8 pasos para realizar la implantación de la norma ISO 27001
ISO 27001
La gestión de los flujos informativos que se producen dentro de una empresa es un factor determinante para el desarrollo de la misma. Es el elemento que permite saber hasta dónde se conocen las organizaciones a sí mismas y cómo pueden aplicar dicho conocimiento para mejorar sus procesos internos gracias a la norma ISO 27001.
La gestión se ha llevado a cabo de forma específica y según los recursos de los que disponga cada organización.
En el año 2005, la Organización Internacional de Normalización (ISO) aprobó y publicó una normativa estándar cuyo objetivo era el de implementar, mejorar y mantener un Sistema de Gestión de Seguridad de la Información corporativa, la ISO 27001.
Aunque no era el primer texto que intentaba abordar dicha temática, ya que se basó en la normativa británica BS 7799-2:2002, pronto tuvo una buena acogida por parte de organizaciones de todo el mundo. Sus requisitos fueron actualizados en 2013, con lo que hoy en día la norma se denomina ISO 27001 2013.
Características de la norma ISO 27001
- Es una metodología utilizada para optimizar la seguridad de la información que se genera en el interior de las empresas. Como algo adicional que podemos decir es que se encuentra redactada por los mejores especialistas del mundo en el tema de la seguridad de la información.
- Se puede implementar en cualquier organización, no importa su tamaño, si es pública o privada, etc. Sin embargo, resulta obvio que tenga mayor acogida entre las empresas que tienen estructuras complejas o con diferentes niveles, y en las que los flujos de información son mucho más elevados.
- La norma ISO 27001 permite que se certifiquen las empresas. Su contenido no se queda en el plano de las recomendaciones. Por el contrario, una empresa independiente es la que se encarga de confirmar que la seguridad de los datos internos de la organización cumple con los 130 parámetros de seguridad que establece la ISO 27001.
- Su crecimiento a nivel mundial ha sido enorme. Según los datos de la propia ISO, en 2007 un total de 7732 organizaciones que habían acogido todos los requisitos de la norma ISO 27001. En el año 2012, ese número se incrementó hasta 19.500, es decir, tres veces más.
Cómo implementar la norma. ¿Por dónde empiezo?
Antes de hablar sobre cómo implementar la norma ISO 27001, es necesario conocer que cada empresa tiene diferentes necesidades sobre la seguridad de la información en sus datos internos. De hecho, muchas de ellas ya han iniciado la implementación sin saber exactamente cuál es el proceso de gestión de la información que se genera en las diferentes áreas.
Por gestión de la seguridad se entiende los mecanismos necesarios que cada empresa debe poner en marcha para salvaguardar sus datos internos antes amenazas exteriores.
La idea es adaptar los procesos previos de gestión de la seguridad de datos a los que los requisitos de la norma ISO 27001 consigue un manejo más eficiente de la información financiera, comercial, laboral y confidencial.
Estos son los 8 pasos principales que se deben seguir para conseguirlo:
- Compromiso de los niveles directivos: la certificación en ISO 27001 sobre la seguridad de la información sólo tiene cabida cuando los altos cargos de la empresa tienen voluntad y disposición suficiente.
- Participación colectiva: de forma adicional, todos los miembros de la empresa tiene que participar en el proceso mediante los canales establecidos. La comunicación interna tiene que ser más eficaz que nunca.
- Comparar el sistema de seguridad actual con el de la norma ISO 27001: ver los puntos que se adhieren a la norma y cuáles no.
- Pedir explicaciones a los proveedores o clientes sobre la seguridad de la información. Por la relación que tienen con la empresa son una buena fuente de información para el proceso de implementación.
- Definir un equipo de trabajo para adaptar el Sistema de Gestión de Seguridad de la Información a los requisitos de la norma ISO 27001. En algunos casos, la organización recurre a contratar a un consultor. Estos equipos deben tener ciertas funciones, responsabilidades y plazos.
- La implantación por sí sola no basta. Cuando el sistema de seguridad local haya sido adaptado a la norma ISO 27001, los altos directivos de la empresa tienen que fomentar la implicación del resto de trabajadores mediante la formación y los incentivos. Solo así se consigue un compromiso general.
- Compartir los conocimientos con los trabajadores, es otra manera de genera una cultura corporativa de seguridad de la información. La idea es que ellos mismos, a su vez, se conviertan en auditores de los procesos internos de este tipo.
- Revisión periódica del Sistema de Gestión de Seguridad de la Información debe ser un elemento constante, incluso después de haber recibido la certificación en ISO 27001.
Software ISO 27001
El Software ISOTools Excellence para ISO 27001 para la Seguridad de la Información se encuentra compuesta por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las empresas no pierda ninguna de sus propiedades más importantes. Facilita el cumplimiento de las diferentes fases del ciclo de mejora continua.