Los cuatro niveles de la pirámide documental de ISO 27001 deben cumplirse para encontrarse acorde con la norma. Las organizaciones hoy en día cuentan con esta necesidad estratégica para garantizar la seguridad de sus datos.
El Sistema de Gestión de Seguridad de la Información según la norma ISO 27001 es la que se encarga de velar por la seguridad de los datos y procesos que se encuentran presentes en una organización. Es necesario contar con un conjunto de normas que garanticen la integridad y confidencialidad de toda la información de la empresa. Además, esta tiene que ser gestionadas de forma eficiente mediante una pirámide documental ordenada.
La pirámide se encuentra compuesta por cuatro niveles. Aunque la norma ISO 27001 no exige un manual, se encuentra dentro de las buenas prácticas de la organización. Este, conformaría el primer nivel de documentación de la pirámide.
Como primer nivel de la pirámide encontramos el manual de seguridad, contempla todos los objetivos, políticas, riesgos, alcances, amenazas, interacciones entre áreas, registro de información y otros factores en la empresa. Es necesario que se documenten todos los datos de la empresa según dichos aspectos, los cuales variarán según la empresa.
En el segundo nivel se encuentran los procedimientos. La norma señala una serie de procesos para mitigar riesgos de seguridad. Consisten en los documentos a nivel operativo, los mismos que garantizan que se cumpla con la planificación y el control de los sistemas de seguridad.
Si seguimos subiendo en la pirámide, encontramos las instrucciones de trabajo. En este caso se corresponde con los pasos necesario que se deben realizar para llevar a cabo una determinada operación. Son aspectos muy puntuales que es necesario documentar para que los trabajadores sean capaces de identificarlos. Los documentos indican cómo se deben llevar a cabo las tareas y las actividades que guardan relación con la seguridad.
En la parte más alta de la pirámide encontramos los registros. Los registros son la información o los datos que permiten que un tercero compruebe que se ha cumplido con un requisito indicado en la norma ISO 27001. Son la evidencia del cumplimiento de la norma ISO 27001. Estos datos pueden abarcar el alcance del Sistema de Gestión de Seguridad de la Información, los objetivos de seguridad, los procedimientos, la evaluación y el análisis de riesgos, el plan de prevención, informes de resultados, etc.
En la pirámide documental, formada por cuatro niveles, es un factor muy importante para las empresas de hoy en día. La protección de datos en una organización es una preocupación estratégica, pues los activos se encuentran sujetos de forma constante a amenazas que pueden penetrar las vulnerabilidades de las empresas. Por esto se necesita manejar estos temas con profesionalidad.
Si en su empresa cuenta con un excelente Sistema de Gestión de Seguridad de la Información, no lo descuide. La excelencia está en la mejora continua del sistema y no solo en la implantación.
Todas las empresas afrontan a diario un gran número de riesgos e inseguridades que provienen de una amplia variedad de fuentes diferentes. Ante ello la mejora continua debe ser una práctica constante, como para el usuario de una computadora lo es la actualización del antivirus.
La norma ISO 27001 constituye la solución de la mejora continua más apropiada para evaluar los distintos riesgos y establecer las estrategias y los controles necesarios que permiten asegurar la protección y defender la información.
Por ello el Sistema de Gestión de Seguridad de la Información en la norma ISO 27001 sigue el enfoque basado en proceso que se utiliza en el ciclo Deming. El ciclo Deming consiste en planificar, hacer, verificar y actuar.
Cuando se lleve a cabo la evaluación de los riesgos y se apliquen todos los controles, siempre queda lo que se conoce como un riesgo residual que debe ser revisado por lo menos una vez al año para tomar las medidas preventivas necesarias.
Además del ciclo Deming, el Sistema de Gestión de Seguridad de la Información basado en la norma ISO 27001 cuenta con indicadores y métricas con los cuales es posible medir la eficiencia de los diferentes controles utilizados. De esta forma se aportan datos reales relacionado con la seguridad de los sistemas de información. Con dichos datos se puede contar con mecanismos de alerta, y hacer las correcciones y mejoras del caso.
Cabe señalar que la norma ISO 27001 es un sistema que se encuentra integrado con la organización, está orientada a los objetivos empresariales y con proyección a futuro. En este sentido es muy importante señalar que, cada vez que se introduce una nueva herramienta de las tecnologías de la información y la comunicación a la empresa, es preciso actualizar el análisis de riesgos para mitigar y minimizar los riesgos.
La norma ISO 27001 se encuentra relacionada con otras normas que constituye el modelo de gobierno y gestión de las TIC. Dicho modelo propone dos certificaciones: ISO 38500 e ISO 22301. Al implantar los sistemas de gestión se gestiona también la calidad y la seguridad de los servicios de las TIC, de la forma que se propone a minimizar los riesgos relacionados con la seguridad de la información y aumentar la seguridad de las TIC.
Tomado de: https://www.pmg-ssi.com
No hay comentarios.:
Publicar un comentario