ISO 27001

La norma ISO 27001, en el sector público, cada día se aplica más como referente para conseguir la certificación del Sistema de Gestión de Seguridad de la Información, gracias a todos los beneficios que genera en la empresa.

La implementación del Sistema de Gestión de Seguridad de la Información según la norma ISO 27001 en el sector público, requiere que se lleve a cabo un análisis de riesgos existentes  para proceder con la identificación de todas las potenciales amenazas y vulnerabilidades a las que se enfrentan en la institución en cuestión.

Amenazas y vulnerabilidades en ISO 27001 en el Sector Público

Cuando hablamos de amenazas, nos referimos a la situación que se genera tras un incidente en cuanto a la seguridad de la información. Las amenazas a las que las organizaciones públicas deben hacer frente, son muy distintas. Dichos desastres pueden ser desastres naturales, agresiones, accidentes, etc.

Las empresas públicas que se encuentra en un proceso de implantación de la norma ISO 27001 tienen que establecer un listado de todas las amenazas que se han detectado. Cuando se encuentre disponible el listado, tenemos que proceder a evaluar la probabilidad de que la amenaza suceda sobre los activos de la información que se encuentran presenten en los activos de información de la organización.

Es necesario proporcionar la probabilidad, ya que necesitamos conocer sobre que activo en concreto es sobre el que recae la amenaza, siendo vulnerable o no a la misma.

Es necesario resaltar que existen distintas amenazas que harán que los activos de información sean vulnerables ante ellos. Hay otras amenazas frente a los que, con los adecuados controles con los que cuente la institución, permita frenarlas impidiendo que los activos sean vulnerables.

#ISO27001 en el Sector Público: Cómo gestionar amenazas y vulnerabilidades
Click To Tweet

El término de riesgo puede medir el grado de seguridad con el que cuenta una institución sobre la información. Para esto, se lleva a cabo una evaluación y valoración. Esto supone que la entidad pueda diseñar la estrategia necesaria para actuar frente a los riesgos y las amenazas.

Con los controles de seguridad que se han establecido, el organismo puede actuar contra los riesgos, minimizando las vulnerabilidades y eliminando la probabilidad de que acabe sucediendo o por lo menos, disminuyendo el impacto que tiene dicha amenaza sobre el activo de información.

Plan de Gestión de Riesgos

Mediante la definición y la aplicación de un plan de gestión de riesgos, la entidad consigue un nivel de seguridad de la información que se encuentra calificado como óptimo. Este nivel de seguridad viene definido por el llamado riesgo residual.

Con respecto al riesgo residual, estamos haciendo mención al conjunto de riesgo que el organismo público define como soportable. La decisión del nivel de riesgo se considera como asumible, ya que guarda una relación con el nivel de prevención que se define por la institución concreta del sector público.

Según todos los riesgos, la organización pública tiene que llevar a cabo un seguimiento de forma continuada, ya que el entorno cambiante obliga a la misma a estar en continuo cambio para que se pueda adaptar y esto se genera cierta modificación en los riesgo a los que se expone y además, será necesario llevar a cabo una adaptación en cuanto a las estrategias de seguridad de la información con el que cuente la organización.

Es importante tener en consideración el hecho, de que a medida que el organismo incrementa su tamaño, el problema de gestión de riesgos se complica, puesto que existen implicaciones en un mayor número de activos de información, la responsabilidades sobre los mismos, dividido en diferentes departamentos.

Los diferentes requisitos relativos a la seguridad de la información varían en función del sector en el que se encuentren trabajando.

Uno de los principales aspectos de mayor relevancia en la cuantificación del riesgo, es la propia valoración del activo de información.

Software ISO 27001

Con el Software de ISOTools Excellece  es posible automatizar el Sistema de Gestión de la Seguridad de la Información. Esta plataforma dispone de un conjunto de aplicaciones con el objetivo de garantizar la seguridad de la información de las organizaciones privadas y públicas, haciendo más ágil y eficiente la gestión del mismo.

La entrada ¿Qué beneficios ofrece la implementación de la norma ISO 27001 en el sector público? se publicó primero en ISOTools Colombia.

La seguridad de la información

Implementar ISO 27001 es un tema que va más allá de cumplir simplemente con la normativa en cualquier país del mundo. Esto, independientemente del sector que nos ocupe, es un aspecto vital y que ayuda a muchas organizaciones a cumplir con sus objetivos relacionados con seguridad de la información mediante unos estándares reconocidos internacionalmente y de calidad.

Es importante tener en claro que implementar ISO 27001 implica iniciar un Sistema de Gestión de Seguridad de la Información que, sin duda alguna, mejorará el control y el estado de la misma. A su vez, también avala la calidad de dicha información como garantía de soporte para la organización.

La norma ISO 27001 da una serie de beneficios para las organizaciones pero es fácil que éstas incurran en errores durante y después de la implementación que pueden ser fácilmente evitados. Así pues, se va a empezar por explicar con claridad cuáles son esos beneficios para una fácil comprensión.

Beneficios de implementar ISO 27001

La adopción de las prácticas de gestión documental expresadas en la normativa ISO 27001 aporta una serie de beneficios muy interesantes a aquella organización que las implemente:

• Muestra del compromiso de los ejecutivos de la organización respecto a la materia de seguridad y calidad de la información.
• Aumento de la confiabilidad y de la seguridad de la información, además de aquellos sistemas tecnológicos que la utilizan y procesan respecto a confidencialidad, disponibilidad, integridad, etc.
• Se asegura la ejecución de inversiones con menores riesgos, ya que evita aquellas que se basan tan solo en tendencias.
• Aumento de los niveles de sensibilidad, participación y motivación de los empleados de la organización respecto a la materia de seguridad de la información.
• Identificación y aproximación de la posibilidad de emprender y continuar procesos de mejora continua.
• Incremento de la confianza y la satisfacción de los clientes y socios, proporcionando espacios ideales para la realización de negocios transparentes.
• Mejoras en el rendimiento operativo de las organizaciones a nivel general.
• Proporciona a una organización un Sistema de Gestión que aumenta la eficiencia en todos y cada uno de los diversos procesos de trabajo.

De la misma forma, no sólo se beneficia una organización de implementar ISO 27001. Todos los actores externos que interactúan con dicha organización también se ven beneficiados, ya que los distintos clientes, proveedores y socios, ven ventajas al interactuar con una organización certificada.

Hoy día, una de las principales preocupaciones de diversas organizaciones es la confianza en el correcto y adecuado manejo de información de carácter confidencial, a la cual se tiene un inevitable acceso al establecer relaciones comerciales. Implementar ISO 27001 proporciona un alto grado de compromiso con la protección de la información y un considerable nivel de confort y confianza para aquellas organizaciones que interactúan con la certificada, aspecto que también ayuda en la reputación.

Beneficios y pasos para implementar #ISO27001
Click To Tweet

Pasos que dar para implementar y obtener la certificación ISO 27001

Implementar y obtener la certificación ISO 27001 consiste en un proceso que se divide en tres etapas. Generalmente, la organización certificadora determina quiénes son los auditores y el administrador de cuentas guiará a su organización en los siguientes procesos.

1.- Análisis de las deficiencias

Existe una etapa de pre-evaluación durante la cual se evalúan los Sistemas de Gestión de Seguridad de la Información existentes y se comparan con los requisitos de la norma ISO 27001. En esta parte del proceso se puede identificar las áreas de su organización que requieran un mayor trabajo, con lo cual puede establecer prioridades y gestionar la situación de la forma más eficiente permitiendo un ahorro de tiempo y dinero.

2.- La evaluación formal

La examinación de la capacidad operativa que tiene una organización para cumplir con las exigencias de la norma debe ser el primer paso de esta fase. El objetivo principal consiste en hallar las deficiencias dentro de la organización para poder paliar dichos puntos débiles, como por ejemplo mediante la reforma estructural en los procesos.

En segundo lugar se evalúan los resultados obtenidos por la auditoría. Las personas encargadas en la organización podrán observar dichos resultados y qué acciones correctivas habría que realizar con el fin de que todos y cada uno de los procesos de manejo y seguridad de la información organizacional se adecuen de forma natural a lo exigido por la normativa ISO 27001.

3.- La evaluación formal

Una vez obtenida la certificación, cuya validez inicial es de tres años, la entidad certificadora ejercerá una labor de vigilancia y auditoría sobre el sistema y la organización. Gracias a ello, es posible asegurar una acción inmediata sobre los fallos del sistema que puedan aparecer, especialmente durante las primeras semanas de la implementación.

Habitualmente, la totalidad del proceso puede llegar a tardar un año. No obstante, esto depende del tamaño de una organización y de los avances que haya tenido en cuanto a seguridad de la información.

Es bueno tener presente que la preparación de la certificación requiere de la implementación y adopción de muchos requisitos, políticas, procedimientos y controles, estableciendo y evaluando las herramientas tecnológicas disponibles en la organización.

Aunque algunos de estos procesos pueden ser llevados a cabo en menos de seis meses, es bueno estar preparados y mentalizados de que es posible necesitar de un año entero, por lo que es muy importante que su organización dé el primer paso y empiece cuanto antes.

Software ISOTools Excellence

ISOTools Excellence es un software que posee una gran cantidad de funciones y características. Relacionado con la materia de este artículo, ISOTools Excellence ayuda en la implementación, gestión, mantenimiento y actualización de Sistemas de Gestión de Seguridad de la Información de ISO 27001 y a su integración con otros Sistemas de Gestión que existan en una organización.

Desde ISOTools Colombia nos encantaría poder ayudarle y para ello no dude en ponerse en contacto con nuestros expertos para preguntar cualquier necesidad que quiera saber sobre ISOTools Excellence.

La entrada Beneficios y pasos para implementar ISO 27001 se publicó primero en ISOTools Colombia.

Gestión integrada de sistemas

La gestión integrada de sistemas simplifica de manera notable la gestión de las organizaciones, ayudando a lograr una mayor eficiencia, viéndose reflejado en un mayor rendimiento.

Los Sistemas Integrados de Gestión Empresarial, son cada vez, en mayor medida, una apuesta a la que recurren las distintas organizaciones, con independencia del sector en el que operen.

Esta mayor demanda por la gestión integrada de sistemas viene motivada por una exigencia mayor del mercado.

10 Ventajas de la gestión integrada de sistemas para la organización

1.- Simplifica la gestión documental y elimina información redundante, evitando así duplicidad tanto de documentos como de tareas.

El ser más eficiente en la documentación ayuda a una gestión más eficiente de recursos desde tiempo dedicado, evitar errores, duplicidad de tareas, otros recursos físicos como papel, custodia de documentos repetidos, entre otros.

2.- Permite unificar en un único sistema los métodos definidos por la organización en cuestión en cuanto a comunicación, tanto interna como externa, como la metodología para llevar a cabo los planes de formación.

3.- Contribuye a hacer más fácil los diferentes procesos llevados a cabo en el seno de la organización para las evaluaciones y auditorías.

4.- La integración de los sistemas, permite que el tiempo empleado en la realización de las auditorías se vea reducido de manera notoria.

Según las estimaciones, el tiempo destinado en la realización de las auditorías se ve reducido hasta en un 40%.

5.- Permite tener un control unificado de la organización en un sólo sistema, lo que permite contar con una información global que haga más fácil el proceso de toma de decisiones.

6.- El coste de certificación de un Sistema de Gestión Integrado, al igual que su mantenimiento se ve reducido, hasta en un 35%.

7.- Fomenta la posibilidad de poder establecer programas comunes a varios ámbitos que antes se gestionaban de manera independiente.

8.- Construye una importante sinergia entre los diferentes sistemas que constituyen el Sistema Integrado.

9.- Ayuda a hacer más fácil la introducción de nuevos sistemas.

10.- La organización obtiene una visión global de toda la gestión y permite una mayor alineación del SGI con la estrategia de la organización.

En general, todas estas ventajas que aporta la gestión integrada de sistemas permite a las organizaciones que apuestan por ella, facilitar sus procesos para el establecimiento, seguimiento y consecución de los diferentes objetivos planteados, garantizando en todo momento el cumplimiento de la legislación aplicable a los diferentes ámbitos.

10 Ventajas de la #GestiónIntegrada de sistemas para la organización
Click To Tweet

A su vez, gracias a la simplificación de la gestión documental junto con la reducción de burocracia, logramos una involucración mayor de los usuarios del sistema.

Todo ello se traduce en una mayor productividad y un mayor valor del negocio, el cual logra una mayor orientación hacia la Calidad Total.

Para llevar a cabo dicha gestión integrada de sistemas, gran parte de las organizaciones están optando por la automatización que le ofrece el oportuno software.

En este sentido, si  además, quieres conocer todas las ventajas de gestionar de forma integrada sistemas de gestión con un software, descarga nuestro ebook ya disponible: Ventajas de integrar Sistemas de Gestión ISO a través de un Software, donde te contamos, los beneficios que logran las organizaciones al implementar una gestión integrada y veremos cómo pueden hacer más fácil y eficiente dicho proceso de integración, a través de la aplicación del software ISOTools Excellence.

ISOTools Excellence: software para la Gestión Integrada de Sistemas

ISOTools Excellence es una plataforma tecnológica que cuenta con una serie de funcionalidades que permiten alcanzar una eficiente gestión integrada de sistemas certificados bajo normas ISO.

Para conocer historias reales, de organizaciones que han visto mejorado su gestión gracias a la implantación de ISOTools Excellence, consulta nuestra sección Casos de Éxito.

La entrada 10 Ventajas de la gestión integrada de sistemas para la organización se publicó primero en ISOTools Colombia.

Gestión de riesgos Corporativos

Una de las tareas clave en la dirección de empresas es la gestión de riesgos. Este término se refiere a todas aquellas acciones que buscan proteger y crear valor dentro de una compañía para alcanzar los objetivos propuestos y mejorar su competitividad.

Por «riesgo empresarial» entendemos todos los elementos que pueden generar incertidumbre o inestabilidad al interior de una empresa. Sin embargo, el riesgo no siempre tiene que suponer una amenaza, también puede generar oportunidades que la empresa debe ser capaz de identificar y aprovechar.

Generalmente se habla de riesgos económicos o financieros, pero este término también puede aplicarse a labores como inversiones, medios de financiación, operaciones de arbitraje, políticas empresariales, modelos de contratación, entre otros.

Una de las herramientas que las empresas tienen a su disposición para establecer un sistema de gestión de riesgos eficaz dentro de sus organizaciones, es la norma ISO 31000, establecida por la Organización Internacional de Normalización (ISO).

Se trata de una norma internacional que establece principios y estrategias sobre la gestión del riesgo en cualquier campo comercial y que puede ser aplicada por las organizaciones más allá de su tamaño, naturaleza o actividad.

¿Cuáles son las ventajas de incorporar una política de gestión de riesgos? ¿Cómo se beneficia la empresa que la aplica? ¿Dónde y cómo se ven los aportes?

Proceso de gestión de riesgos. ¿En qué consiste?

La norma ISO 31000 señala, en su texto introductorio, que todas las actividades comerciales de una empresa generan riesgos. Esto, antes que ser un aspecto negativo, sienta las bases para una política corporativa orientada a la valoración de los procesos. Es decir, incorpora el riesgo como parte fundamental de la labor comercial. De acuerdo a esto, toda empresa debe tener en cuenta tres aspectos a la hora de consolidar un plan de gestión de riesgos:

• El contexto. Es decir, el entorno que rodea la actividad comercial de la empresa, tanto a nivel interno como externo. El objetivo es determinar qué estrategias de mercado son más adecuadas en cada caso.
• Valoración de riesgos. Que es, en pocas palabras, la definición de los elementos que lo generan, así como sus causas y efectos.
• Tratamiento. Una vez establecidos esos riesgos y analizados sus efectos, la empresa debe dar otro paso y plantear estrategias para aminorarlos o, en el mejor de los casos, suprimirlos.

Este proceso de gestión de riesgo se completa con otros dos procesos, como son:

• Comunicación y consulta, considerado como el punto de partida para establecer las estrategias de riesgo que se llevarán a cabo. Este intercambio de información debe ser constante y estar presente en todas las etapas del proceso, para analizar la situación en cada momento y tomar las decisiones de actuación. Sólo así se podrá garantizar una eficiente gestión del riesgo.
• Monitoreo y revisión, parte esencial para la gestión del riesgo. Sólo a través de un seguimiento continuo y control exhaustivo es posible identificar a tiempo las posibles amenazas y oportunidades que se generan y desarrollar medidas que permitan la mejora de las herramientas, métodos y procesos que se llevan a cabo. Este seguimiento debe ser continuo, presente en todas las etapas, y  abarcar todos los procesos de gestión del riesgo, para que realmente sea efectivo.

Importancia de la gestión de riesgos

El establecimiento de  un Sistema de Gestión de Riesgos en la empresa, supone una serie de ventajas adicionales para la empresa

• Favorece la identificación de amenazas, obstáculos y oportunidades.
• Aumenta las posibilidades de alcanzar los objetivos. Los procesos que tengan más seguimiento y control tienden a ser más exitosos.
• Impulsa la proactividad. Incorporada la labor de gestión de riesgos, los jefes de departamento y los empleados en general asumen una actitud más dinámica para la consecución de objetivos.
• Mejora las labores de administración de una empresa.
• La empresa mejora su eficacia en la asignación de recursos para la gestión del riesgo. Es decir, ya no es un gasto que se efectúa de manera improvisada. Lo más común es que se destine una pequeña parte del presupuesto.
• Mejora la adaptación de la empresa al entorno social y económico al que pertenece. Identificar los riesgos permite acercarse al contexto.
• Potencia la confianza de los grupos de interés.
• Facilita la toma de decisiones.
• Fomenta la capacidad de transformación de la empresa.

 Software ISOTools

Automatizar la Gestión de los Riesgos Corporativos con la plataforma ISOTools te facilitará la gestión global de los riesgos, mejorar la identificación de oportunidades y amenazas y minimizar las pérdidas, entre otras ventajas.

La entrada ¿Por qué es importante la gestión de riesgos para tu empresa? se publicó primero en ISOTools Colombia.

Gestión por procesos

La globalización y competitividad que caracterizan a los mercados actuales, han favorecido que la calidad se convierta en un factor clave para el éxito empresarial, añadiendo valor a la empresa. Esta nueva situación plantea la necesidad  de abandonar los modelos tradicionales de gestión y adoptar un sistema de gestión por procesos que favorezca la mejora continua y la consecución de los nuevos objetivos empresariales.

La calidad es un principio cada vez más valorado, que permite a las empresas diferenciarse de las demás, ser más competitivas y obtener mejores resultados. Esta calidad favorece el crecimiento y desarrollo empresarial.

No obstante, para obtener estos resultados positivos, es necesario que las entidades implementen sistemas de gestión en su organización e incorporen metodologías, técnicas y herramientas eficaces, que les ayude a alcanzar los objetivos propuestos.

A lo largo de las últimas décadas, la preocupación por la calidad ha promovido la creación de diferentes modelos de gestión. Estos modelos, que surgieron como premios para fomentar y promover la gestión de la Calidad Total, se han ido enriqueciendo a lo largo de los años, gracias a las nuevas aportaciones de los expertos y a su exitosa implementación en las empresas.

Modelos de gestión de calidad

Los modelos de gestión de calidad señalan una serie de pautas para llevar a cabo una gestión eficaz. Estos modelos tienen como fin promover la mejora continua de la organización. Para ello, los modelos de gestión se estructuran en una serie de criterios, cuyo propósito es guiar la práctica y asegurar que se cumplen los principios básicos de excelencia. Además, sirven como herramienta de autoevaluación.

Entre los principales modelos de Gestión de la Calidad Total, se encuentran:

• El modelo Deming Prize, creado con el fin de mejorar la competitividad de las empresas japonesas en la década de los 50.
• El modelo  Malcolm Baldrige. Este modelo americano fue impulsado en la década de los 80 con el objeto de mejorar la economía de EEUU.
• El modelo EFQM (“European Foundation for Quality Management”).
• El modelo Iberoamericano de Excelencia en la Gestión, implantado en 1999 por la Fundación Iberoamericana para la Gestión de Calidad (FUNDIBEQ).

Estos cuatro modelos tienen características comunes, especialmente el modelo EFQM y el Iberoamericano, ya que el segundo se basa en el primero. También el modelo Baldrige comparte similitudes con estos dos modelos,  pues los tres han sido creados para la gestión de empresas.

Por otro lado, el modelo que más difiere es el Deming, debido a que su diseño inicial iba dirigido a científicos e ingenieros, no a empresas, no obstante comparte algunos principios y criterios con el resto de modelos.

Todos los métodos tienen como fin la satisfacción de los clientes, en especial, pero también al resto de personas o entidades que puedan verse afectadas por las actividades de la empresa, aquellas partes interesadas o “stakeholders”, como proveedores,  inversores  o incluso los propios empleados.

Otra característica que comparten, es que los cuatro modelos le conceden gran importancia al liderazgo, que debe participar activamente en todo el proceso. La implementación de cualquier modelo de calidad o herramienta que pretenda servir a la mejora de los procesos en cualquier tipo de empresa, precisa del compromiso de los directivos y gestores y de su capacidad de liderazgo, para involucrar al resto de trabajadores en este camino.

El enfoque basado en procesos

Estos modelos de gestión de la calidad total no son exclusivos. Todos ellos se pueden complementar y enriquecer con otros modelos y herramientas, como la normativa ISO 9001 de Sistema de Gestión de la Calidad, y con otros certificados similares que acreditan la calidad en los procesos.

Este tipo de normas se basan en Sistemas de Gestión de la Calidad que adoptan un enfoque  basado en procesos. Enfoque que se caracteriza por tener presente el vínculo existente entre todas las actividades que intervienen en los diversos procedimientos que se llevan a cabo. Los recursos y actividades se gestionan teniendo en cuenta sus relaciones, como un todo, favoreciendo resultados más eficientes.

Según esta concepción, el proceso se compone de diversas actividades que se encuentran relacionadas, influyendo unas sobre otras, de tal forma que el final de una se convierte en el principio de la siguiente.

Este proceso debe transformar las actividades en resultados. Resultados que son analizados y controlados por la organización, lo que permite guiar los procesos para alcanzar los objetivos deseados. Su fin consiste, al igual que el de los modelos de gestión, en garantizar la mejora de la eficiencia empresarial y la satisfacción del cliente.

ISOTools software

ISOTools es una herramienta fácil de adaptar a cualquier modelo de gestión fundamentado en un enfoque basado en procesos. El uso de esta software facilita la implementación, mantenimiento y automatización de un modelo de gestión basado en procesos.

La entrada Los modelos de gestión y el enfoque basado en procesos se publicó primero en ISOTools Colombia.

ISO 9001: 2015

La norma ISO 9001 surgió para cubrir la necesidad de normalizar los Sistemas de Gestión de Calidad de las entidades, tanto públicas como privadas.

La creciente preocupación por parte de los clientes y de determinadas organizaciones,  por la calidad de los servicios y productos ofrecidos, así como de la atención al cliente, llevaron a crear esta norma.

En ella se recogen los requisitos básicos que debe cumplir cualquier entidad, con independencia de sus características,  tamaño y sector, que desee certificar la Calidad en sus procesos.

Esta certificación supone una garantía para los clientes, principalmente, y proporciona a la empresa un valor añadido y un criterio de diferenciación, fundamental para poder competir hoy día y garantizar la supervivencia de la empresa.

La norma ISO 9001 fue creada en la década de los 80. Desde entonces ha sufrido varias reformas con el propósito de adaptarse a las particularidades y necesidades del momento, provocadas por las transformaciones sociales, tecnológicas,  políticas y económicas.

Cada cinco años, aproximadamente, se revisan las normas, a fin de garantizar su adecuación a las nuevas circunstancias y su compatibilidad con las nuevas normas que puedan haberse establecido.

La última revisión de la norma ISO 9001 se realizó en el año 2008, año en el que la norma sufrió una ligera modificación. Desde entonces, los avances y cambios, bien a nivel tecnológico, social como económicos, han provocado que esta norma no se ajuste a las necesidades y demandas del mercado  y de la sociedad.

La nueva versión, cuyo borrador ha sido aprobado recientemente, entrará en vigor a lo largo del próximo 2015. Esta nueva norma pretende dar respuesta a las nuevas necesidades, introduciendo cambios sustanciales en su contenido.

Cambios en la nueva ISO 9001

Son varias las novedades que incorpora la nueva norma ISO 9001:2015  frente a la actual.

Estructura

A primera vista se pueden  visualizar cambios en su estructura, que se adapta a la establecida en el Anexo SL, publicado en 2012. Acorde a este documento, la estructura de la norma se compone de  una introducción y 10 apartados, los tres primeros son de carácter informativo y los siete restantes de requerimientos.

• Se incorpora el Contexto de la Organización, como un nuevo apartado. En éste se señala la necesidad de conocer los factores internos y externos que puedan influenciar en la gestión de la calidad.
• La cláusula de “Responsabilidad de la Dirección” pasa a denominarse “Liderazgo”, reforzando la idea de que los cargos directivos se involucren en el desarrollo de los Sistemas de Gestión de la Calidad.
• La “Realización de productos” ha pasado a denominarse “Operaciones”, concepto mucho más amplio, que hace referencia a productos y servicios.

Lenguaje

Otro de los cambios fundamentales ha sido los relacionados con la redacción y utilización de términos. La nueva norma ha incorporado, revisado y ampliado términos y conceptos diversos, y utilizado un lenguaje más compresible y global.

Algunos de los términos modificados han sido;

• Cliente lo sustituye por” partes interesadas” o “stakeholders”, un concepto más amplio, en el que proveedores, inversores,  colaboradores, también forman parte.
• Ya no hace referencia a los productos, sino a los servicios prestados, enfocándose así al sector servicios.
• La nueva norma sustituye las referencias a “registro” y “documentos” por “información documentada”, término más genérico y flexible.
• Introduce el concepto de “gestión del cambio” muy vinculado con los modelos de Excelencia.

 Otros cambios

• Nuevo enfoque basado en riesgos. Desaparecen las referencias a la acción preventiva y se habla de riesgos y oportunidades. El termino riesgo se define como un efecto de la incertidumbre, que puede ser negativo o positivo. Además, está condicionado por un factor, la probabilidad de que se produzca ese riesgo o no.
• Enfoque basado en procesos. La nueva norma profundiza en el enfoque basado en procesos, especificando algunos requisitos para adoptar este tratamiento.
• Mejora continua. El borrador incide en la necesidad de aprovechar las oportunidades de mejora continua por parte de las organizaciones, utilizando para ello herramientas que ayuden en la gestión de la calidad.

Sistemas de gestión de calidad

Para implantar Sistemas de Gestión de Calidad bajo la norma ISO 9001 puedes servirte de herramientas como ISOTools, que facilita, además, su automatización y mantenimiento.

Para saber más sobre los Sistemas de Gestión de Calidad visita  https://isotools.org/normas/calidad/

La entrada Principales cambios en la nueva norma ISO 9001 se publicó primero en ISOTools Colombia.

¿En qué consiste un cuadro de mando integral?

El cuadro de mando integral (CMI), también conocido como Balanced Scorecard (BSC) es un modelo de gestión estratégica que permite a las empresas tener una visión general, conjunta e interrelacionada de los distintos objetivos de la empresa. Para ello, esta herramienta se apoya en una serie de indicadores (tangibles e intangibles) que permiten ligar los objetivos de la empresa con planes de acción concretos.

Los CMI son herramientas de control empresarial orientadas a la monitorización de los objetivos de la empresa y de las diferentes áreas de negocio a través de indicadores. Es por ello que muchas veces se identifica al CMI con una solución software, lo cual no es del todo correcto puesto que, aunque se trata de un método con una clara orientación informática, se trata en realidad de un sistema de gestión muy amplio e influyente en la implantación de la estrategia global de la empresa.

De manera sintética, un CMI consistiría en un sistema de gestión estratégica dividido en seis fases o etapas:

1. Formular una estrategia empresarial clara y consistente y comunicarla a la organización de la empresa.
2. Definir los objetivos estratégicos y operacionales a través de la selección adecuada de los indicadores más representativos y eficaces.
3. Coordinar y relacionar los diversos objetivos de las distintas unidades organizacionales o departamentos de la empresa.
4. Ligar esos objetivos a acciones concretas.
5. Identificar y coordinar las iniciativas estratégicas necesarias para llevar a cabo esas acciones.
6. Sistematizar y medir las acciones llevados a cabo, proponiendo sobre la marcha las acciones correctivas oportunas.

Las ventajas del CMI

La principal ventaja del CMI, y que además constituye su elemento diferencial y característico respecto a otros modelos o herramientas de gestión, radica en que permite alcanzar una visión mucho más global y completa de la gestión estratégica de la empresa, permitiendo la identificación de objetivos e interrelacionarlos con los intereses generales de la organización.

La visión global afecta también a los indicadores utilizados, los cuales van más allá de los aspectos exclusivamente cuantitativos o tangibles (número de ventas, rentabilidad), valorando también aspectos igualmente importantes en el medio y largo plazo como: la satisfacción de los clientes, la gestión ambiental o el bienestar de los empleados.

La amplia visión y variedad de perspectivas de los CMI, posibilitan la consecución de una serie de variados e importantes beneficios:

• Relacionar los objetivos de los distintos departamentos y alinearlos con la estrategia de la empresa, la cual puede enfocarse en la dirección deseada: ganar más cuota de mercado, alcanzar el liderazgo en su sector de actividad, internacionalizarse, etc.
• Clarificar la estrategia de la empresa y concretarla mucho más, pasando de una mera declaración de intenciones a la definición de objetivos concretos, asociados a las acciones específicas para lograrlos.
• Planificar y definir objetivos realistas, ya que están basados en la medición de numerosos indicadores o factores de influencia.
• Facilita el proceso de definición de las actuaciones o acciones a llevar a cabo, simplificando además la implementación de las mismas.
• Obtener una visión de la empresa desde distintas perspectivas: financiera, punto de vista del cliente, por procesos y de aprendizaje e innovación.
• Potenciar el feedback, la comunicación interna y el aprendizaje. El CMI permite generar iniciativas, dar y recibir feedback y adquirir conocimientos sobre cómo evoluciona la empresa y el nivel de cumplimiento respecto al plan estratégico previsto.
• Se gana en inmediatez y flexibilidad. Este sistema se caracteriza por el dinamismo y la medición sistematizada y constante de indicadores para saber si se están cumpliendo los objetivos y previstos y, de no ser así, poner en marcha correcciones de forma rápida y efectiva.
• Se ayuda a potenciar la responsabilidad global e individual de todos los integrantes de la empresa y a ganar en coherencia interna, tanto a nivel de estrategia global corporativa como en las competencias, responsabilidades y funciones de cada empleado.

¿Cómo se implanta un CMI?

Antes de empezar el proceso se debe tener muy claro que el CMI debe ser implantado a todos los niveles organizacionales. De no hacerlo así, el extraordinario potencial de esta herramienta de gestión se verá mermado enormemente, al quedar acotado a sólo unas determinadas áreas o responsables. Un segundo aspecto previo es la elección, desde la etapa más embrionaria del proyecto, de distintos individuos responsables de su propia área de actuación según el rol que les haya sido asignado.

A partir de aquí, ya se puede comenzar el proceso de implantación del CMI, siguiendo una hoja de ruta con las siguientes paradas:

• Análisis estratégico de la empresa, donde se establezca un punto de partida o situación actual de la organización a todos los niveles: situación financiera, posición en el mercado y en relación a la competencia, tipo de estructura y de procesos, contexto externo, etc.
• Estudio de las necesidades de la empresa, como por ejemplo: crecimiento necesario, mejora de la productividad u optimización de los procesos y sistemas de producción.
• Señalización de las variables críticas en cada área funcional.
• Definición de las medidas a tomar y los medios de control con sus indicadores correspondientes.
• Finalmente, configuración de un cuadro de mando en función de las necesidades y la información obtenida. En dicho cuadro debe constar de forma muy gráfica y clara información relevante sobre, como mínimo, las siguientes cuestiones: objetivos estratégicos, indicadores, acciones a realizar y asignación de responsabilidades.

El valor añadido del CMI

Además de ser una herramienta muy eficaz para la clarificación de estrategias empresariales orientada y alineadas a unos objetivos bien definidos y planificados, la implantación de un CMI supone un valor añadido adicional, relacionado con la visión global y por lo tanto más integral y cohesionada que este sistema es capaz de proporcionar.

El CMI es un modelo de gestión que se encuentra en consonancia con una economía cada vez más globalizada, sensible e influenciada por los cambios macroeconómicos y los factores externos. De manera coherente con esta visión de anchas miras y múltiples perspectivas, este sistema es muy útil para encontrar soluciones de conjunto, entendiendo las empresas como un todo configurado por la suma de sus distintas áreas o departamentos.

ISOTools: Software para Balanced Scorecard

La plataforma ISOTools convierte al Balanced Scorecard en un modelo de gestión muy visual y sencillo de implantar, mantener y automatizar.

La entrada Cuadro de mando integral: una estrategia basada en la interrelación de objetivos se publicó primero en ISOTools Colombia.

Norma ISO 27001

Durante la lectura de este post conocerá mejor cómo debe realizar una política o un procedimiento de seguridad en el momento de implementar un Sistema de Gestión de Seguridad de la Información según la norma ISO 27001.

Gracias a la experiencia y a los conocimientos que tenemos sobre este tema, podemos mostrarle los pasos que se deben de seguir y que pueden ser utilizados en cualquier tipo de empresa, independientemente de su actividad o tamaño. Asimismo, se pueden aplicar a otros tipos de Sistemas de Gestión que no tienen por qué estar relacionados con el estándar ISO 27001.

En primer lugar, debemos de estudiar los requisitos del sistema, es decir, tenemos que saber si hay alguna legislación que nos obligue a incluir algún elemento específico por escrito (como, por ejemplo, pudiera ser el contrato de un cliente). Igualmente, debemos conocer la legislación que nos influye y, sobre todo, los documentos con los que ya cuenta nuestra entidad. Sin olvidar, todos los requisitos de la norma ISO-27001, siempre y cuando se tenga la intención de cumplirlas.

En segundo lugar, debemos tener en cuenta todos los resultados recibidos del análisis de riesgos que determinará todos los temas que se deben abordar en el documento -hablamos del grado-, es decir, es probable que sea necesario clasificar la información de acuerdo a la confidencialidad.

Este último paso puede tener menor importancia dependiendo de si el procedimiento o la política no se encuentra relacionada con la seguridad de la información o la continuidad del negocio. Los principios de gestión de riesgos se pueden aplicar a distintas áreas de la empresa, como pueden ser:

• Gestión de la Calidad ISO 9001
• Gestión Ambiental ISO 14001, etc.

El siguiente y tercer paso es alinear y optimizar los documentos del Sistema de Gestión de Seguridad de la Información basado en la ISO 27001 ya que es fundamental conocer la cantidad total de documentos. Lo buen es administrar un solo documento, especialmente si el grupo de lectores se dirige al mismo. No es aconsejable redactar un documento de cien páginas ya que no se puede administrar de una forma coherente.

Es importante tener en cuenta el cuidar minuciosamente la alineación de los documentos con otros que se encuentren redactados de forma muy similar, ya que es posible definir los temas que ya han sido definidos en otro documento. Por ello, es muy importante conocer si se debe ampliar el documento ya existente o redactar uno nuevo.

En el caso de que tengamos que redactar un nuevo documento sobre un tema que ya se encuentre en otro, debes asegurarte de no repetirte y no escribir el mismo tema en los dos documentos. En este caso, sería una pesadilla actualizar los dos documentos. En el momento que sea necesario, es mucho mejor que un documento haga referencia a otro pero sin repetir lo mismo.

El cuarto paso sería el de la estructura del documento, es decir, la empresa tiene que definir un formato para todos sus documentos, debe tener disponible una plantilla con las fuentes, los encabezados, los pies de página, la distancia en los márgenes y demás aspectos predeterminados.

Los 7 pasos para implantar la política de seguridad y los procedimientos de un SGSI
Click To Tweet - Powered By CoSchedule

En el caso de que ya tenga implementada la norma ISO 27001, tiene que respetar el procedimiento para controlar los documentos. El tipo de procedimiento no define el formato en el que se debe encontrar el documento sino que genera las reglas para su aprobación, distribución, etc.

El quinto paso será el de redactar el documento. El criterio que debemos seguir es que cuanto más pequeña sea la organización y menores los riesgos, menos complejo será el documento. No nos sirve de nada redactar un extenso y completo documento que nadie leerá. Las personas que lean el documento, le prestarán la atención adecuada en función del tiempo del que dispongan y la cantidad de líneas que se encuentre.

Un buen sistema es involucrar a los empleados en la redacción o facilitándoles que aporten información a la hora de redactar el mismo. De esta forma, comprenderán lo necesario que es.

El sexto paso es conseguir la aprobación del documento ya que, una vez que esté redactado, lo importante es que se apruebe el documento. Además, se debe conocer quién es la persona con suficiente poder en la organización para poder aprobar el documento.

La persona con suficiente poder para aprobarlo debe comprenderlo, aprobarlo y requerir activamente su implementación. Parece un aspecto sencillo pero no lo es. Este paso es el que genera más fracasos durante la implementación.

El último paso que debemos seguir es la capacitación y la concienciación de sus empleados.

Este paso  puede ser el más importante pero, por desgracia, es el que más se olvida. Los empleados deben encontrarse mucho más involucrados en el proceso ya que si solo reciben cambios que le van a hacer trabajar más no lo van a recibir con el suficiente interés.

Por todo esto, es fundamental explicarles a los trabajadores por qué es necesaria la política de seguridad de la información o los procedimientos. Tanto es así que es importante no solo para la organización sino también para todas las personas que trabajan en ésta.

De vez en cuando hace falta capacitar a los empleados ya que sería incorrecto que asumieran responsabilidades sin contar con la preparación y conocimientos necesarios.

Aunque parezca que se ha llegado al final de la implementación de sus documentos, no es así. No es suficiente contar con una política de seguridad y un procedimiento perfecto, sino que lo más importante es mantenerlo.

El documento debe ser actualizado y mejorado continuamente, y de eso, se tiene que responsabilizar alguien. Normalmente suele ser la misma persona que lo redacta.

No es suficiente con contar con una buena plantilla para poder redactar los documentos necesarios, sino que se necesita un enfoque sistemático para poder contar con la política de seguridad o los procedimientos exitosos. Lo necesario es realizar un enfoque sistemático a la hora de llevar a cabo la implementación del Sistema de Gestión de Seguridad de la Información según la norma ISO-27001.

Como conclusión debemos tener claro que el documento no es un fin en sí mismo, es solo una herramienta para poder realizar las actividades y los procesos sin problemas.

SGSI

Los Sistemas de Gestión de Seguridad de la Información o SGSI garantizan la seguridad de la información de las organizaciones. Las empresas no solamente están sometidas a este tipo de riesgos, por ello os invitamos a visitar el siguiente enlace y conocer las diferentes normativas relacionadas con los riesgos y seguridad: https://isotools.org/normas/riesgos-y-seguridad/

CTA 27

La entrada ISO 27001: Pasos para la implantación de la política de seguridad y los procedimientos se publicó primero en ISOTools Colombia.

Norma ISO 27001

La implicación de la alta gerencia de la organización es uno de los principales componentes para poder implementar un Sistema de Gestión de Seguridad de la Información (SGSI) según la norma ISO 27001.

Desde un primer momento, tenemos que asumir que el Sistema de Gestión de Seguridad de la Información afecta a la gestión del negocio y requiere que todas las acciones futuras y las decisiones que se tomen solo las puedan desarrollar la alta dirección de la organización.

No podemos considerar que el Sistema de Gestión de Seguridad de la Información o SGSI sea una cuestión meramente tecnológica o técnica de los niveles inferiores de la empresa sino todo lo contrario, la gerencia debe tener la responsabilidad de gestionar los riesgos y los impactos del negocio.

Desde el punto de vista del alcance del Sistema de Gestión de Seguridad de la Información, el término dirección de la organización debe estar contemplado siempre. Las tareas fundamentales del Sistema de Gestión de Seguridad de la Información que ISO 27001 asignan a la dirección en que se detallan los siguientes elementos:

Compromiso con la dirección

La alta dirección de la entidad debe comprometerse con la implementación, establecimiento, operación, monitorización, mantenimiento, revisión y mejora del Sistema de Gestión de Seguridad de la Información. Para ello, se pueden llevar a cabo las siguientes iniciativas:

• Desarrollar una política de seguridad de la información.
• Garantizar el cumplimiento de planes y objetivos de Sistema de Gestión de Seguridad de la Información.
• Constituir roles y responsabilidades de seguridad de la información.
• Informar a la empresa la importancia de alcanzar los objetivos de seguridad de la información y de cumplir con la política de seguridad.
• Designar todos los recursos necesarios para llevar a cabo el SGSI.
• Determinar todos los criterios de aceptación de riesgos y sus correspondientes niveles.
• Asignar los recursos suficientes para todas las fases del SGSI.
• Garantizar que se realizan todas las auditorías internas.
• Llevar a cabo revisiones periódicas del SGSI.

BTN RIESGOS

Asignación de recursos

Para que se realicen todas las actividades vinculadas con el Sistema de Gestión de la Seguridad de la Información, es fundamental designar los recursos necesarios. Es tarea de la alta dirección la de garantizar que cuentan con los suficientes medios para:

• Operar, establecer, implementar, monitorizar, revisar y mantener el Sistema de Gestión de Seguridad de la Información.
• Poder asegurar que todos los procedimientos de seguridad de la información apoyan a los requerimientos de negocio.
• Detallar todos los requerimientos necesarios para cumplir con la legislación vigente.
• Suministrar todos los controles implementados de una forma correcta.
• Desarrollar todas las revisiones cuando sea necesario.
• Mejorar la eficiencia del Sistema de Gestión de Seguridad de la Información.

Formación y concienciación

Para conseguir el éxito de un Sistema de Gestión de Seguridad de la Información basado en la norma ISO-27001 es fundamental contar con dos elementos muy básicos como son la formación y la concienciación en Seguridad de la Información.

Por ello, la alta gerencia de la organización debe garantizar que todos los empleados tengan sus responsabilidades asignadas y definidas en el SGSI. Por lo que se deberá:

• Decidir las competencias necesarias que debe tener cada trabajador de la empresa en función de las tareas que vaya a desempeñar.
• Complacer las necesidades mediante planes de formación.
• Analizar y evaluar la eficiencia de las acciones que ha desarrollado.
• Conservar todos los registros de estudios, formación, habilidades, experiencia y cualificación.

La alta dirección tiene que garantizar que todos los empleados relevantes se involucren y se conciencien de la importancia de las actividades relacionadas con la seguridad de la información y el grado de contribución a la consecución de los objetivos del Sistema de Gestión de Seguridad de la Información.

Los directivos tienen que garantizar que los empleados se involucren en los SGSI
Click To Tweet - Powered By CoSchedule

Revisión de Sistema de Gestión de Seguridad de la Información

La tarea que se le debe a signar a la alta dirección de la organización es que, al menos una vez al año, revise el Sistema de Gestión de Seguridad de la Información, para poder garantizar que continúa siendo eficaz, eficiente y adecuado. Para ello, la gerencia debe recibir una serie de información para ayudarle en esa toma de decisiones y entre ellas destacamos las siguientes:

• Amenazas o vulnerabilidades que no sean trasladadas adecuadamente en evaluaciones de riesgos anteriores.
• Los resultados de las mediciones de eficacia.
• Resultados de las auditorías y revisiones del SGSI.
• Controlar todas las partes interesadas.
• Productos, técnicas o procedimientos que puedan ser útiles para mejorar el rendimiento y eficiencia del SGSI.
• Comunicar el estado de las distintas acciones preventivas y correctivas.
• El estado de las acciones iniciadas a raíz de las diversas revisiones anteriores de la dirección de la organización.
• Cualquier cambio que puede afectar al Sistema de Gestión de Seguridad de la Información.
• Obtener recomendaciones de mejora.

Por otra parte, si nos centramos en todas las informaciones, la gerencia tiene que revisar el Sistema de Gestión de Seguridad de la Información y tomar las decisiones relativas y oportunas a:

• Enriquecer y desarrollar la eficiencia del Sistema de Gestión de Seguridad de la Información.
• Actualización del plan de tratamiento de riesgos y de la evaluación de riesgos.
• Cambiar los controles y procedimientos que afecten a la seguridad de la información. De esta forma, obtendremos como respuesta cambios internos o externos en los requisitos de los negocios.
• Necesidad de recursos.
• Mejorar la forma de medir la eficacia de los controles.

Sistema de Gestión de Seguridad de la Información

Los Sistemas de Gestión de Seguridad de la Información pueden gestionarse a través de herramientas tecnológicas como ISOTools que cuenta con una serie de aplicaciones específicas para esta temática tales como evaluación de riesgos de seguridad de la información o aplicaciones de autodiagnóstico que dan la posibilidad de automatizar la implantación y mantenimiento de la norma ISO-27001.

Para conocer más sistemas relacionados con los riesgos y la seguridad puedes visitar: https://isotools.org/normas/riesgos-y-seguridad/

La entrada ISO 27001: El papel de la alta dirección en un SGSI se publicó primero en ISOTools Colombia.

ISO 27001

La abreviación de SGSI corresponde al Sistema de Gestión de Seguridad de la Información ISO 27001. Entendemos como información a todo el conjunto de datos de suma importancia que están organizados y salvaguardados por la organización, independientemente de la forma en la que la entidad guarde o transmita la información, el origen de la misma y la fecha de elaboración.

La Seguridad de la Información basada en la norma ISO27001 se fundamenta en la preservación de su confidencialidad, disponibilidad e integridad, además de todos los sistemas incluidos en su tratamiento, dentro de la organización. Además, podemos contar con los siguientes términos que constituyen la base sobre la que se fundamenta todo el Sistema de Gestión de Seguridad de la Información:

• Confidencialidad: la información no está a disposición ni debe ser revelada a ciertos individuos, entidades o procesos que no se encuentren autorizados.
• Integridad: especificar la exactitud y la complejidad de la información.
• Disponibilidad: el acceso y la utilización de la información y de los sistemas de tratamiento de la misma por parte de los individuos,  entidades o procesos que se encuentren autorizados.

BTN RIESGOS

Garantizar la seguridad de la información supone gestionarla correctamente, hacer una utilización del proceso sistemático, documentado y conocido por toda la organización desde un enfoque de riesgo empresarial. Este proceso es el que constituye un Sistema de Gestión de Seguridad de la Información basada en la norma ISO-27001.

La información, los procesos y los sistemas que hacen uso del Sistema de Gestión de Seguridad de la Información, son unos activos muy importantes de la empresa. La confidencialidad, integridad y disponibilidad de la información son esenciales para mantener a un alto nivel la rentabilidad, competitividad, conformidad legal e imagen empresarial necesarios para alcanzar los fines marcados por la entidad y asegurar el beneficio económico.

La empresa y sus Sistemas de Gestión de Seguridad de la Información están expuestos continuamente a un elevado número de amenazas. Aprovechándose alguna de estas vulnerabilidades, la empresa puede sufrir violaciones de la información mediante espionaje, fraude, sabotaje o vandalismo.

Algunos ejemplos de estos casos son: los virus informáticos, el “hacking” o los ataques de denegación de servicio, pero también consideramos riesgos el hecho de sufrir incidentes de seguridad de la información causados voluntaria o involuntariamente por parte de la propia organización.

La adaptación dinámica y puntual de las variaciones en las condiciones del entorno, cumplir con la legalidad, la protección de los objetivos de negocio con el que poder asegurar el máximo beneficio o el aprovechamiento de nuevas oportunidades de negocio,  son algunos de los aspectos fundamentales del Sistema de Gestión de Seguridad de la Información según la norma ISO 27001 que son de gran ayuda durante la gestión de las empresas.

La seguridad alcanzada mediante los medios técnicos es insuficiente e ilimitada por sí misma. La gestión de la seguridad tiene que contar con la presencia y participación de toda la organización, la alta dirección debe estar al frente del proyecto teniendo en cuenta a los clientes y a los proveedores de bienes y servicios. En el modelo de gestión de la seguridad de la información se deben contemplar unos recursos adecuados y la implementación y la planificación de controles de seguridad basada en una evaluación de riesgos y la medición de la eficiencia de los mismos.

El Sistema de Gestión de Seguridad de la Información basado en la norma ISO 27001 establece todos los procedimientos y las políticas en relación a los objetivos de negocio de la organización con el fin de mantener a la organización en el mínimo nivel de riesgo de exposición.

Cómo se estructura el modelo piramidal para un Sistema de Gestión de Seguridad de la Información...
Click To Tweet - Powered By CoSchedule

En este sentido, en el SGSI, la organización conoce todos los riesgos a los que se encuentra sometida su información, las debe asumir e intentar reducir los riesgos manteniendo y controlando la sistemática definida, documentada y conocida por todos los componentes de la empresa. Además, se debe revidar y mejorar continuamente.

Podemos trasladar el modelo de pirámide de cuatro niveles desde el ámbito de la Gestión de la Calidad según la norma ISO 9001, al modelo de Seguridad de la Información basado en la norma ISO 27001 de la siguiente forma:

Nivel 1 “Manual de Seguridad”

Se trata del documento que sugiere y dirige todo el sistema, el que expone y determina todas las interacciones, el alcance, las responsabilidades, las políticas, los objetivos y directrices principales, etc. del Sistema de Gestión de Seguridad de la Información.

Nivel 2 “Procedimientos”

Son documentos a nivel operativo que aseguran que se lleve a cabo eficazmente la planificación, operación y el control de todos los procesos de seguridad de la información.

Nivel 3 “Instrucciones, Checklists y Formularios”

Hablamos de documentos que describen cómo se realizan las tareas y las actividades específicas relacionadas con la seguridad de la información.

Nivel 4 “Registros”

Son los documentos que proporcionan una evidencia objetiva del cumplimiento de los requisitos del Sistema de Gestión de Seguridad de la Información ya que se encuentran relacionados a los documentos de los tres niveles anteriores.

Algunos conceptos básicos que debemos conocer:

• Alcance del SGSI: entorno de la empresa que queda sometido al Sistema de Gestión de Seguridad de la Información en que se incluye la identificación de todas las dependencias, límites y relaciones que existen entre el alcance y aquellas partes que no se hayan tenido en cuenta.
• Política y objetivos de seguridad de la información: hablamos de un documento con el contenido genérico que establece el compromiso de la dirección y el enfoque de la empresa en la gestión de la Seguridad de la Información.
• Procedimientos y mecanismos de control que soportan el SGSI: son procedimientos que regulan el propio funcionamiento del SGSI.
• Enfoque de evaluación de riesgos: se describe la metodología que se va a emplear.
• Informe de evaluación de riesgos: estudio proporcionado de la aplicación de la metodología de evaluación anteriormente mencionada a los activos de información  de la empresa.
• Plan de tratamiento de riesgos: se trata del documento en el que se identifican las acciones que tiene que llevar a cabo la dirección, los RRHH, los responsables y las prioridades para gestionar los riesgos.

Sistema de Gestión de Seguridad de la Información

Toda protección es importante, por mínima que sea, pues el mínimo descuido puede ocasionar una violación de los datos de las organizaciones. Por ello, los Sistemas de Gestión de Seguridad de la Información basados en la ISO 27001 son una buena garantía de seguridad. Para saber más sobre sistemas de gestión de riesgos y seguridad puedes visitar: https://isotools.org/normas/riesgos-y-seguridad/

La entrada ISO 27001: Gestión de Seguridad de la Información mediante el modelo de pirámide se publicó primero en ISOTools Colombia.