MAPA Y RESUMEN ISO 27001

MAPA  CONCEPTUAL ISO 27001

RESUMEN ISO 27001

La Información es un activo fundamental para el desarrollo, operativa, control y gestión del Modelo de Negocio / Servicio de cualquier Organización.

A través de sus Sistemas de Información se canalizan la práctica totalidad de las actividades corporativas, desde sus aspectos operativos hasta las decisiones gerenciales, siendo estos sistemas elementos clave en el gobierno corporativo de dichas Organizaciones, sea cual sea su tamaño y sector.

La Seguridad de la Información, extendida a todas las infraestructuras físicas, lógicas y organizativas donde se gestiona, se ha convertido en una prioridad al máximo nivel. En los entornos globalizados actuales, donde las transacciones de negocio (Empresas) y servicio (Administraciones Públicas) llevan en su praxis el sufijo “electrónico”, esta prioridad se maximiza ante las especiales características del medio en que se desarrollan y sus riesgos asociados.

Estas cuestiones derivan en la existencia de una serie de Normas estándares, aceptadas como acreditaciones de la Seguridad de la Información universalmente, y cuya implementación aporta a la Organización no solo una certificación reconocida sino, como punto fundamental, una cultura y práctica de la Seguridad que le aporta valores al negocio / servicio en muy diferentes aspectos.

• • Mejora de la competitividad
• • Mejora de la imagen corporativa
• • Protección y continuidad del negocio
• • Cumplimiento legal y reglamentario
• • Optimización de recursos e inversión en tecnología
• • Reducción de costes

La norma ISO/IEC 27001 especifica los requisitos para establecer, implantar, documentar y evaluar un Sistema de Gestión de la Seguridad de la Información (SGSI).

Entre las actividades propias a desarrollar al abordar una implantación a ISO27001 se encuentran:

• • Definición del alcance del SGSI
• • Definición de una Política de Seguridad
• • Definición de una metodología y criterios para el Análisis y Gestión del Riesgo
• • Identificación de riesgos
• • Evaluación de los posibles tratamientos del riesgo
• • Elaboración de un Declaración de Aplicabilidad de controles y requisitos
• • Desarrollo de un Plan de Tratamiento de Riesgos
• • Definición de métricas e indicadores de la eficiencia de los controles
• • Desarrollo de programas de formación y concienciación en seguridad de la información
• • Gestión de recursos y operaciones
• • Gestión de incidencias
• • Elaboración de procedimientos y documentación asociada

Como otras Normas de gestión (ISO 9000, ISO 14001, etc.), los requisitos de esta Norma aplican a todo tipo de Organizaciones, independientemente de su tipo, tamaño o área de actividad. Asimismo,  está basada en un enfoque por procesos y en la mejora continua, por lo tanto es perfectamente compatible e integrable con el resto de sistemas de gestión que ya existan en la Organización.

GesConsultor GRC ofrece una plataforma que integra todos los elementos necesarios para la implantación y gestión completa del ciclo de vida de un SGSI, así como otros requisitos de cumplimiento de aspectos legales, normativos, contractuales y con terceras partes que sean de aplicación al Alcance del Sistema de Gestión.

GesConsultor GRC proporciona, adicionalmente, unas capacidades diferenciadoras en su motor de cumplimiento para incorporar las nuevas versiones de las Normas y, con ello, asegurar el mantenimiento y evolución de los proyectos basados en las mismas. Este es el caso de la familia ISO 27000:2012, con publicación esperada en el año 2013.

La plena integración con  la Capa Operativa de GesConsultor GRC ofrece una colección diferencial de automatismos que permiten conseguir niveles máximos de calidad en la implementación, mantenimiento y evolución del SGSI.  Así, se minimizan las cargas internas de trabajo, sistematizando las operaciones y controles relacionados con la Seguridad TIC y enlazando directamente con los requerimientos de ISO/IEC 27001 (Monitorización, Métricas e Indicadores, Incidentes, Seguridad Gestionada, Vulnerabilidades, Formación, Gestión de Recursos, etc.).