Saltar al contenido principal
Seguridad De La Información

Consejos básicos para implementar un Sistema de Gestión de Seguridad de la Información

seguridad de la información

Seguridad de la Información

La norma ISO 27001 ofrece los requisitos básicos para implementar un Sistema de Gestión de Seguridad de la Información.

Entendemos por información todo el conjunto de datos organizados en poder de una organización que poseen valor para la misma, independientemente de la forma en la que se guarde o retrasmita su origen o fecha de elaboración. Le recomendamos que lean ISO 27001: ¿Qué significa la Seguridad de la Información?.

La seguridad de la información, según la norma ISO 27001, consiste en la preservación de la confidencialidad, integridad y disponibilidad, además de los sistemas que se encuentran implicados en su tratamiento, dentro de la empresa.

Consejos básicos

La norma ISO 27001 puede ser implementada en las organizaciones para mejorar la seguridad de la información. En el momento en el que se decide implementar la norma es importantes seguir todos estos consejos básicos:

  • Mantener la sencillez y restringir el alcance. Un centro de trabajo, un proceso de negocio, un único centro de proceso de datos o un área sensible concreta, una vez que se ha conseguido el éxito y se han observado los beneficios, es necesario que se amplíe de forma gradual el alcance en diferentes fases.
  • Comprender los detalles que tiene el proceso de implementación. Es necesario que se inicie en base a las cuestiones exclusivas técnicas, siendo un error sobrecargar de problemas la implementación. Es bueno adquirir experiencia de otras implementaciones, asistir a cursos de formación o contar con el asesoramiento de consultores externos especializados.
  • Gestionar el proyecto fijando los diferentes hitos con los objetivos y los resultados.
  • La autoridad y el compromiso que ha tomado la dirección de la organización evita las excusas para desarrollar las buenas prácticas, además de ser uno de los puntos fundamentales de la norma ISO 27001.
  • La certificación como objetivo. Aunque se pueda conseguir la conformidad con la norma sin certificare. La certificación asegura un mejor enfoque, un objetivo mucho más claro y tangible y mejorar las opciones de conseguir el éxito. La certificación no debe ser la única meta. El principal objetivo es la gestión de la seguridad de la información que se alinea con el negocio.
  • No inventarse nada. Es bueno apoyarse en los estándares, métodos y guías ya establecidos, además de la experiencia de otras empresas.
  • Utilizar lo que ya está implantado. Pueden ser otros sistemas de gestión como ISO 9001, ISO 14001, OHSAS 18001, etc. que ya estén implementados en la empresa. Puede resultar útil como estructura de trabajo, ahorra tiempo y esfuerzo, además de crear sinergias. Es conveniente pedir ayuda e implicar a los responsables y auditores internos de otros sistemas de gestión.
  • Reservar la dedicación necesaria al día o a la semana. El personal involucrado en el proyecto debe ser capaz de trabajar con continuidad en el proyecto.
  • Registrar evidencias. Deben recogerse evidencias al menos tres meses antes de realizar la auditoría de certificación, para demostrar que el Sistema de Gestión de Seguridad de la Información funciona de forma correcta. No es bueno precipitarse a la hora de conseguir la certificación.
  • Mantener y mejorar de forma continua. Es necesario considerar el mantenimiento y la mejora del Sistema de Gestión de Seguridad de la Información a lo largo del tiempo, esto supone que se requiere de esfuerzo y dedicación.

Riesgos

Los riesgos a los que se enfrentan a la hora de implementar un Sistema de Gestión de Seguridad de la Información basado en la ISO 27001 son:

  • Exceso de tiempo de implementación. Esto supone elevar los costes, desmotivación de los empleados, alejarse de los objetivos, etc.
  • Temor ante los cambios. La resistencia de las personas.
  • Discrepancias en los comités de dirección.
  • Delegar todas las responsabilidades en diferentes departamentos técnicos.
  • No asumir que la seguridad de la información es inherente a los procesos de negocio.
  • Planes de formación y concienciación
  • Calendario de revisiones que no se puedan cumplir.
  • No definir de forma clara al alcance.
  • Exceso de medidas técnicas en detrimento de la formación, concienciación y medidas de tipo organizativo.
  • Falta de comunicación de los progresos al personal de la empresa.

Factores de éxito

Los factores de éxito de implementar la norma ISO 27001 son los siguientes:

  • La concienciación de los trabajadores por la seguridad. Es el principal objetivo que se quiere conseguir.
  • Realizar los comités a diferentes niveles con gestión continua de no conformidades, incidentes de seguridad, acciones de mejora, tratamiento de riesgos, etc.
  • Crear un sistema de gestión de incidentes que recoja todas las notificaciones continuas por parte de los usuarios.
  • La seguridad absoluta no existe, por lo que la implementación de la norma lo que pretende es reducir el riesgos aniveles aceptables.
  • La seguridad no es un producto, es un proceso.
  • La seguridad no es un proyecto, es una actividad continua y un programa de protección requiere de un soporte de la empresa para tener éxito.
  • La seguridad debe ser inherente a los procesos de información y del negocio.

Software ISO 27001

El estándar internacional ISO 27001 2013, junto con todas las normas que componen su familia, generan todos los requisitos necesarios para poder implementar un SGSI de una forma rápida y sencilla, además el Software ISOTools Excellence para la norma ISO 27001 2013 presta solución a todas estas cuestiones que se plantean a la hora de implementar un SGSI en una empresa.

 

Descargue el e-book fundamentos de gestión de Seguridad de la Información
Recibe Nuestra Newsletter
New Call-to-action
Nueva llamada a la acción
Volver arriba