Contacto

Empleo

Términos de Uso

Inicio

Imprimir

Sistemas de información

ISO/IEC 27001

El gobierno, la industria, los ciudadanos y la sociedad confían en cierto número de infraestructuras de información crítica (por ej.,. servicios de electricidad, suministro de agua, transporte, finanzas, telecomunicaciones y cuidado de la salud). La necesidad de evitar interrupciones en la operación de estas infraestructuras es crítica. La seguridad de la información es otro aspecto a considerar.

La información es un activo fundamental de cualquier negocio y puede abarcar desde información digital, documentación en papel y activos físicos (computadoras y redes) hasta el conocimiento de empleados individuales. Los sucesos que afectan la integridad, confidencialidad y disponibilidad de la información pueden afectar la capacidad de la empresa para continuar sus negocios e impactar las finanzas y la credibilidad. Segun la Encuesta de seguridad y delitos computacionales 2006 del Instituto de Seguridad Computacional y el Buró Federal de Investigaciones (CSI/FBI), las pérdidas estimadas por los encuestados ocasionadas por diversos tipos de incidentes de seguridad en computación alcanzaron un monto total de $52,494,290 en 2006 (de 313 respuestas de personas dispuestas y con capacidad para estimar las pérdidas).

La seguridad de la información se define como la conservación de la confidencialidad, integridad y disponibilidad de la información. La Norma Internacional ISO/IEC 27001:2005 especifica los requisitos para establecer, implementar, operar, vigilar, revisar, mantener y mejorar un sistema de gestión de seguridad de la información documentado dentro del contexto de los riesgos generales del negocio de la organización. Además, provee un marco para implementar algunos de los principios dados en las Recomendaciones de la OECD (Organización para la cooperación económica y desarrollo) para la Seguridad de Sistemas de Información y Redes al usar el modelo y procesos PHVA (Planear-Hacer-Verificar-Actuar).

La norma ISO/IEC 27001 está basada en la BS 7799 y ha sido alineada con otras normas internacionales para sistemas de gestión como la ISO 9001:2000 para sistemas de gestión de calidad y la ISO 14001:2004 para sistemas de gestión ambiental. Algunos de los requisitos comunes para todas estas normas son:

  • Establecer políticas y objetivos
  • Actividades de vigilancia, revisión y mejora
  • Capacitación, percepción y competencia
  • Auditorías internas y revisiones administrativas

Adicionalmente, esta norma requiere la definición de un enfoque de evaluación de riesgo; identificación, análisis y evaluación de riesgos; la identificación y evaluación de opciones para el tratamiento de riesgos y la selección de objetivos de control y controles para el tratamiento de los riesgos identificados. El adjunto A de la norma ISO/IEC 27001 provee una lista de objetivos de control y controles directamente derivados de, y alineados con los enumerados en las Cláusulas 5 a 15 de ISO/IEC 17799:2005, que además ofrece sugerencias de implementación y guía sobre mejores prácticas en apoyo a los controles que pueden encontrarse en ISO/IEC 17799:2005.

ABS Quality Evaluations, Inc., cuenta con un equipo de auditores de sistemas de gestión muy calificados listos para realizar evaluaciones de sistemas de gestión de seguridad de información contra los requisitos de la norma ISO/IEC 27001:2005.