1. 7ºM LITDS
2. UNIVERSIDAD AUTONOMA DE CHIAPAS
3. JIMENEZ VAQUERIZO ANGEL EMANUEL
4. Definición
4.1. La ISO 27001:2013 es la norma internacional que proporciona un marco de trabajo para los sistemas de gestión de seguridad de la información (SGSI) con el fin de proporcionar confidencialidad, integridad y disponibilidad continuada de la información, así como cumplimiento legal. La certificación ISO 27001 es esencial para proteger sus activos más importantes, la información de sus clientes y empleados, la imagen corporativa y otra información privada. La norma ISO incluye un enfoque basado en procesos para lanzar, implantar, operar y mantener un SGSI.
4.1.1. incluyendo el RGPD y otras amenazas potenciales
4.1.2. Crimen cibernético, violación de los datos personales, vandalismo / terrorismo, fuego / daños, uso malintencionado, robo y ataque de virus.
4.1.3. cerca del 32% de los negocios sufrieron una violación de datos personales o recibieron ataques en los últimos 12 meses.
5. Beneficios
5.1. Comunicar a clientes, proveedores y grupos de interés que la seguridad es una de las prioridades de la empresa.
5.2. Identificar los principales riesgos en materia de seguridad informática y establecer controles para gestionarlos o eliminarlos.
5.3. Clasificar los riesgos en función de su gravedad y posibilidades reales de que se lleguen a producir.
5.4. Adaptar y alinear los controles a todas las áreas de la empresa.
5.5. Crear confianza en los clientes y partes interesadas de que sus datos están debidamente protegidos.
6. Etapas o fases de implementación
6.1. 1. Planificación
6.1.1. Se trata de una fase esencial a la hora de implantar la ISO 27001. La idea aquí es establecer los objetivos de seguridad de la información que se quieren seguir y realizar un análisis del riesgo a los que se enfrenta la compañía. En esta fase también es esencial que el gestor de riesgos o experto en Ciberseguridad obtenga la aprobación de la gerencia para implementar el SGSI.
6.2. 2. Implementación del Sistema de Gestión de Seguridad de la Información
6.2.1. En esta segunda fase es cuando se implementa como tal el SGSI. De esta forma, se tiene que implantar el plan de tratamiento del riesgo previsto. El objetivo, por ejemplo, puede ser establecer medidas para evitar situaciones perjudiciales como consecuencia de un ciberataque o de un robo de datos. Cabe tener en cuenta que la ISO 27001 pretende que se proteja tanto la información física como la información digital que la empresa tiene en sus archivos.
6.3. 3. Fase de control o de verificación
6.3.1. Para implementar el SGSI según la ISO 27001, otro paso es monitorizar el funcionamiento del propio sistema de gestión y controlar que todas las medidas se ponen en marcha correctamente. Esto implica, por ejemplo, realizar auditorías internas del SGSI, o revisar el nivel de riesgo residual aceptable.
6.4. 4. Actuación, mantenimiento y mejora
6.4.1. Como se trata de un ciclo de mejora, la cuarta fase del proceso para implantar la norma ISO 27001 en una organización consiste en actuar. Esto quiere decir que la organización tiene que implementar mejoras identificadas en fases anteriores. En el caso de que se hubieran detectado errores que puedan poner en peligro la seguridad de la información, se tendrán que tomar medidas correctoras. También se tendrán que comunicar los resultados y acciones tomadas a las partes interesadas.
6.5. 5. Selección de los controles
6.5.1. Selección de los controles definidos por la norma ISO 27001 y de controles adicionales para la gestión de la información.
6.6. 6. Declaración de aplicabilidad
6.6.1. Declaración de aplicabilidad en la organización de los controles seleccionados.
6.7. 7. Revisión
6.7.1. Revisión del Sistema de Gestión de Seguridad de la Información y de sus medidas preventivas y correctivas.