Implementación de un SGSI etapa 1. Planificación.
ISO 27001 determina cómo se gestiona la seguridad de la información mediante un sistema de gestión de seguridad de la información – SGSI -. Un sistema de gestión de este tipo se compone de distintas fases que se deben implementar secuencialmente para minimizar los riesgos sobre confidencialidad, integridad y disponibilidad de la información.
La primera de las fases es la planificación, ésta sirve para planificar la empresa y establecer los objetivos de seguridad de la información y elegir los controles correctos de seguridad.
Esta etapa se compone de los siguientes pasos:
- Determinar del alcance del SGSI.
- Redactar la una Política de SGSI.
- Identificar la metodología de evaluación de riesgos y determinar los criterios para la aceptabilidad de riesgos.
- Identificar activos, vulnerabilidades y amenazas.
- Evaluar la magnitud de los riesgos.
- Identificar y evaluar opciones para el tratamiento de riesgos.
- Seleccionar controles para el tratamiento de riesgos.
- Obtener la aprobación de la gerencia para los riesgos residuales.
- Obtener la aprobación de la gerencia para la implementación del SGSI.
- Redactar una declaración de aplicabilidad que detalle todos los controles aplicables y determine cuáles ya se han implementados y cuáles no son aplicables.
Si no se planifica con atención las actividades de seguridad de la información, es posible que se pase por alto algo importante, lo que se traduce en gastos económicos. Por estos motivos, ISO-27001 afina especialmente en los diferentes pasos de la fase de planificación.
El objetivo es crear una dirección clara, y tomar en cuenta todo lo que pueda producir incidentes de seguridad.
ISO27001 trae una fase de planificación bastante compleja y necesita de la redacción de diferentes documentos y la ejecución de varias actividades.
La evaluación y tratamiento de riesgos es el eje central de esta fase debido a que instauran las bases para la etapa de implementación, definiendo controles de seguridad aplicables.
La Plataforma Tecnológica ISOTools da cumplimiento a todos los requisitos de la etapa de planificación, dando lugar a un SGSI ISO 27001 eficaz y eficiente.