Conocer el objetivo de ISO 27001 es esencial para lograr la gestión eficaz de la seguridad dentro de una empresa. Esta, entre otras ventajas, nos permite incrementar la confianza con terceras empresas y clientes, así como mejorar la productividad.
Si todavía no conoces qué es la norma ISO 27001 o no sabes para qué sirve, en este artículo abordaremos ambos aspectos, y veremos cuáles son los objetivos que persigue. Hoy en día, implementar este Sistema de Gestión de Seguridad de la Información es esencial para poder posicionarse dentro de la competencia del mercado.
¿Qué es la norma ISO 27001?
Es una norma de carácter internacional en la cual se recogen los requisitos exigidos para certificar, siguiendo las normas ISO 27002, pertenecientes a la misma familia normativa. Si una empresa es certificada, esto implica la acreditación de que cumple con las normas de la buena Práctica del Sistema de Gestión de Seguridad de la Información (SGSI).
Esta nos explica cómo se debe planificar, implantar y controlar un Sistema de Gestión de la Seguridad de la Información. En ella se encuentran pautas para gestionar riesgos y controlar la seguridad de la información en cualquier organización. Es totalmente aplicable tanto en grandes como en pequeñas empresas, públicas o privadas.
La información es una parte fundamental de toda empresa a la hora de perseguir sus objetivos. Es, por tanto, necesario que se garantice un buen cumplimiento del Sistema de Gestión de la Seguridad de la Información que permita una gestión eficaz y reducir los riesgos que comprometan la confidencialidad, integridad y disponibilidad de los datos.
¿Cuál es el objetivo de ISO 27001?
Cuando nos preguntemos cuál es el objetivo que persigue ISO 27001, debemos sobre todo centrarnos en el aspecto más importante: garantizar una información segura.
Cada uno de los requisitos pautados para obtener la certificación, y reflejados en dicha norma, están orientados a mejorar la seguridad de la información gestionada en las organizaciones. Este es el objetivo principal de la ISO 27001 y también el que deben seguir las empresas.
En relación con esto, podemos observar que existe otro objetivo en ISO 27001, el cual es el análisis y la gestión de los posibles riesgos en los que se pueda ver implicado el sistema de información. Por otro lado, también busca crear controles que logren reducirlos o incluso eliminarlos.
Como nota final, podríamos decir que el mayor objetivo de ISO 27001 es preservar la confidencialidad e integridad de los datos de las empresas, al igual que la disponibilidad de la información protegida.
El ciclo de Derming o ciclo de mejora continua
Para obtener dicho objetivo, la ISO 27001 usa el conocido ciclo de Deming, también llamado ciclo de mejora continua, el cual se basa en los siguientes puntos:
- Plan (planificar): primera etapa del ciclo de Deiming donde se identifican los riesgos para la seguridad de la información y se crean objetivos y deberes para conseguir cumplirlos.
- Do (hacer): segunda etapa en la que se comienza a trabajar en los cambios pertinentes para llegar a los objetivos. Aquí es muy importante la labor de control y supervisión para procurar que la planificación funciona.
- Check (verificar): en esta tercera etapa se realiza una evaluación y revisión en función a los objetivos que se han planificado.
- Act (actuar): en la etapa final se analizan los resultados obtenidos y se buscan formas de mejora para aquellos aspectos que no hayan sido tan satisfactorios.
Estructura de la normativa ISO 27001
La normativa ISO 27001 está conformada por 10 partes diferenciadas, que definimos a continuación:
- Objetivo y campo de aplicación: indicaciones sobre el uso, finalidad y metodología de la aplicación del estándar.
- Referencias normativas: qué documentos son necesarios para realizar la implementación.
- Términos y definiciones del estándar.
- Contexto de la organización: expectativas, requisitos y alcance del Sistema de Gestión de la Seguridad de la Información.
- Liderazgo: necesidad de un compromiso por parte de toda la plantilla para implementar la norma, así como liderazgo de la dirección. Aquí se estudia cómo la directiva debe realizar una política de seguridad, asignar roles y responsabilidades.
- Planificación: analizar y detectar los riesgos y las oportunidades para elaborar un Sistema de Gestión de la Seguridad de la Información, y crear los objetivos de la Seguridad de la Información como su metodología.
- Soporte: obtener recursos, conciencia, competencia, comunicación e información documentada para abordar cada caso.
- Operación: cómo se va a operar el sistema a través de la planificación, y control de los procesos productivos, así como la valoración de los riesgos y las soluciones a estos.
- Evaluación del Desempeño: cómo se va a realizar el seguimiento y el control del Sistema de Gestión de la Seguridad de la Información para su funcionamiento. Se incluye auditoría interna y la revisión de la directiva.
- Mejora: aquí se realiza una propuesta de mejora y adecuación al SGSI.
¿Por qué es importante obtener la certificación ISO? Como bien hemos visto a lo largo de este post, una buena gestión de la seguridad de la información supondrá una ventaja estratégica de las empresas frente a su competencia. La mejor forma de obtenerlo es mediante la implementación de un correcto Sistema de Gestión de la Seguridad de la Información. Además, es un buen comienzo para una posterior implantación del Esquema Nacional de Seguridad (ENS) en nuestra organización.
Esto se logrará a través de un análisis actual de la empresa para establecer cómo de viable es la norma, y qué acciones se deben llevar a cabo para satisfacer los requisitos propuestos por el objetivo de ISO 27001.
Puedes comprobar la calidad de tus servicios de gestión a través de la ayuda y asesoramiento de profesionales. De esta forma te asegurarás el poder detectar aquellos aspectos que no están funcionando o que se desvían del modo operativo. Desde CTMA Consultores ponemos a tu servicio nuestra amplia experiencia y especialización. Puedes descubrir nuestros servicios en consultoría y auditoría para empresas y organizaciones.