Seleccionar página

8 pasos para implantar con éxito la norma ISO 27001

14 May, 2015 | Seguridad | 0 Comentarios

Insights -> Tendencias y Actualidad

La gestión de los flujos informativos que se producen dentro de una organización es un factor determinante para la buena marcha y el desarrollo de la misma. Es su ADN, el elemento que permite saber hasta dónde se conocen las empresas a sí mismas y cómo pueden aplicar ese conocimiento para mejorar sus procesos internos.

Dicha gestión, sin embargo, se ha realizado tradicionalmente de manera específica y de acuerdo a los recursos que cada organización tiene a mano.

En 2005, la Organización Internacional de Normalización (ISO) aprobó y publicó una normativa estándar cuyo objetivo era implementar, mejorar y mantener un sistema de gestión de la seguridad de la información corporativa: la ISO 27001.

Aunque no era el primer texto que intentaba abordar esta temática—se basó, de hecho, en la norma británica BS 7799-2:2002—, pronto tuvo una buena acogida por parte de numerosas empresas a nivel mundial. Sus requerimientos se actualizaron por última vez en 2013, con lo cual también se le conoce como norma ISO/IEC 27001:2013.

Características de la norma ISO 27001

  • Es, en esencia, una metodología para optimizar la seguridad de la información que se genera al interior de las organizaciones. Adicionalmente, está redactada por los mejores especialistas en el mundo sobre el tema.
  • Puede ser implementada en cualquier organización: pequeña o grande, con o sin ánimo de lucro, privada o de capital público. Sin embargo, es obvio que tenga mayor acogida entre aquellas empresas con estructuras complejas o con varios niveles, y en las que los flujos de información sean más altos.
  • La norma permite la certificación de las empresas. Su contenido no se queda en el plano de las sugerencias o las recomendaciones. Por el contrario, una entidad de carácter independiente es la que se encarga de confirmar que la seguridad de los datos internos de una empresa cumple con los 130 parámetros de la norma.
  • Su crecimiento a nivel mundial ha sido innegable. Según datos de la propia ISO, en 2007 un total de 7732 organizaciones habían acogido los requerimientos de la norma. En 2012, ese número aumentó a 19.577; es decir, casi tres veces más.

 

Cómo implementar la norma. ¿Por dónde empiezo?

Antes de hablar de cómo implementar la norma ISO 27001, es preciso señalar que cada organización tiene unas necesidades concretas sobre la seguridad de sus datos internos. De hecho, muchas de ellas ya han iniciado, quizá sin saberlo, algún proceso de gestión de la información que se genera en sus distintas áreas.

Por «gestión de la seguridad» se entiende los mecanismos que cada empresa pone en marcha para salvaguardar sus datos internos ante amenazas exteriores.

La idea es, pues, adaptar los procesos previos de gestión de la seguridad de datos a los requerimientos de la norma y lograr un manejo más eficaz de la información financiera, comercial, laboral y confidencial.

Estos son los 8 pasos principales para lograrlo:

  1. Compromiso de los niveles directivos. La certificación ISO sobre seguridad de la información sólo tiene cabida cuando los altos mandos de la organización poseen la voluntad y la disposición necesarias.
  2. Participación colectiva. Adicionalmente, todos los miembros de la organización deben participar en el proceso a través de los canales establecidos. La comunicación interna debe ser más eficaz que nunca.
  3. Comparar el sistema de seguridad actual con el de la norma ISO 27001. O lo que es lo mismo: ver cuáles puntos se adhieren a la norma y cuáles no.
  4. Nunca viene mal pedir opiniones a proveedores o clientes sobre la seguridad de la información. Éstos, por su relación con la empresa, también son una buena fuente de información añadida al proceso de implementación.
  5. Definir un equipo de trabajo para adaptar el sistema actual a los requerimientos de la norma. En algunos casos, las empresas recurren al servicio de consultoría. Estos equipos deben tener unas funciones, unas responsabilidades y unos plazos.
  6. La implementación por sí sola no basta. Cuando el sistema de seguridad local haya sido adaptado a la norma ISO 27001, los altos directivos de la organización deben fomentar la implicación del resto de trabajadores a través de formación e incentivos. Sólo así se conseguirá un compromiso general.
  7. Compartir los conocimientos con los empleados es otra forma de crear una cultura corporativa de seguridad de la información. La idea es que ellos mismos, a su vez, se conviertan en auditores de los procesos internos de este tipo.
  8. Finalmente, la revisión periódica del sistema de seguridad de datos debe ser un elemento constante, incluso después de haber recibido la certificación ISO 27001. El objetivo debe la mejora continua de las metodologías.

Si te ha resultado interesante este artículo y quieres conocer más sobre esta temática, puedes descargarte el whitepaper gratuito “Las claves del Éxito para la Gestión de Riesgos de Seguridad de la Información”.

 

El Blog de Calidad y Excelencia de ISOTools

El Blog de Calidad y Excelencia de ISOTools

Puedes contactar con el blog de Calidad y Excelencia de ISOTools a través de su página web www.isotools.org, por twitter en @ISOTools_ o visitar su perfil en Linkedin.

Comentarios

0 comentarios

Enviar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Share This