¿Cómo se implanta
un Sistema de Gestión de Seguridad de la Información?
La
norma ISO 27001 es un modelo para poder establecer, implementar, monitorear,
revisar, mantener y mejorar un SGSI para cualquier tipo de organización. El
SGSI estará influido por las necesidades de cada empresa, sus objetivos, sus
requisitos de seguridad, sus procesos, sus empleados, su tamaño, sus sistemas
de soporte y su estructura, por lo que cada SGSI se confeccionará de la forma
más adecuada para cada empresa, pero siempre respetando las normas y el modelo
de la ISO 27001.
La
norma ISO 27001 sigue el denominado CICLO DEMING del Plan, Do, Check, Act:
PLAN
(PLANIFICAR): Es
el establecimiento del SGSI: en esta primera fase se trata de determinar el
alcance del SGSI (si se va a aplicar a todos los procesos internos de la
empresa o sólo a algunos), identificar los activos de información (software,
hardware, personal, servicios que se prestan, etc…) y valorar su importancia en
la empresa, analizar y evaluar los riesgos que pueden afectar a esos activos
(virus informáticos, falta de formación del personal, averías de ordenadores,
incendios, inundaciones, etc…), y qué se puede hacer para controlar esos
riesgos en la medida de la posible.
DO
(HACER): Es la
implementación del SGSI: Consiste en llevar a la realidad las medidas y
acciones a aplicar para hacer posible el control de los riesgos a que está
sometida la información de la empresa (por ejemplo: instalación de antivirus,
plan de formación para los trabajadores en materia de seguridad de la
información, implantación de un buen sistema de copias de seguridad, etc…).
CHECK
(VERIFICAR): Es
la fase de monitoreo y revisión, por la cual la empresa establece
procedimientos y rutinas para poder revisar el desenvolvimiento y la eficacia
de ese sistema de medidas de seguridad implantado.
ACT
(ACTUAR): Es la fase de mejora continua, donde se toman
las acciones oportunas para reaccionar ante incidentes de seguridad y tomar
también acciones preventivas.
