Qué es la norma ISO 27001?

La norma ISO/IEC 27001 es actualmente la norma internacional

más reconocida para los sistemas de gestión de la seguridad de
la información.
. Ayuda a las organizaciones a establecer la política y los
objetivos de gestión de la seguridad de la información y a
comprender cómo se pueden gestionar los aspectos importantes,
aplicar los controles necesarios y establecer objetivos claros para
mejorar la seguridad de la información.
 Adopta un enfoque integral de la seguridad de la información. Los
activos que necesitan protección van desde la información digital,
los documentos en papel y los activos físicos (ordenadores y redes)
hasta los conocimientos de los empleados individuales. Las
cuestiones que hay que abordar van desde el desarrollo de la
competencia del personal a la protección técnica contra el fraude
informático.
 POR QUÉ IMPLANTAR UN SISTEMA DE GESTIÓN DE
LA SEGURIDAD DE LA INFORMACIÓN

 MEJORA CONTINUA

 AJUSTARSE A LAS NECESIDADES DE CADA EMPRESA

 ESTABLECER CONTROLES ADECUADOS PARA LA SEGURIDAD DE LA

INFORMACIÓN

 INTEGRACIÓN DE SISTEMAS DE GESTIÓN

 Los requisitos de la Norma ISO
27001 norma aportan un Sistema de Gestión
de la Seguridad de la Información (SGSI),
consistente en medidas orientadas a proteger
la información, indistintamente del formato
de la misma, contra cualquier amenaza, de
forma que garanticemos en todo momento la
continuidad de las actividades de la empresa.
 Los Objetivos del SGSI son
preservar la:
 Confidencialidad
 Integridad
 y Disponibilidad de la
Información
 SGSI PROCESO SISTEMATICO

 Establece o planifica la Seguridad de la información estableciendo los procesos y

objetivos a conseguir.
 Se implementa la Seguridad de la información dentro de los procesos de la
organización
 Se opera y mantienen los procesos establecidos para la seguridad de la información
 Se miden los resultados (Monitoreo) e indicadores de los distintos procesos de la
seguridad de la información
 Se evalúa (Revisión) la efectividad de los procesos de la seguridad en base a los
objetivos establecidos
 Se analizan los resultados y se establecen nuevos objetivos (Mejora)
ELEMENTOS
O FASES PARA LA
IMPLEMENTACIÓN
DE UN SGSI
 debe considerar como eje central de este sistema la Evaluación de Riesgos .
A la hora de implantar un Sistema de Gestión de la Seguridad de la Información se

 Se debe elegir una metodología de evaluación del riesgo apropiada

para los requerimientos del negocio.
 La gestión de riesgos es uno de los elementos clave en la prevención
del fraude online, robo de identidad, daños a los sitios Web, la
pérdida de los datos personales y muchos otros incidentes de
seguridad de la información. Sin un marco de gestión de riesgos
sólida, las organizaciones se exponen a muchos tipos de amenazas
informáticas.
 Gestión de la calidad PDCA

La ISO 27001 se basa en la teoría de gestión de la calidad PDCA (también

conocida como ciclo de Deming), como se podrá observar en la estructura de esta.
 —Planificar (“Plan”): etapa inicial de diseño del SGSI en la que se realiza la
identificación inicial de los riesgos asociados con la Seguridad de la
información. Esta cuestión se complementa con un análisis cualitativo y
cuantitativo (si es necesario) de los riesgos identificados y la planificación de la
respuesta y los controles necesarios para la mitigación de estos.
 —Hacer (“Do”): implantación y operación del Sistema de
Gestión de Seguridad de la Información definido y desarrollado.
 —Verificar (“Check”): revisar y evaluar su eficacia y
eficiencia. Si el desempeño no es el esperado analizar las causas
y determinar las mejoras.
 —Actuar (“Act”): mejora continua del SGS