ISO 27001:2013 es la especificación reconocida internacionalmente para sustentar la implementación de un Sistema de gestión de seguridad de la información (SGSI) contemplando la Gestión de Riesgos de la Información.
La implementación de la Norma ISO 27001 muestra a todas las partes interesadas: la empresa, los clientes, los proveedores y a los organismos reguladores, que su organización se toma en serio la seguridad de la información.
Dichas organizaciones están comprometidas en realizar todo lo posible para reducir los riesgos identificados, a un nivel aceptable y gestionarlos de manera eficaz.
Metodología de Gestión de Riesgos
La metodología de gestión de riesgos de información consiste en los siguientes pasos.
Identificación de activos de información
- Esta actividad es primordial, ya que permite identificar aquellos elementos que procesan, almacenan o poseen información.
- También incluye la identificación de los propietarios de dichos activos de modo que se puedan designar responsables para mantener la protección de la información depositada en los mismos.
Identificación de Amenazas y Vulnerabilidades
- A partir de la identificación de los activos de información será posible identificar las amenazas y vulnerabilidades que implican un riesgo para cada activo.
Ocurrencias de Riesgos y Nivel de Afectación operacional
- La asignación de probabilidad de ocurrencia de los riesgos y el nivel de afectación para la operación del negocio es mandatorio considerarlo.
- Una vez identificados los riesgos, será posible asignar una probabilidad de ocurrencia de dicho riesgo y con ello, el nivel de afectación para el negocio en términos operativos y financieros.
Prioridades del tratamiento de riesgos
- Establecer las prioridades es igualmente importante.
- Una vez establecidos los riegos, probabilidad de ocurrencia y niveles de afectación es posible asignar una prioridad para el tratamiento.
Identificación de tratamiento de riesgos
- Establecida la prioridad será posible determinar los diferentes métodos para tratar los riesgos de acuerdo con la clasificación de controles de seguridad recomendada por la norma ISO 27001.
Elaboración de Declaración de Aplicabilidad
Debe de incluir la siguiente información:
- Activos de información.
- Propietarios.
- Riesgos.
- Niveles de afectación.
Plan de implementación de tratamiento de riesgos
- La elaboración del plan se realiza con base a la Declaración de Aplicabilidad
- Se elaborará un plan de implementación de tratamiento de riesgos que mostrará el camino para la implementación del Sistema de Gestión de Seguridad de la Información requerido por la norma ISO27001.
Como resumen podemos enunciar los beneficios de la Norma.
Ventajas de ISO 2700
Incluyen:
- Reducir los riesgos de seguridad de la información y protección de datos de la organización,
- Ayudar a atraer nuevos clientes y retener a los clientes existentes, ahorrar tiempo y recursos,
- Mejorar la reputación y fortalecer la confianza en su organización.
Un sistema de gestión de seguridad de la información (SGSI) describe y demuestra el enfoque de una organización para la seguridad de la información.
Incluye cómo una organización identifica los riesgos y oportunidades que se relacionan con su información valiosa y los activos asociados y cómo los supera.
Si deseas conocer el grado de madurez en términos de la Seguridad de la Información, realiza un Cuestionario ISO 27001 en línea sin costo.
Uno de los requisitos centrales fundamentales es identificar, evaluar y tratar los riesgos de seguridad de la información.
A partir de ese proceso de gestión de riesgos de la información, se ayudará a determinar cuál de los controles del Anexo A de la norma ISO 27001 pueden ser aplicados en la gestión de esos riesgos orientados a la seguridad de la información.
En Services 4iT somos especialistas en la implementación de la norma ISO 27001 y colaboramos con las empresas para realizar los pasos iniciales requeridos para gestionar los riesgos de la información.
0 comentarios