IMPLEMENTACIÓN DE SISTEMA DE GESTIÓN DE SEGURIDAD Y CONTROLES

Las normas ISO/IEC 27001, ISO/IEC 27002 están enfocadas a todo tipo de organizaciones (por ej. empresas comerciales, agencias, gubernamentales, organizaciones sin ánimo de lucro), tamaños (pequeña, mediana o gran empresa), tipo o naturaleza.

SERVICIO Y CONSULTORÍA

Ayudamos a las empresas y organizaciones en la implementación de controles de seguridad de la información, así como la implementación de un Sistema de Gestión de Seguridad de la Información.

En AMECI tenemos expertos en implementación de sistemas de gestión basados en la norma ISO/IEC 27001 en su versión más actualizada; nuestros expertos identifican las necesidades de las organizaciones y ponen en marcha programas y planes reales y alcanzables para cada tipo o sector.
computer-network-graphic-overlay.jpg

¿CÓMO SE IMPLEMENTA UN SISTEMA BASADO EN 27001?


Podemos encontrar multitud de razones para implementar en nuestra empresa el estándar internacional o norma ISO 27001 de Sistema de Gestión de la Seguridad de la Información. Entre ellas, que en él se describen las mejores prácticas para mantener segura la información de una empresa u organización pero, además, sirve de referencia y ayuda para que las organizaciones mejoren su seguridad, y a la vez cumplan con toda la legislación referente a seguridad cibernética, mejorando y protegiendo la imagen de la empresa.

Si bien es cierto, implementar la norma ISO 27001, así como cualquier otra de estas características, requiere invertir gran cantidad de tiempo y esfuerzo, y en función de la madurez de la empresa.

A continuación, se describirán los nueve pasos esenciales para llevar a cabo la implementación de la norma ISO 27001 para cualquier empresa u organización, siempre considerando las circunstancias particulares y el sector al que pertenece la empresa.

1 – Director del proyecto

Antes de comenzar con la implementación de la norma ISO 27001, es evidente que debe nombrarse un líder para el mismo, el cual trabajará con el resto de miembros y con el personal para inicialmente, generar un mandato de proyecto.

Por tanto, reunirse y generar un responsable o director del proyecto de implantación de la norma ISO 27001. Para ello se tiene que dar respuesta a preguntas como:

  • ¿Qué esperamos lograr?
  • ¿Cuánto tiempo tardará?
  • ¿Cuánto costará?
  • ¿Tiene soporte de gestión?

2 – Inicio del proyecto

A través del mandato de proyecto previamente definido para el proyecto de implantación de la norma ISO27001, se comienza a definir una estructura más detallada, especificando cuáles van a ser los objetivos de seguridad de la información, cuál va a ser el equipo, la planificación y realizar un registro de los riesgos inherentes al proyecto.

3 – Iniciación del Sistema de Gestión de Seguridad de la Información

Y es aquí, donde se elige qué metodología va a seguirse para implementar el Sistema de Gestión de Seguridad de la Información basado en la norma ISO 27001. Concretamente, en dicha norma sugiere adoptar un enfoque a procesos para la mejora continua, lo cual resulta en la actualidad de lo más efectivo para lograr la mejora continua. No obstante, no especifica qué metodología adoptar, permitiendo a las organizaciones utilizar aquel que mejor se adapte a su organización.

4 – Marco de gestión

Debe identificarse el marco en el cual va a implementarse el SGSI según la norma ISO 27001. Es decir, definir el alcance del sistema y su contexto, considerando todos los dispositivos móviles y teletrabajadores.

5 – Criterios básicos de seguridad

Como es obvio, a continuación, deben identificarse las necesidades básicas de seguridad que tiene la empresa. Son, por tanto, aquellos requisitos, medidas y/o controles necesarios en las negociaciones o procesos

6 – Gestión de riesgos

A través de la norma ISO 27001, las organizaciones definen todos y cada uno de los procesos involucrados en la gestión de riesgos, estableciendo su propia gestión de riesgos. Para ellos no hay una metodología concreta, pero independientemente de cuál se elija, se deben considerar cinco aspectos:

  • Establecer un marco para la evaluación de riesgos.
  • Identificación de los riesgos.
  • Análisis de los riesgos.
  • Evaluación de los riesgos.
  • Selección de formas de gestionar los riesgos.

7 – Planificación de la Gestión de Riesgos

Consiste en el establecimiento de los controles de seguridad. Evidentemente, se procede con la verificación de su efectividad y del correcto conocimiento que sobre dichos controles tiene el personal, conociendo sus obligaciones de seguridad y sabiendo operar con ellos.

Para ello, hay que establecer el nivel de competencia que será necesario, por lo que se aconseja realizar un análisis de competencias, y desarrollar un proceso para determinar, revisar y mantenerlas, para que se cumplan los objetivos del SG-SI según la norma ISO 27001.

8 – Medir, controlar y revisar

Como en todos los Sistemas de Gestión, existe una etapa en la cual se tiene que medir, controlar y revisar el desempeño del sistema, y su alineación con los objetivos previsto en la anterior etapa.

9 – Certificación

La certificación de la norma ISO 27001, al igual que todas las de esta familia de normas ISO, no es obligatoria. Si bien es cierto, que carecería de sentido llegar a este punto sin procurar la certificación y mejorar la imagen de la organización.

27002.png

¿No sabe por dónde empezar?

– No hay problema -

Permítanos orientarles en una sesión de trabajo

Complete nuestro formulario

– Y estaremos en comunicación con usted a la brevedad -

No atendemos correos públicos como gmail, hotmail, etc.

Este dato es requerido
Este dato es requerido
Este dato es requerido
Este dato es requerido
AMECI
Ofrecemos a todos los sectores de la industria mexicana: consultoría en seguridad de la información, análisis de vulnerabilidades, pentesting, implementación de sistemas de gestión basados en 27001 y otros estándares, además de capacitación, y servicios relacionados con la seguridad de la información y ciberseguridad.

Nuestro modelo se basa en atender y desplegar un plan de gestión de seguridad en los activos de información de mayor valor para las organizaciones.

TENEMOS YA 6 AÑOS, Y MÁS DE 200 ORGANIZACIONES ATENDIDAS