Martes, 05 Noviembre 2013 08:34

SGSI: El cuadro de mando sobre seguridad de la información

Escrito por 
Valora este artículo
(0 votos)

Vitoria/Ulm, 5 de noviembre  del 2013.-  AENOR  es el organismo privado responsable de mejorar la calidad y la competitividad de las empresas españolas con normas técnicas y certificaciones. En concreto, la norma UNE-ISO/IEC 27001 (año 2007) es la que regula la eficiencia de la tecnología de la información, técnicas de seguridad y sistemas de gestión de la seguridad de la información (SGSI). Esta norma española es idéntica a a la Norma Internacional ISO/IEC 27001:2005. AENOR informa que la Norma Internacional ISO/IEC 27001:2005 abarca todo tipo de organizaciones (por ejemplo, empresas, organismos y entes públicos, entidades sin ánimo de lucro) y especifica los requisitos para la creación, implementación, operación, supervisión, revisión, mantenimiento y mejora de un SGSI documentado, en el marco de los riesgos empresariales generales de la organización. Especifica los requisitos para el establecimiento de controles de seguridad, adaptados a las necesidades de una organización o de partes de la misma.

Durante 2013 se ha revisado el estándar internacional ISO/IEC-27001:2013. En síntesis, se han agregado y eliminado controles, reestructurando especialmente el Anexo “A” donde se aumenta a 14 los dominios de control y se reduce en 20 la cantidad de controles quedando en 113. Esta nueva versión de ISO/IEC 27001:2013 se adapta al desarrollo de un sistema de gestión de la seguridad de la información, que sin importar el tipo de compañía, es compatible con otros sistemas de gestión en la empresa.

¿Cómo implementar un SGSI?

El SGSI asegura la selección de controles de seguridad, adecuados y proporcionados, que protejan los activos de información y de garantías a las partes interesadas. Los requisitos establecidos en esta norma internacional son genéricos y aplicables a todas las organizaciones, cualquiera que sea su tipo, tamaño y naturaleza. Cuando una organización declara que cumple esta norma internacional, no se admitirá la exclusión de ninguno de los requisitos definidos en los capítulos 4, 5, 6, 7 y 8. AENOR establece que toda exclusión de controles que se considere necesaria para cumplir los criterios de aceptación del riesgo necesita ser justificada mediante evidencia de que los riesgos asociados han sido aceptados por los responsables. Cuando se excluya algún control, no se aceptará ninguna declaración de conformidad con esta norma internacional a menos que tales exclusiones no afecten a la capacidad y/o responsabilidad de la organización para garantizar la seguridad de la información, de acuerdo con los requisitos de seguridad derivados de la evaluación de riesgos y de los requisitos legales o reglamentarios aplicables. Según AENOR, en la mayoría de los casos, si una organización tiene implantado un sistema de gestión del proceso de negocio (por ejemplo, ISO 9001 o ISO 14001), es preferible cumplir los requisitos de esta norma internacional dentro del sistema de gestión ya existente.

Según la Information Security & Business Continuity Academy, un SGSI está formado por cuatro fases que se deben implementar de forma constante, para reducir al mínimo los riesgos sobre confidencialidad, integridad y disponibilidad de la información. Estas fases forman un ciclo que nunca termina, todas las actividades deben ser implementadas cíclicamente para mantener la eficacia del SGSI. En concreto, las cuatro fases son las siguientes:

Planificación: Organizar y establecer los objetivos de la seguridad de la información, para seleccionar los controles adecuados de seguridad. 

Implementación: Realización de todo lo planificado en la fase anterior.

Revisión: Monitorizar el funcionamiento del SGSI mediante diversos canales y verificar si los resultados cumplen los objetivos establecidos. 

Mantenimiento y Mejora: Optimizar todos los incumplimientos detectados en la fase anterior.

Además de la ISO 27001, la norma ISO 27002 es una norma auxiliar que proporciona más información sobre cómo implementar los controles de seguridad contemplados en la ISO 27001. Por su parte, la ISO 27005 es complementaria ya que muestra los procedimientos de evaluación de riesgos con mayor detalle.

La importancia de AENOR 

La Asociación Española de Normalización y Certificación es una entidad privada sin fines lucrativos que se creó en 1986. Su actividad contribuye a mejorar la calidad y competitividad de las empresas, sus productos y servicios. AENOR, a través del desarrollo de normas técnicas y certificaciones, contribuye a mejorar la calidad y competitividad de las empresas, sus productos y servicios, de esta forma ayuda a las organizaciones a generar uno de los valores más apreciados en la economía actual: la confianza. Normalización: Es el organismo legalmente responsable del desarrollo y difusión de las normas técnicas en España. Las normas indican cómo debe ser un producto o cómo debe funcionar un servicio para que sea seguro y responda a lo que el consumidor espera de él. AENOR pone a disposición de todos uno de los catálogos más completos, con más de 28.900 documentos normativos que contienen soluciones eficaces. Certificación: El trabajo que caracteriza a la entidad desde su creación ha posibilitado que los certificados de AENOR sean los más valorados, no sólo en España sino también en el ámbito internacional, habiendo emitido certificados en más de 60 países. AENOR se sitúa entre las 10 certificadoras más importantes del mundo.

Para extender la cultura de la calidad, AENOR desarrolla también una gran actividad editorial, diseña software para la gestión de sistemas, imparte formación especializada y ofrece distintos servicios de información. En el campo de los ensayos, es el socio principal de CEIS (Centro de Ensayos, Innovación y Servicios), centro de referencia internacional cuya actividad incluye la realización de ensayos de conformidad, estudios técnicos, mantenimiento preventivo y predictivo de instalaciones. Asimismo, en 2008 creó AENOR Laboratorio destinado a todos los integrantes del sector de la alimentación, como productores primarios, industria de transformación, distribución y servicios. Abarca las tres principales áreas de análisis: físicoquímico, microbiológico y sensorial. AENOR aporta su experiencia e información en materia de normas y de productos y servicios relacionados a organizaciones de todo el mundo, desarrollando una gran actividad de cooperación internacional. AENOR tiene en España presencia en todas las Comunidades Autónomas, a través de 20 sedes, así como presencia permanente en 12 países principalmente de Iberoamérica y Europa.

Visto 1744 veces Modificado por última vez en Miércoles, 11 Febrero 2015 10:53