Securities">
Investigación Iso
Investigación Iso
Investigación Iso
ISO 27001
ISO 27001 es una norma internacional que permite el aseguramiento, la confidencialidad e
integridad de los datos y de la información, así como de los sistemas que la procesan.
El estándar ISO 27001:2013 para los Sistemas Gestión de la Seguridad de la Información
permite a las organizaciones la evaluación del riesgo y la aplicación de los controles
necesarios para mitigarlos o eliminarlos.
La aplicación de ISO-27001 significa una diferenciación respecto al resto, que mejora la
competitividad y la imagen de una organización.
La Gestión de la Seguridad de la Información se complementa con las buenas prácticas o
controles establecidos en la norma ISO 27002.
Estructura de la norma ISO 27001
1. Contexto de la Organización: Este es el primer requisito de la norma, el cual
recoge indicaciones sobre el conocimiento de la organización y su contexto, la
comprensión de las necesidades y expectativas de las partes interesadas y la
determinación del alcance del SGSI.
2. Liderazgo: Este apartado destaca la necesidad de que todos los empleados de la
organización han de contribuir al establecimiento de la norma. Para ello la alta
dirección ha de demostrar su liderazgo y compromiso, ha de elaborar una política de
seguridad que conozca toda la organización y ha de asignar roles, responsabilidades
y autoridades dentro de la misma.
3. Planificación: Esta es una sección que pone de manifiesto la importancia de la
determinación de riesgos y oportunidades a la hora de planificar un Sistema de
Gestión de Seguridad de la Información, así como de establecer objetivos de
Seguridad de la Información y el modo de lograrlos.
4. Soporte: En esta cláusula la norma señala que para el buen funcionamiento del
SGSI la organización debe contar con los recursos, competencias, conciencia,
comunicación e información documentada pertinente en cada caso.
5. Operación: Para cumplir con los requisitos de Seguridad de la Información, esta
parte de la norma indica que se debe planificar, implementar y controlar los
procesos de la organización, hacer una valoración de los riesgos de la Seguridad de
la Información y un tratamiento de ellos.
6. Evaluación del Desempeño: En este punto se establece la necesidad y forma de
llevar a cabo el seguimiento, la medición, el análisis, la evaluación, la auditoría
interna y la revisión por la dirección del Sistema de Gestión de Seguridad de la
Información, para asegurar que funciona según lo planificado.
7. Mejora: Por último, en la sección décima vamos a encontrar las obligaciones que
tendrá una organización cuando encuentre una no conformidad y la importancia de
mejorar continuamente la conveniencia, adecuación y eficacia del SGSI
Una descripción de la ubicación de los activos que incluya planos de planta para
describir el perímetro
Inversión-económica:
Queda claro que la seguridad no nos va a salir gratis, es por ello que se requerirá un
cierto nivel de inversión acorde con la evaluación de riesgos y los criterios para
asumir o minimizar los distintos niveles de riesgo
Instalaciones:
El lugar e instalaciones de una organización deben estar preparados para ofrecer
niveles de seguridad proporcionales al riesgo al que está expuesta una organización.
Equipos:
En ciertos casos deberemos de contar con equipos específicos para proporcionar
sistemas de defensa o detección de intrusiones en nuestros sistemas de información
y así mejorar los niveles de seguridad
Personas:
Dentro de una organización podremos definir responsabilidades para todos los
empleados en relación a la seguridad de la información, pero este no será su
objetivo principal sino un medio por el cual podrán desempeñas mejor sus funciones
contando con la ayuda de la seguridad de la información para conseguir sus
objetivos comerciales
5- Operación
Describir las operaciones que realiza la empresa detalladamente (Ahora la norma ISO
27001 nos pide que seamos capaces demostrar que estamos tomando las medidas para
lograr los objetivos establecidos)
requiere que se implemente el plan de tratamiento de riesgos de seguridad de la
información que se definió en la cláusula 6 y, como siempre, registre los resultados de los
indicadores establecidos.
El proceso de tratamiento de riesgos se lleva a cabo siempre después de cada evaluación de
riesgos de seguridad para garantizar que se implementen los controles o mitigaciones
correctas.
-Diagrama de flujo
El manual de procedimientos debe contener un diagrama de flujo que ilustre el
procedimiento en general y los responsables que intervienen en cada operación.
-Glosario de términos
Muchas veces hay términos que no son comprensibles para todas las personas que van a a
leer el manual de procedimientos. Por eso es recomendable agregar una sección al final con
un glosario de términos que permita ampliar el conocimiento
Análisis de riesgos
1. Identificar los peligros
Inspeccione el lugar donde se desarrolla el trabajo y vea que podría esperarse de las
tareas que pueda causar daño.
Hable con sus empleados ó sus representantes que es lo que ellos piensan, ellos
podría tener advertido cosas que no son inmediatamente obvias para usted.
Investigue en las asociaciones locales de seguridad las guías practicas sobre donde
los peligros ocurren y como controlarlos.
Revise las instrucciones de los fabricantes o las hojas de datos para químicos y
equipamientos en general. Estas pueden ser muy útiles en detallar los peligros y
poner a ellos en su correcta perspectiva.
Recuerde pensar en peligros y daños a la salud que pueden suceder a largo plazo
ejemplo: altos niveles de ruido, ó exposición a substancias peligrosas
2. Decidir quién puede ser dañado y como
Para cada peligro usted necesita ser claro acerca de quien podría ser dañado, esto le
ayudará a identificar el mejor camino para manejar el riesgo.
Recordar:
Las leyes requieren que usted haga todo lo razonablemente practicable para proteger
a los trabajadores de los peligros. Se puede trabajar con el análisis solo, pero es
aconsejable como mejor camino comparar los resultados con similares "mejores
prácticas". Estas se pueden consultar en los institutos ó asociaciones de seguridad.
Entonces, luego de la comparación sus resultados con las "mejores prácticas" vea si
existen más y mejores cosas que hacer para llevar su trabajo a lo estándar.
Pregúntese lo siguiente:
Si no, como puedo controlar los riesgos para que el daño no sea probable?
1. Intentar una opción menos riesgosa (ejemplo: cambiar por un químico menos
riesgoso)