Ésta norma ISO especifica los requisitos para
establecer, implantar, mantener y mejorar un sistema de gestión de la seguridad
informática con base en el Círculo de Deming, consistente en planear,
hacer, verificar y actuar, repitiendo el ciclo en forma indefinida
hasta mejorar las condiciones iniciales, en este caso de seguridad informática.
La norma ISO 27000 se refiere a los Sistemas de
Gestión de la Seguridad de la Información, y como todas las ISO, es una norma
internacional que permite el aseguramiento, la confidencialidad y la integridad
de los datos y de la información, así como de los sistemas que la procesan, por
medio de la evaluación del riesgo y la aplicación de los controles necesarios
para mitigarlos o eliminarlos. Por su parte, la norma ISO 27001 sugiere ante
todo el conocimiento de la organización y su contexto, la comprensión de las
necesidades y de las expectativas de las partes interesadas y la determinación
del alcance del SGSI, antes de adoptar dicha norma.
Como en toda la serie de normas ISO, en las
citadas normas se hace patente la necesidad de que todos los empleados de la
organización contribuyan al establecimiento de ésta, con el apoyo de la alta
dirección, área que debe demostrar su liderazgo y compromiso mediante la
elaboración de la política de seguridad que se aplicará, misma que debe conocer
toda la organización.
La norma enfatiza la importancia de la
determinación de riesgos y oportunidades cuando se planifica un Sistema de
Gestión de Seguridad de la Información, así como el establecimiento de
objetivos de seguridad de la información y el modo de lograrlos. Dicho logro
depende en gran parte de que la organización cuente con los recursos, las
competencias, la conciencia, la comunicación y la información documentada
pertinente en cada caso.
La norma indica que para cumplir con los
requisitos de seguridad de la información se debe planificar, implementar y
controlar los procesos de la organización, así como hacer una valoración de los
riesgos de la seguridad de la información y un tratamiento de éstos. Asimismo,
también establece la necesidad y la forma de llevar a cabo el seguimiento, la
medición, el análisis, la evaluación, la auditoría interna y la revisión por la
dirección del Sistema de Gestión de Seguridad de la Información, a fin de
asegurar que funciona según lo planeado.
De acuerdo con la propaganda que
exhibe la propia norma, la empresa que la adopta obtiene, entre otros, los
siguientes beneficios:
- Garantía independiente de los
controles internos, ya que cumple los requisitos de gestión corporativa y de
continuidad de la actividad comercial. Garantía de que se respetan las leyes y
normativas que sean de aplicación.
- Proporciona una ventaja
competitiva al cumplir los requisitos contractuales y demostrar a los clientes
que la seguridad de su información es primordial.
- Verifica que los riesgos de la
organización estén identificados, evaluados y gestionados en forma correcta, al
tiempo que formaliza unos procesos, procedimientos y documentación de
protección de la información.
- Demuestra el compromiso que debe
tener la alta directiva de su organización con la seguridad de la información.
- El proceso de evaluaciones
periódicas ayuda a supervisar continuamente el rendimiento y la mejora.
----------------------------------------------------------------------------------------------------
