicos, sino también las buenas prácticas empresariales, las políticas de tratamiento de la información, la formación del personal y los planes de contingencia, entre otros.

¿CUÁLES SON LOS PRINCIPALES PRINCIPIOS Y REQUISITOS DE LA ISO 27001?

1 - CONTEXTO DE LA ORGANIZACIÓN

Las distintas organizaciones de diferentes sectores están potencialmente expuestas a diferentes factores, tanto internos como externos, que pueden suponer una amenaza para su forma de gestionar la información. Aquí entran en juego, entre otras cosas, las características técnicas de los sistemas de información, las expectativas de las partes interesadas, los requisitos legales, las obligaciones contractuales y la información especialmente sensible.

2 - ALCANCE DEL SGSI

Un Sistema de Gestión de la Seguridad de la Información (SGSI) debe planificarse teniendo en cuenta su ámbito de aplicación, es decir, definiendo los procesos y las actividades implicadas, los tipos de información que hay que vigilar y proteger y, a la inversa, definiendo también sus límites, técnicos o de otro tipo. Para una mayor eficacia, el SGSI debe integrar los sistemas y procesos de gestión en funcionamiento dentro de la organización.

3 - LIDERAZGO

La dirección de la organización tiene un papel fundamental en la definición y el mantenimiento de este sistema de gestión. Son los líderes jerárquicos los responsables de la elaboración de una política de seguridad de la información, de su integración en los procesos de la organización, de la comunicación de sus principios a través de la cadena jerárquica y de la promoción continua del tema dentro de su organización, incluyendo la impartición de una formación adecuada a su personal.

4 - PLANIFICACIÓN

La planificación es fundamental, sobre todo en lo que se refiere al establecimiento de procesos de gestión de riesgos y oportunidades dentro del SGSI, incluyendo: criterios de riesgo, identificación de amenazas, evaluación de riesgos asociados a cada peligro, medidas de mitigación y control, incluidos los planes de tratamiento de riesgos, sin olvidar la concreción de los objetivos de seguridad de la información.

5 -SOPORTE

Por soporte se entiende la adquisición y asignación de todos los recursos necesarios para la aplicación efectiva del sistema de gestión. Se puede considerar aquí la infraestructura (por ejemplo, servidores y programas informáticos), los recursos humanos (por ejemplo, empleados especializados o proveedores externos) y los conocimientos técnicos (por ejemplo, acciones de formación o sensibilización). 

6 - OPERACIÓN

En esta fase se lleva a cabo toda la ejecución de los planes y procesos definidos anteriormente. Es importante mencionar que la fase de explotación debe ir acompañada de una elaboración cuidadosa y bien organizada de la documentación, capaz de detallar todas las actividades realizadas. Solo así será posible, en una fase posterior, evaluar el trabajo realizado y detectar los problemas y riesgos que hay que corregir.

7 - EVALUACIÓN DE RESULTADOS

Como es lógico, la fase de evaluación del rendimiento busca asegurar la calidad del trabajo desarrollado, siendo el garante de la eficacia del SGSI y potenciando la introducción de futuras mejoras, así como minimizando los problemas detectados, alimentando los procesos de auditoría interna.

8 - MEJORA

Cualquier problema o no conformidad detectado durante la fase de evaluación debe dar lugar a una rápida intervención, ya sea en el sentido de minimizar las posibles pérdidas y daños, o con la intención de evitar su futura reproducción. Cualquier vulnerabilidad en términos de seguridad de la información puede tener fuertes impactos a nivel reputacional y legal, concretamente en el marco del RGPD, donde las multas se calculan en función del volumen de ventas anual de una organización.