La gestión, de manera general, involucra actividades que permiten dirigir, controlar, medir y continuamente mejorar una organización a través de estructuras apropiadas.
Un sistema de gestión se enfoca en el diseño y uso de un marco (framework), a través de un conjunto de actividades aplicadas de manera coordinada para lograr un fin específico. Cuando se tiene como fin la preservación de la confidencialidad, integridad y disponibilidad de la información, entonces nos referimos a un Sistema de Gestión de Seguridad de la Información (SGSI).
En este contexto, una de las referencias internacionalmente utilizadas para gestionar la seguridad de la información es el estándar ISO/IEC 27001, ya que define los requisitos para planear, implementar, operar y mejorar un SGSI, enmarcado dentro de un proceso continuo, además de ofrecer un anexo de controles de seguridad.
Primeros pasos hacia la implementación de ISO/IEC 27001
En ESET hemos dado seguimiento a los cambios que han sido plasmados en la publicación de la nueva versión del estándar ISO/IEC 27001 y de su anexo, como un proceso de actualización de los documentos ante los riesgos que actualmente pueden afectar a la información y otros activos.
Cuando se tiene como objetivo gestionar las actividades relacionadas con seguridad de la información dentro de una organización, a través de lo que establece ISO 27001, una de las primeras actividades debería estar enfocada en conocer y comenzar a utilizar la terminología empleada en las publicaciones de la serie 27000.
Además de conocer los principios en los cuales se fundamenta la implementación de un SGSI, se fomenta el uso de un lenguaje común cuando se habla acerca de la normatividad organizacional enfocada en seguridad de la información.
Para contribuir con este objetivo, International Organization for Standardization (ISO) publicó la nueva versión del estándar ISO/IEC 27000 (edición 2014), que se encuentra disponible de forma gratuita, para ser descargado luego de que los usuarios acepten las condiciones establecidas en el acuerdo de licencia.
De manera general, en este documento se proporcionan los objetivos básicos y una visión amplia del SGSI, así como un modelo para crear y operar el sistema de gestión en sus diferentes fases. También, incluye las definiciones de todos los términos utilizados en los documentos de la serie 27000.
La revisión de este documento puede ser el punto de partida cuando se tiene como objetivo proteger los activos en las organizaciones y gestionar la seguridad de la información a través de los estándares ISO. Es por eso que los invitamos a que repasen la nueva versión del estándar, con el objetivo de lograr el uso de un lenguaje en común para que la implementación de un SGSI en su empresa comience con el pie derecho.
