La Gestión de Riesgos en la Seguridad de la Información basada en la norma ISO/IEC 27001 entiende que toda la información contenida y procesada por la empresa está sujeta a ataques, errores de la naturaleza, y sus consecuentes amenazas. Se está sujeto a vulnerabilidades que son inherentes a su utilización.
La Seguridad de la Información se basa generalmente en la información considerada como activo. La información tiene un valor que requiere protección. En caso contrario, puede suponer la pérdida de su disponibilidad, confidencialidad e integridad.
La información completa debe estar habilitada y ser precisa. De su disponibilidad va a depender la eficiencia de la compañía.
ISO 27002
ISO/IEC 27002 proporciona 14 dominios, 35 objetivos de control y 114 controles.
Dominios de ISO 27002:
- Políticas de seguridad.
- Aspectos organizativos de la Seguridad de la Información.
- Seguridad ligada a los Recursos Humanos.
- Gestión de activos.
- Control de accesos.
- Cifrado.
- Seguridad física y ambiental.
- Seguridad en la operativa.
- Seguridad en las telecomunicaciones.
- Adquisición, desarrollo y mantenimiento de los sistemas de información.
- Relaciones con proveedores.
- Gestión de incidentes en la Seguridad de la Información.
- Aspectos de la Seguridad de la Información en la gestión de la continuidad de negocio.
- Cumplimiento.
ISO 27001
Siguiendo ISO 27001 la evaluación de riesgos y sus controles es considerada desde el comienzo, para definir la metodología y realizar un reporte inicial de esta evaluación. Se observa cuál es la situación de los controles y los objetivos de control en relación con la Seguridad de la Información, para definir la relación de los controles y el plan de tratamiento de los riesgos. Finalmente, si se busca la aprobación de la implementación, se realiza una declaración de la aplicabilidad, partiendo de la aceptación de los riesgos residuales.
ISO 27001 orienta sobre los riesgos de Seguridad de la Información, pero no especifica el enfoque de evaluación y gestión del riesgo que se debe usar. Esta norma está alineada con ISO 31000.
0 comentarios