Ejemplo de El microcredito y su perspectiva

...

La cláusula 6, Planificación de la norma: Menciona que la evaluación de los riesgos es el punto principal dentro de esta cláusula. La norma establece que se deben identificar los riesgos de seguridad de la Información; mediante la aplicación del proceso de evaluación de riesgos de seguridad de Información para identificar los riesgos asociados a la confidencialidad, integridad y disponibilidad de la información en el ámbito de SGSI. Y además identificar a los propietarios de los riesgos.

La cláusula 7, Soporte: En esta cláusula la norma menciona que la organización debe determinar y proporcionar los recursos necesarios para el establecimiento, implementación, mantenimiento y mejora continua del SGSI. Además, menciona la competencia, la comunicación, Información documentada; nos dice que la organización debe determinar la competencia de los trabajadores asegurándose de que estas sean competentes, para lograr este apartado es necesario que sean seleccionados de acuerdo a sus formaciones profesionales; en cuanto a la comunicación esta se debe determinar de acuerdo a las necesidades y saber el contenido de la comunicación, a quien se va comunicar, cuando comunicar. Todas las actividades realizadas deben estar documentadas mediante formatos, los mismos que deben ser revisados y aprobados.

La cláusula 8 de la norma, menciona la OPERACIÓN en la cual, la organización debe planificar, implantar y controlar los procesos necesarios para cumplir con todos los requisitos de seguridad de la información y para implantar todas las acciones necesarias.

En cuanto a la evaluación de desempeño establecida en la cláusula 9 de la norma, nos dice que la organización debe dar seguimiento al SGSI; es decir evaluar el desempeño de la seriedad de la información y la eficacia del Sistema de Gestión de Seguridad de la Información. Para esto la empresa llevará a cabo auditorías internas a intervalos planificados para proporcionar información sobre el SGSI y verificar si está conforme a los requisitos establecidos por la empresa en su SGSI y además comprobará si está siendo implementado y mantenido de manera eficaz.

En relación a la Mejora que se encuentra en la última cláusula de norma, la misma que establece que la empresa debe mejorar continuamente la conveniencia, adecuación y Sistema de Gestión de Seguridad de la Información. (ISOTools, 2015)

Esta nueva versión de ISO/IEC 27001:2013 se adapta con una serie de lineamientos que sirven para el desarrollo de un sistema de gestión de la seguridad de la información, que sin importar el tipo de empresa, se pueda alinear con otros sistemas de gestión en la empresa. Esta nueva estructura propuesta, alineada con el ciclo de la Mejora Continua tiene la siguiente estructura (Gutiérrez, 2013)

Figura 3

Estructura de la ISO 27001 alineada al ciclo PDCA

[pic 5]

PASOS PARA IMPLEMENTAR LA ISO 27001:2013

Los pasos para implementar esta norma siguen una seria de puntos relevantes e indispensables para poder ejecutar este sistema con objetividad y precisión. A continuación, se detalle los pasos.

- Obtener el apoyo de la dirección

- Utilizar una metodología para gestión de proyectos

- Definir el alcance del SGSI

- Redactar políticas de alto nivel sobre la seguridad de la información

- Definir la metodología de evaluación de riesgos

- Realizar la evaluación y el tratamiento de los riesgos

- Redactar la declaración de aplicabilidad

- Redactar el Plan de tratamiento de riesgos

- Definir la forma de medir la efectividad de sus controles y de su SGSI

- Implementar todos los controles y procedimientos necesarios

- Implementar programas de capacitación y concienciación

- Realizar todas las operaciones diarias establecidas en la documentación de su SGSI

- Monitorear y medir su SGSI

- Realizar la auditoria interna

- Realizar la revisión por parte de la dirección

- Implementar medidas correctivas

Dentro de las ventajas que ofrece la norma ISO 27001: 2013, se puede mencionar lo siguiente:

- La norma permite facilitar la integración de los sistemas de gestión, debido a que es una estructura de alto nivel, donde los términos y definiciones ayudan a su implementación.

- Todas las definiciones vienen del estándar ISO 27000 y las inconsistencias se han removido

- Los documentos requeridos están claramente establecidos, hace referencia al tamaño y complejidad.

- Menciona que las acciones preventivas no van

Dentro de la norma se pueden econtrar algunas desventajas como las siguientes:

- Es una abstracción y es un nivel alto, no es tan detallado.

- Los requisitos son un tanto más difícil para interpretar, debido a los nuevos conceptos.

- No se menciona el enfoque PDCA.

- No se menciona las políticas del SGSI.

- No hay una descripción detallada de la identificación del riesgo (Collazos, s.f.)

PROCESO DE AUDITORIA PARA LA CERTIFICACIÓN

Para realizar la auditoria el auditor debe cumplir con lo siguiente:

- En la Fase 1 el auditor buscará la documentación sobre el alcance, la política y los objetivos del SGSI, la descripción de la metodología de evaluación de riesgos, el Informe sobre la evaluación de riesgos, la Declaración de aplicabilidad, el Plan de tratamiento del riesgo, los procedimientos para el control de documentos, las medidas correctivas y preventivas y la auditoría interna.

- En la fase 2 se realiza la “auditoría principal” y, generalmente, se realiza unas semanas después de la Fase 1. En esta auditoría el enfoque no va a ser sobre la documentación sino en si su organización realmente está haciendo lo que