10. Complementos

Complementos

Presentación

Mapa Mental

mapa mental(Para agrandar, haga click en la imagen)

Descargas

Informes, plantillas, listas de verificación

Artículos relacionados

ISO 27001 -Lista Documentacion requerida

ISO 27000 – Integration of Infosec IT and Corporate Governance

ISO 27000 – Privacy – and cyber security

ISO 27001 – Case study for Data Centers

ISO 27001 vs ISO-9001-Matrix

ISO-27001 – Applicability divided by industry

Banner De todo un Poco (1) 600 px

07. Pasos para lograr ISO 27000

pasos-iso-27000

Pasos a seguir

pasosPara lograr implantar ISO 27000 se pueden seguir un sinnúmero de pasos o caminos, y cada autor muestra su receta personal. Acá les muestro lo que considero deben ser los sencillos pasos para lograr implantar ISO 27000 en una organización:

  1. Lograr el compromiso de la Gerencia.
  2. Establecer y adiestrar el equipo de Implantación.
  3. Elaborar la documentación del SGSI.
  4. Auditar el SGSI.

A continuación se explicará cada una de ellas.

Lograr el compromiso de la Gerencia.

GerenciaSin el compromiso de la Gerencia, el Sistema no tendrá el apoyo ni la fuerza para su aceptación e implantación en la organización.

El efecto del apoyo debe caer en cascada, desde los niveles altos hacia abajo en la organización.

Establecer y adiestrar el equipo de Implantación.

equipoEl equipo debe tener un líder establecido.

Todos los miembros deben ser designados formalmente y deben recibir adiestramiento en Gestión de ISO 27000, Documentación y Auditoría, como mínimo.

Elaborar la documentación del SGSI.

documentacionLa documentación se debe elaborar de la manera más sencilla posible.

  • Piense lo que hace
  • Escriba lo que piense
  • Haga lo que escribió

Los manuales deben ser organismos vivos, sujetos a constante modificación, y disponibles para todos los que los requieran.

¿Qué se debe documentar?

  • Evaluación y tratamiento de riesgos
  • Políticas de Seguridad
  • Aspectos Organizativos
  • Gestión de Activos
  • Seguridad del Talento Humano (antes y durante contratación)
  • Seguridad física y ambiental
  • Gestión de comunicaciones y operaciones
  • Control de accesos
  • Adquisición, desarrollo y mantenimiento de S.I.
  • Gestión de incidentes de seguridad

Auditar el SGSI.

auditoriaSe debe verificar, mediante Auditorías, que el SGSI está apto para funcionar.

Si se presentan No Conformidades, se deben solucionar.

Se pueden hacer Auditorías Internas para verificar, pero se deben hacer Auditorías Externas para la Certificación, por parte de los organismos autorizados.

¿Cuánto dura?

tiempoY, ¿en cuánto tiempo se hace?

Depende del compromiso, de los recursos empleados, del conocimiento, y de factores externos que pueden influir.

En promedio se puede llevar de 12 a 18 meses para su implantación.

Banner De todo un Poco (1) 600 px

06. Ventajas

ventajas iso 27000

  • Aseguramiento de la seguridad de la información, lo que aumenta la confianza por parte del cliente
  • Elemento diferenciador, que permite destacar sobre la competencia
  • Cumplimiento de las normativas legales relativas a la protección de datos, lo que permite reducir los problemas con clientes y usuarios
  • Reducción del impacto de los riesgos, que en caso de materializarse las amenazas, puedan representar pérdidas (de capital, de facturación, de oportunidades de negocio, por reposición de los daños causados, reclamaciones de clientes, sanciones legales, etc), al aumentar la seguridad efectiva de los sistemas de información, con una mejor planificación y gestión de la seguridad.
  • Garantías de continuidad del negocio basándose en el Plan de Contingencias.
  • Mejora de la imagen de la organización y aumento del valor comercial de la empresa y sus marcas.
  • Incremento de los niveles de confianza de clientes, proveedores, accionistas y socios.
  • Mejora del retorno de las inversiones, al tener mejor criterio según los riesgos residuales aceptados y ahorro de tiempo y dinero al reducir o eliminar actividades o inversiones de escasa o nula aplicabilidad a los niveles de riesgo identificados en el negocio.
  • Mejora continua a través de la metodología PDCA (Planificar, Hacer, Verificar y Actuar).

Banner De todo un Poco (1) 600 px

05. Organizaciones en que aplica

organizaciones

Esta norma puede aplicarse a cualquier organización para la que la información con la que trata sea importante. Por lo tanto, prácticamente cualquier organización que cuente con sistemas de información debería plantearse implantar la norma ISO 27000.

No existe limitación en cuanto al tamaño de la organización.

Implantando la norma ISO 27000 se establecerán controles y procedimientos adecuados a cada organización, en función de su capacidad para implantarlos.

De acuerdo al ISO Data Survey,

  • en el año 2012, existían 88.268 empresas certificadas
  • en el año 2013, se suman 22.349 empresas certificadas
  • en el año 2014, se suman 23.005 empresas certificadas
  • en el año 2015, se suman 27.536 empresas certificadas

empresas iso 27000 mundo

De esas empresas, 699 son latinoamericanas, distribuidas de la siguiente manera:

empresas iso 27000 latinoamerica

A partir del 2014, Venezuela entró en la lista, ya que PDVSA, la estatal petrolera, fue certificada en ISO 27000.

La ISO Data Survey se puede visualizar y/o descargar desde la página de la ISO.

Banner De todo un Poco (1) 600 px