1

2 Seguridad de la Información Para la adecuada gestión de la seguridad de la información, es necesario implantar un sistema que aborde esta tarea de una forma metódica, documentada y basada en unos objetivos claros de seguridad y una evaluación de los riesgos a los que está sometida la información de la organización.

3 ISO

4 ISO 27000 ISO/IEC 27000 es un conjunto de estándares desarrollados -o en fase de desarrollo por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña.

5 ISO 27000

6 ISO 27799:2008  Publicada el 12 de Junio de 2008. Es un estándar de gestión de seguridad de la información en el sector sanitario aplicando ISO 17799 (actual ISO 27002).  Esta norma, al contrario que las anteriores, no la desarrolla el subcomité JTC1/SC27, sino el comité técnico TC 215. ISO 27799:2008 define directrices para apoyar la interpretación y aplicación en la salud informática de la norma ISO / IEC 27002 y es un complemento de esa norma.  Seguridad de la información sanitaria (Objetivos; Seguridad en el gobierno de la información; Información sanitara a proteger; Amenazas y vulnerabilidades)

7 Beneficios  Reducción del riesgo de pérdida, robo o corrupción de información.  Los clientes tienen acceso a la información a través medidas de seguridad.  Reducción de costes y mejora de los procesos y servicio.  Posibilidad de integrarse con otros sistemas de gestión (ISO 9001, ISO 14001, OHSAS 18001L).

8 Beneficios  Los riesgos y sus controles son continuamente revisados.  Confianza de clientes y socios estratégicos por la garantía de calidad y confidencialidad comercial.  Las auditorías externas ayudan cíclicamente a identificar las debilidades del sistema y las áreas a mejorar.

9 ¿Cómo adaptarse?

10 Fundamentales  Compromiso y apoyo de la Dirección de la organización.  Definición clara de un alcance apropiado.  Concienciación y formación del personal.  Evaluación de riesgos exhaustiva y adecuada a la organización.  Compromiso de mejora continua.  Establecimiento de políticas y normas.  Organización y comunicación.  Integración del SGSI en la organización

11 Factores de Éxito  Creación de un sistema de gestión de incidencias que recoja notificaciones continuas por parte de los usuarios (los incidentes de seguridad deben ser reportados y analizados).  La seguridad absoluta no existe, se trata de reducir el riesgo a niveles asumibles.  La seguridad debe ser inherente a los procesos de información y del negocio.  La concienciación del empleado por la seguridad. Principal objetivo a conseguir.

12 Riesgos  Exceso de tiempos de implantación: con los consecuentes costes descontrolados, desmotivación, alejamiento de los objetivos iniciales, etc.  Temor ante el cambio: resistencia de las personas.  Discrepancias en los comités de dirección.  Delegación de todas las responsabilidades en departamentos técnicos.  No asumir que la seguridad de la información es inherente a los procesos de negocio.

13 Riesgos  Planes de formación y concienciación inadecuados.  Calendario de revisiones que no se puedan cumplir.  Definición poco clara del alcance.  Exceso de medidas técnicas en detrimento de la formación, concienciación y medidas de tipo organizativo.  Falta de comunicación de los progresos al personal de la organización.

14 Consejos Básicos  Comprender en detalle el proceso de implantación.  Gestionar el proyecto fijando los diferentes hitos con sus objetivos y resultados.  La autoridad y compromiso decidido de la Dirección de la empresa.  La certificación como objetivo.  Registrar evidencias.  Reservar la dedicación necesaria diaria o semanal.

15 Puede descargarse una lista de todos los controles que contiene esta norma aquí: http://www.iso27000.es/downlo ad/ControlesISO27002-2005.pdf

16 COMENTARIO

17 Análisis Critico Sabemos que la información es vital para el éxito de cualquier compañía sea grande o pequeña y para asegurar la información es importante implantar un sistema que gestione dicha información: de esto se encarga ISO a pesar de eso siguen existiendo riesgos para eso existen nuevas normas que minimizaran esos riesgos ayudando a la organización con el buen gestionamiento de la información.