ISO 27000

 ISO 27000

que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña.

 Beneficios

• Establecimiento de una metodología de gestión de la seguridad clara y estructurada.

• Reducción del riesgo de pérdida, robo o corrupción de información.

• Los clientes tienen acceso a la información a través medidas de seguridad.

• Los riesgos y sus controles son continuamente revisados.

• Confianza de clientes y socios estratégicos por la garantía de calidad y confidencialidad comercial.

• Las auditorías externas ayudan cíclicamente a identificar las debilidades del sistema y las áreas a mejorar.

• Posibilidad de integrarse con otros sistemas de gestión (ISO 9001, ISO 14001, OHSAS 18001…).

• Continuidad de las operaciones necesarias de negocio tras incidentes de gravedad.

• Conformidad con la legislación vigente sobre información personal, propiedad intelectual y otras.

• Imagen de empresa a nivel internacional y elemento diferenciador de la competencia.

• Confianza y reglas claras para las personas de la organización.

• Reducción de costes y mejora de los procesos y servicio.

• Aumento de la motivación y satisfacción del personal.

• Aumento de la seguridad en base a la gestión de procesos en vez de en la compra sistemática de productos y tecnologías.

Política de seguridad: Se necesita una política que refleje las expectativas de la organización en materia de seguridad a fin de suministrar administración con dirección y soporte. La política también se puede utilizar como base para el estudio y evaluación en curso.

. Organización de la seguridad: Sugiere diseñar una estructura de administración dentro la organización que establezca la responsabilidad de los grupos en ciertas áreas de la seguridad y un proceso para el manejo de respuesta a incidentes.

3. Control y clasificación de los recursos de información: Necesita un inventario de los recursos de información de la organización y con base en este conocimiento, debe asegurar que se brinde un nivel adecuado de protección.

4. Seguridaddel personal: Establece la necesidad de educar e informar a los empleados actuales y potenciales sobre lo que se espera de ellos en materia de seguridad y asuntos de confidencialidad. También determina cómo incide el papel que desempeñan los empleados en materia de seguridad en el funcionamiento general de la compañía. Se debe tener implementar un plan para reportar los incidentes.

5. Seguridad física y ambiental: Responde a la necesidad de proteger las áreas, el equipo y los controles generales.

6. Manejo de las comunicaciones y las operaciones: Los objetivos de esta sección son:

• Asegurar el funcionamiento correcto y seguro de las instalaciones de procesamiento de la información.

• Minimizar el riesgo de falla de los sistemas.

• Proteger la integridad del software y la información.

• Conservar la integridad y disponibilidad del procesamiento y la comunicación de la información.

• Garantizar la protección de la información en las redes y de la infraestructura de soporte.

• Evitar daños a los recursos de información e interrupciones en las actividades de la compañía.

• Evitar la pérdida, modificación o uso indebido de la información que intercambian las organizaciones.

7. Control de acceso: Establece la importancia de monitorear y controlar el acceso a la red y los recursos de aplicación para proteger contra los abusos internos e intrusos externos.

...