Seguridad información. ISO 27001 | Novonet: ISO 9001, ISO 14001, ISO 14006, ISO 17020, OHSAS 18001, Gestproject, ERP, CRM

Seguridad información. ISO 27001

La seguridad, un valor de futuro.

Sistemas integrados de gestión: impulsamos su ORGANIZACIÓN.

El valor de la información.

seguridad_informacion2 Las organizaciones actualmente tiene una gran cantidad de información necesaria para el desarrollo de sus actividades. La información es el principal activo para cualquier empresa. Es por ello que la seguridad de la información es un elemento estratégico. Es necesario y esencial disponer de diferentes medidas de seguridad para preservar la continuidad de las actividades. Generalmente la información no está clasificada ni protegida adecuadamente. Y contiene datos de carácter personal que requiere una gestión y control según la LOPD.

Los sistemas de información son fundamentales para las organizaciones y deben ser protegidos adecuadamente. Hay que considerar que la seguridad absoluta no existe y que el mejor sistema de seguridad es la prevención y el mantenimiento. La seguridad informática depende de las medidas organizativas y técnicas adoptadas. Es esencial un código de buenas prácticas como base de formación y sensibilización de todos los empleados para implementar, mantener y respetar las diferentes medidas de seguridad.

El objetivo fundamental del SGSI ISO 27001 consiste en garantizar que toda la información de la organización está protegida, disponible y se usa para el propósito para el cual fue creado y cumple con los requisitos del marco legislativo.
Generalmente, los sistemas de información incluyen todos los datos de la organización y también los recursos de la infraestructura, equipos, software, etc. que permiten a la empresa gestionar toda su información y recursos.

Novonet implementa un sistema de seguridad de la información ISO 27001 y la LOPD, estableciendo un conjunto de medidas informáticas para proteger los diferentes activos de la organización.
Hay diferentes motivos para gestionar la información según la ISO 27001 y la LOPD:

Legal.
La normativa Europea y Española obligan a las empresas a cumplir unos requisitos sobre el tratamiento, seguridad y confidencialidad de los datos de carácter personal.
Requisitos contractuales con los clientes.
Con más frecuencia, los clientes exigen privacidad en los datos de carácter personal y los asociados a las actividades contratadas, que en muchas ocasiones son confidenciales.
Nuevas tecnologías.
El uso de las nuevas tecnologías es imprescindible, pero suponen un alto riesgo sino aplicamos las medidas de seguridad adecuadas. Internet es una herramienta que permite reducir costes y mejorar la relación con nuestros clientes, colaboradores, empleados, pero también es un foco de incidencias.

Sistema de gestión de seguridad de la información ISO 27001.

Un sistema de gestión de seguridad de la información ISO 27001 es un conjunto de medidas, normas, pautas y procedimientos para garantizar la confidencialidad, integridad y disponibilidad de la información.

La seguridad de la información tiene que cumplir los siguientes principios:

Disponibilidad.
Los usuarios autorizados tienen acceso a la información y a sus activos asociados cuando lo requieran.
Integridad.
La información y sus métodos de proceso son exactos y completos.
Confidencialidad.
Sólo aquellos usuarios que estén autorizados pueden acceder a la información.

La gestión de la seguridad de la información consiste en realizar las actividades necesarias para garantizar los niveles de seguridad exigibles en cada empresa.

La información se gestiona con el fin de garantizar su seguridad, disponibilidad, integridad y confidencialidad:

Los problemas de seguridad no son únicamente de índole tecnológica, también organizativos.
Los riesgos no se eliminan, se gestionan.
La seguridad forma parte de un proceso sistemático para minimizar los riesgos.

Medidas de seguridad y mantenimiento.

seguridad_informacion1 Existen diferentes medidas de seguridad pero no todas son igualmente efectivas para cada organización. Hay que seleccionar las medidas y controles adecuamos en función de la información (activos), riesgos y amenazas. Las medidas y controles es un punto clave para implementar un sistema de seguridad de la información ISO 27001 eficaz y adecuado.

Las diferentes medidas del sistema de seguridad tienen que estar englobadas en dos áreas de actuación:

Medidas organizativas.
Organigrama general y responsabilidades, política de seguridad, procedimientos, normas y códigos de buenas prácticas.
Medidas técnicas.
Infraestructura informática, protocolos de seguridad (control de accesos), comunicaciones, copias de seguridad, etc.

Constantemente aparecen nuevos programas informáticos y/o virus que amenazan nuestros activos, seguridad y confidencialidad. La continuidad de las organizaciones están permanentemente amenazadas. Las redes de comunicación son uno de los principales elementos de propagación. Es necesario establecer protocolos de seguridad que se mantengan en el tiempo y que se actualicen. De nada sirven protocolos obsoletos. Las amenazas están activas constantemente, siempre se debe permanecer alerta. La prevención y el mantenimiento del sistema de información son elementales para mantener nuestra información protegida adecuadamente.

Beneficios de la norma ISO 27001.

La implementación de la norma ISO 27001 representa múltiples beneficios internos, en los procesos de negocio, y externos, en el marketing e imagen corporativa.

Política de seguridad de la información.
Satisfacción de sus clientes.
Imagen corporativa profesional.
Valores corporativos.
Código de buenas prácticas y protocolos de confidencialidad.
Gestionar los procesos internos y la información según su valor.
Identificar y clasificar los activos por su importancia, legislación, etc.
Proteger la información y los datos de carácter personal.
Garantizar la disponibilidad, integridad y confidencialidad de la información.
Plan de seguridad.
Evaluar y reducir los riesgos potenciales internos o externos.
Eficacia y productividad.
Identificar, clasificar y aplicar la normativa de seguridad.
Licitaciones, concursos y subvenciones públicas.
Innovación de procesos, productos y servicios.
Integración del flujo de trabajo y la gestión documental.
Excelencia.

Todos estos factores unidos hacen que cualquier organización consolide la fidelización de sus clientes y la rentabilidad de su negocio, al mejorar y optimizar sus procesos internos, productos y servicios y el compromiso del personal.

Metodología de Novonet.

Novonet tiene implementado un sistema de gestión de calidad y un código de buenas prácticas, basado en la norma ISO 9001 como herramienta para gestionar y controlar todas nuestras actividades y garantizar un nivel adecuado de calidad de los diferentes servicios de consultoría o auditoria.

Novonet tiene establecida e implementada una política de seguridad para mantener la confidencialidad sobre toda la información y/o datos de los clientes a los que nuestros consultores y auditores tengan acceso para el desarrollo de las actividades.

El objetivo fundamental de Novonet es desarrollar, mantener y actualizar un modelo de gestión (ISO 9001, ISO 14001, ISO 14006, ISO 16001, ISO 27001, etc.) eficaz y sencillo, que permita a cada organización mejorar sus procesos internos, productividad e imagen corporativa.

El proceso de consultoría, según la norma a implementar, incluye las siguientes actividades:

Planificación.
Análisis inicial (toma de datos técnicos).
Diseño y desarrollo de la documentación.
Implementación.
Formación.
Auditoria interna.
Revisión por la dirección.

La planificación del proceso de implementación se coordina con el cliente. Las fechas de cada reunión son consensuadas para adecuarnos a sus necesidades y horarios.

Concluido el proceso de desarrollo, implementación y auditoria, Novonet realiza las gestiones necesarias con la entidad de certificación seleccionada por el cliente para iniciar la auditoria de certificación o renovación. Novonet realiza el soporte necesario en el proceso de certificación, incluyendo un informe técnico de mejoras, recomendaciones, etc.

Desarrollo documental.

Novonet desarrolla la documentación del sistema de gestión (manual y mapa de procesos, procedimientos, instrucciones técnicas, códigos de buenas prácticas, registros, etc.) según el tipo y actividad de la organización y adaptados a las necesidades de cada cliente. La documentación se realiza con una descripción sencilla, práctica y personalizada.

La implementación de la norma ISO 27001 requiere definir los siguientes documentos:

Manual de Seguridad de la Información.
Política de Seguridad de la Información.
Procedimientos.
Instrucciones técnicas.
Registros.

La cantidad de procedimientos dependen del alcance de la certificación y el tamaño y las actividades de cada empresa.
Un requisito de la norma ISO 27001 es la identificación y evaluación de los activos. Novonet realiza un análisis para la clasificación de los activos, creando prioridades e indicadores de gestión. Novonet le ayuda mediante diferentes acciones a sensibilizar al personal de su organización, clave fundamental para cumplir el código de buenas prácticas de seguridad y confidencialidad de la información.
Las normas ISO 9001, ISO 14001, ISO 14006, UNE 16001 e ISO 27001 están basadas en el mismo principio: gestión de procesos. Se integran adecuadamente y forman un único sistema que comparten los principales documentos y simplifica la implementación, gestión y mantenimiento posterior.