¿Qué es el ISO 27001?
Es el estándar internacional líder centrado en la seguridad de la información, publicado por la Organización Internacional de Normalización (ISO), en asociación con la Comisión Electrotécnica Internacional (IEC). Ambos son organizaciones internacionales líderes que desarrollan estándares internacionales.
ISO-27001 es parte de un conjunto de estándares desarrollados para manejar la seguridad de la información: la serie ISO / IEC 27000.
¿Cuál es el marco y el propósito de ISO 27001?
El marco ISO es una combinación de políticas y procesos para que las utilicen las organizaciones. ISO 27001 proporciona un marco para ayudar a las organizaciones, de cualquier tamaño o industria, a proteger su información de una manera sistemática y rentable, mediante la adopción de un Sistema de Gestión de Seguridad de la Información (SGSI).
¿Por qué es importante ISO 27001?
La norma no solo proporciona a las empresas los conocimientos necesarios para proteger su información más valiosa, sino que una empresa también puede obtener la certificación ISO 27001 y, de esta manera, demostrar a sus clientes y socios que protege sus datos.
Las personas también pueden obtener la certificación ISO 27001 asistiendo a un curso y aprobando el examen y, de esta manera, demostrar sus habilidades a posibles empleadores.
Debido a que es un estándar internacional, ISO 27001 se reconoce fácilmente en todo el mundo, lo que aumenta las oportunidades comerciales para organizaciones y profesionales.
¿Cuáles son los 3 objetivos de seguridad del SGSI?
El objetivo básico de ISO 27001 es proteger tres aspectos de la información:
- Confidencialidad : solo las personas autorizadas tienen derecho a acceder a la información.
- Integridad : solo las personas autorizadas pueden cambiar la información.
- Disponibilidad : la información debe ser accesible a personas autorizadas siempre que sea necesario.
¿Qué es un SGSI?
Un Sistema de Gestión de Seguridad de la Información (SGSI) es un conjunto de reglas que una empresa necesita establecer para:
Identificar a las partes interesadas y sus expectativas de la empresa en términos de seguridad de la información.
- identificar qué riesgos existen para la información
- definir controles (salvaguardas) y otros métodos de mitigación para cumplir con las expectativas identificadas y manejar los riesgos
- establecer objetivos claros sobre lo que se debe lograr con la seguridad de la información
- Implementar todos los controles y otros métodos de tratamiento de riesgos.
- medir continuamente si los controles implementados funcionan como se esperaba
- hacer una mejora continua para que todo el SGSI funcione mejor
Este conjunto de reglas se puede escribir en forma de políticas, procedimientos y otros tipos de documentos, o puede ser en forma de procesos y tecnologías establecidos que no están documentados. ISO 27001 define qué documentos se requieren, es decir, cuáles deben existir como mínimo.
¿Por qué necesitamos SGSI?
Hay cuatro beneficios comerciales esenciales que una empresa puede lograr con la implementación de este estándar de seguridad de la información:
Cumpla con los requisitos legales : existe un número cada vez mayor de leyes, regulaciones y requisitos contractuales relacionados con la seguridad de la información, y la buena noticia es que la mayoría de ellos se pueden resolver implementando ISO 27001: esta norma le brinda la metodología perfecta para Cumplir con todos ellos.
Logre una ventaja competitiva : si su empresa obtiene la certificación y sus competidores no, es posible que tenga una ventaja sobre ellos a los ojos de aquellos clientes que son sensibles a la protección de su información.
Costos más bajos : la filosofía principal de ISO 27001 es evitar que ocurran incidentes de seguridad, y cada incidente, grande o pequeño, cuesta dinero. Por lo tanto, al prevenirlos, su empresa ahorrará bastante dinero. Y lo mejor de todo: la inversión en ISO 27001 es mucho menor que los ahorros de costos que logrará.
Mejor organización : por lo general, las empresas de rápido crecimiento no tienen tiempo para detenerse y definir sus procesos y procedimientos, como consecuencia, muy a menudo los empleados no saben qué se debe hacer, cuándo y quién lo debe hacer. La implementación de ISO 27001 ayuda a resolver este tipo de situaciones, ya que anima a las empresas a anotar sus principales procesos (incluso aquellos que no están relacionados con la seguridad), lo que les permite reducir el tiempo perdido por parte de sus empleados.
¿Cómo funciona ISO 27001?
El enfoque de ISO 27001 es proteger la confidencialidad, integridad y disponibilidad de la información en una empresa. Esto se hace averiguando qué problemas potenciales podrían ocurrir con la información (es decir, evaluación de riesgos) y luego definiendo qué se debe hacer para evitar que ocurran tales problemas (es decir, mitigación de riesgos o tratamiento de riesgos).
Por lo tanto, la filosofía principal de ISO 27001 se basa en un proceso de gestión de riesgos: averiguar dónde están los riesgos y luego tratarlos sistemáticamente, mediante la implementación de controles de seguridad (o salvaguardas).