norma gestion de la seguridad
TRANSCRIPT
Norma ISO 27001
Gestión de la Seguridad
¿QUE SON LAS NORMAS?
Que agrupan diversas
características:
Se refiere a las normas producidas por
los organismos oficiales de
normalización, ya sean estos de ámbito
nacional, regional o internacional
Son especificaciones técnicas basadas en la experiencia y en el
desarrollo tecnológico, voluntarias, accesibles al publico, tanto
durante su elaboración, pues se producen en órganos de trabajo
abiertos a la industria.
Pasan un periodo de información publica durante el cual reciben
diversos comentarios
Se publican y elaboran en el seno de un organismo oficial de
normalización que ha sido reconocido por la Administración
correspondiente para tal fin.
El carácter voluntario : las normas macen en el marco de la
voluntariedad, aunque en muchas ocasiones son los propios
usuarios los que las hacen obligatorias para garantizar su
cumplimiento a terceros como diferencial frente a la competencia o
porque las diferentes administraciones citan las normas como
camino de cumplimiento a regulaciones o legislaciones de distinto
ámbito.
Aportaciones de los Sistemas de gestión
Los sistema de gestión aportan a las organizaciones,
en su implementación una herramienta para
proporcionar productos y servicios de alto nivel de
calidad.
Existen diversos beneficios que al implementar esta
herramienta aporta ya sea en el mercado, los
clientes y la organización
En el mercado:
Favorece su desarrollo
Afianza la posición de la organización
Potencia la imagen de la marca
Constituye un factor competitivo respecto a la
competencia
Permite superar barreras técnicas
Ante los cliente:
Fidelización y captación de nuevos clientes gracias a
la garantía que se ofrece en la presentación de
servicios que satisfacen sus necesidades y
expectativas
Se mejora la comunicación con el cliente (empresas,
particulares, etc.)
Mayor confianza al cliente (empresas, particulares,
etc.)
Aumento de la satisfacción del cliente
Ante la gestión de la organización:
Conocimiento y depuración de los procesos
internos
Mejora de los procesos y de los servicios prestados
Ahorro de tiempo y de recursos necesarios
Mejor gestión de los recursos
Estimulo para entrar en un proceso de mejora
continua.
Establecimiento y gestión del SGSI
Se debe comenzar por definir el alcance del
sistema de gestión, es decir a que partes del
negocio aplica.
Una vez definido y entendido el alcance, con sus
limites físicos y lógicos, hay que elaborar y definir
la política del SGSI, que será el marco para el
establecimiento de los objetivos.
Se define la metodología para la valoración del riesgo
conforme al alcance y políticas del SGSI y que será la
que se utilice como criterio para establecer el nivel de
riesgo.
La fase de identificación de los riesgos, en los que a
activo, amenaza, vulnerabilidad e impacto se refiere.
Se elabora un análisis y evaluación de riesgos para la
identificación de los diferentes tratamientos del riesgo
para llegar al objetivo
Todo esto se realiza para concluir la primera etapa de
selección de los controles
Implantación y puesta en marcha de SGSI
Se requiere preparar un plan de tratamiento del
riesgo.
Se implementa a través de los controles que se
hayan seleccionado, los cuales se debe medir su
eficacia.
Es vital la creación de programas de formación y
concienciación en todas las acciones para el
personal de la organización, esto para la integración
de la cultura de la seguridad.
Control y evaluación
Se debe implementar una serie de procedimientos
para el control y la revisión del SGSI para
determinar si se están aprovechando los beneficios
de este.
Esto deriva una serie de revisiones sobre la eficacia
a partir de los resultados de las auditorias de
seguridad.
Se debe basar sobre los análisis de riesgo
Esto descubre una serie de defectos y mejoras para
el SGSI, para la toma de medidas correctivas y
preventivas.
Todo sistema de gestión debe estar sustentado por
un procedimiento documentado, es cual
proporciona un sistema de registro que proporcione
evidencia de la conformidad
En estos documentos se registra las decisiones de
la dirección las cuales respaldara las acciones que
se atribuyen por estas decisiones.