UN SGSI, ¿QUÉ BENEFICIOS APORTA? Un análisis de riesgos, identificando amenazas, vulnerabilidades e impactos en la actividad empresarial. Una mejora continua en la gestión de la seguridad. Una garantía de continuidad y disponibilidad del negocio. Reducción de los costos vinculados a los incidentes. El incremento de los niveles de confianza de clientes y partners. El aumento del valor comercial y mejora de la imagen de la organización. Voluntad de cumplir con la legislación vigente de protección de datos de carácter personal, servicios de la sociedad e la información, comercio electrónico, propiedad intelectual y en general, aquella relacionada con la seguridad de la información. IMPLANTACIÓN DE UN SGSI Para realizar la implementación de un SGSI con éxito, por nuestra experiencia y conocimientos, consideramos que los puntos esenciales a tener en cuenta, siempre que se inicie un proyecto de consultoría SGSI son: El alcance y la planificación temporal requerido por el SGSI. El compromiso y completa implicación de la Dirección en el proyecto desde inicio a fin. El nivel de seguridad deseado, tamaño y complejidad de la organización. PROCESO DE IMPLANTACIÓN Este estándar internacional adopta el modelo de mejora continua PDCA (Planificar, hacer, verificar y actuar) aplicado a toda la estructura de procesos del SGSI. El modelo PDCA establece que no es suficiente con el diseño e implementación del SGSI, sino que es necesario garantizar la revisión periódica y continua actualización y mejora del mismo, permitiendo a cada organización utilizar los instrumentos que consideren oportunos para medir y controlar la mejora del sistema. Un SGSI debe identificar fundamentalmente, los objetivos y alcance del sistema, los procesos de negocio críticos para la organización. CERTIFICACIÓN ISO 27001 La certificación del SGSI contribuye a fomentar las actividades y procesos de protección de la información dentro de las organizaciones, mejorando su imagen y generando confianza ante terceros. Una vez finalizado el proceso de implantación del SGSI, si la organización lo decide, tiene la opción de certificar su SGSI conforme a normativas internacionales, (actualmente ISO 27001). El SGSI según la norma ISO 27001 es complementario a los sistemas de gestión de la calidad ISO 9001 y gestión medioambiental ISO 14001. ¿QUIÉN PUEDE CERTIFICAR? El proceso de certificación lo realiza una tercera entidad acreditada por ENAC (Entidad Nacional de Acreditación), que evaluará el SGSI de la organización y expedirá un certificado que demuestra que la organización satisface los requisitos de la norma ISO 27001. El certificado se mantendrá siempre y cuando la organización continúe cumpliendo los requisitos de la norma. Algunas de las empresas certificadoras, en orden alfabético, son: · ASOCIACIÓN ESPAÑOLA DE NORMALIZACIÓN Y CERTIFICACIÓN (AENOR) · BRITISH STANDARS INSTITUTION ESPAÑA, S.A. · BVQI SERVICIOS DE CERTIFICACIÓN, S.A. · EUROPEAN QUALITY ASSURANCE ¿POR QUÉ CERTIFICARSE EN LA NORMA ISO 27001? La certificación demuestra a clientes, competidores, proveedores, personal e inversores, que una organización emplea buenas prácticas revisadas y aprobadas a nivel internacional. Un certificado de seguridad de tercera parte, ayuda a que una organización demuestre que gestiona eficientemente la seguridad de su negocio. Provee la implicación, participación y motivación del personal en mantener la política de seguridad de la organización. Establece procedimientos que mejoran continuamente su actividad y evidencia un enfoque innovador con visión al futuro. La certificación puede mejorar el desempeño total, suprimir la incertidumbre y ampliar sus oportunidades en el mercado. GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN. ISO 27001:2005 Un SGSI establece un completo plan de acciones que ayudará a su empresa a solucionar los problemas de seguridad técnicos, organizativos y legislativos mediante el análisis de riesgos, mejorando y manteniendo la seguridad de la información empresarial y garantizando una continuidad de negocio. En una organización, el diseño e implementación de un SGSI está influenciado por sus necesidades y objetivos, requerimientos de seguridad, procesos empleados y el tamaño y estructura de la organización. Un SGSI no tiene un fin estático, se espera que evolucione de forma conjunta con los objetivos estratégicos de seguridad de la Organización. La implantación de un SGSI se apoya en normativas de carácter internacional como son: ISO/IEC 27001:2005 e ISO/IEC 17799:2005.