1. PRINCIPIOS
1.1. La ISO 27001 se basa en la teoría de gestión de la calidad PDCA, también conocida como ciclo de Deming.
1.1.1. 1. Planificar (Plan): Etapa inicial del diseño en la que se complementa con un análisis cualitativo y cuantitativo (si es necesario) de los riesgos identificados y la planificación de la respuesta y los controles necesarios para la mitigación de estos.
1.1.2. 2. Hacer (Do): Implantación y operación del Sistema de Gestión de Seguridad de la Información definido y desarrollado.
1.1.3. 3. Verificar (Check): Eevisar y evaluar su eficacia y eficiencia. Si el desempeño no es el esperado analizar las causas y determinar las mejoras.
1.1.4. 4. Actuar (Act): Mejora continua del SGSI.
2. BENEFICIOS
2.1. 1. Permite que los procesos de seguridad estén equilibrados y a la vez coordinados entre sí.
2.2. 2. Aunque es imposible reducir a cero el riesgo, permite crear metodologías que contribuyan a la mitigación de los mismos y a aumentar la seguridad en la información que se tiene.
2.3. 3. En caso de que se llegue a presentar un riesgo permite que este no cause pérdidas tan profundas y que se cuente con un plan de acción para actuar de manera eficaz.
2.4. 4. Genera confianza con todos los miembros de la entidad, ya sean clientes, proveedores o empleados.
2.5. 5. Es una herramienta que da la posibilidad de planificar y hacerle seguimiento a los procesos y controles de seguridad.
3. OBJETIVOS
3.1. 1. Principios y directrices: Para el fin de preservar la información, se ha demostrado que no es suficiente la implantación de controles y procedimientos de seguridad realizados frecuentemente sin un criterio común establecido.
3.2. 2. Terminológicas de la gestión: La norma contiene terminos y definiciones como lenguaje común para todos los estándares ISO sobre la seguridad de la información.
3.3. 3. Gestión de la Seguridad de la Información: a. Confiabilidad: Es la información que solo está disponible para el personal autorizado, por ende esta no debe ser distribuida por terceros. b. Integridad: La información que está registrada debe ser la correcta y no tener errores o algún tipo de modificaciones. c. Disponibilidad: Se refiere a tener acceso a la información necesaria. d.Autenticación: Esta información la brinda directamente un usuario y se debe validar que los datos otorgados sean los correctos.
3.4. 4. Adaptabilidad a la organización: Aporta un Sistema de Gestión de la Seguridad de la Información (SGSI), consistente en medidas orientadas a proteger la información, indistintamente del formato de la misma, contra cualquier amenaza, de forma que garanticemos en todo momento la continuidad de las actividades de la empresa.
4. PROCESO
4.1. 1. Definición de la política de seguridad
4.1.1. Se debe determinar los objetivos, el marco general, los requerimientos legales, los criterios con los que serán evaluados los riesgos y para esto debes establecer la metodología, que debe estar aprobada por la dirección o la junta directiva.
4.2. 2. Definición del alcance del SGSI
4.2.1. Tener claridad de qué se logrará una vez se ponga en marcha el plan de acción en la organización, ten en cuenta los activos, las tecnologías y la descripción de cada uno de ellos.
4.3. 3. Identificación de riesgos
4.3.1. Es necesario reconocer las posibles amenazas a las que puede estar expuesta la compañía, quiénes son los responsables directos, a qué son vulnerables y cuál sería el impacto en caso de que se llegue a violar la confidencialidad, la integridad y la disponibilidad de los activos de información.
4.4. 4. Analisis y evaluación de riesgos
4.4.1. Consiste en la evaluación del impacto que tendría alguno de los riesgos si se llega a materializar, identificar cuál es la probabilidad de ocurrencia y cómo esto podría afectar a los controles que ya están implementados, de igual manera, la verificación si puede ser aceptado o debe ser mitigado.
4.5. 5. Definición del tratamiento de riesgos
4.5.1. Es indispensable aplicar los controles adecuados, clasificar los niveles de riesgo, evitarlos o transferirlos a terceros si es posible.
4.6. 6. Declaración de aplicabilidad
4.6.1. Declaración de cómo será el tratamiento de los riesgos, aplicar el tratamiento teniendo en cuenta los controles que fueron identificados, y las responsabilidades de cada uno.
4.6.2. Implementar los controles, definir el sistema de métricas, generar conciencia dentro de la organización y fomentar una cultura que permita que todos los empleados conozcan el SGSI, además, gestionar su operación y utilizar los recursos necesarios para su cumplimiento.
4.7. 7. Monitoreo y auditoría interna
4.7.1. Periódicamente debes hacer una revisión del SGSI para identificar si está cumpliendo con lo que señala la norma, con los objetivos planteados y si es efectivo, así mismo, para reportar las mejoras que deben hacer y cuáles serán las acciones a ejecutar para lograr esto.