La información es uno de los principales activos de las organizaciones, pudiendo llegar a poner en peligro su continuidad en caso de pérdida de la confidencialidad, integridad o disponibilidad de la información.

La norma ISO/IEC 27001 nace con la finalidad de establecer las bases de un SGSI (Sistema de Gestión de la Seguridad de la Información) utilizando como marco de referencia las 12 áreas de actuación definidas en el Código de Buenas Prácticas en Gestión de la Seguridad de la Información identificadas en la norma ISO/IEC 27002.

  • Socialización a toda la organización de los objetivos y directrices de seguridad.
  • Sistematización y objetividad durante las actuaciones de seguridad.
  • Análisis y prevención de los riesgos en los diferentes sistemas de información.
  • Mejora de los procesos y procedimientos de gestión de la información.
  • Motivación del personal en cuanto a la importancia del aseguramiento de la información.
  • Cumplimiento con la legislación vigente.

Implantación de un SGSI según la ISO/IEC 27001:2013

Para realizar una implantación con éxito de un SGSI es necesario el compromiso y apoyo de dirección en el proyecto y así poder obtener un correcto diseño del SGSI. Este diseño debe identificar y documentar el alcance y objetivos del SGSI, realizando la política de seguridad de la empresa, realizando el inventario de activos, realizando un análisis de riesgos a partir de las amenazas, vulnerabilidades e impactos, una valoración y posterior gestión del riesgo que nos permita seleccionar los controles necesarios para minimizar los riesgos existentes y con ello seleccionar los controles aplicables de la norma UNE-ISO/IEC 17799:2005.

Los objetivos de la Implantación de un SGSI son:

  • Definir Objetivos: Definición de los objetivos de seguridad.
  • Análisis y Gestión de Riesgos: Análisis y Gestión de Riesgos (MAGERIT, OCTAVE o CRAMM).
  • Plan Director: Creación del Plan Director de la implantación.
  • Implantación: Implantación del SGSI.