El estándar para la seguridad de la información ISO/IEC 27001 (Information technology Security techniques - Information security management systems - Requirements) fue aprobado y publicado en Octubre de 2005 por la International Organization for Standardization y por la Electrotechnical Commission, especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI) según el Ciclo de Deming (Planear, Hacer, Evaluar, Actuar). Es consistente con las prácticas descritas en ISO/IEC 17799 (actual ISO/IEC 27002) y tiene su origen en la revisión de la norma británica British Standard BS 7799-2:2002.
Características:
Este manual cubre el vacío generado por la falta de un método documentado sobre cómo proceder a implantar en cualquier empresa un Sistema de Gestión de Seguridad de Información (SGSI), que les permita a las organizaciones minimizar los riesgos y asegurar una continuidad en sus operaciones. Contiene un método completo para instaurar en cualquier firma un SGSI basado en la Norma ISO 27001:2005. Las fases y las actividades de la metodología sirven de guía a los profesionales encargados de manejar proyectos de implantación.
Lamentablemente, lo único que suelen hacer las empresas, frente a la seguridad de información, es actuar de manera reactiva. Al presentarse un incidente, se establece un control. Y pareciera que la labor de las personas encargadas de la seguridad de información consiste en administrar controles, y reaccionar ante la aparición de incidentes de seguridad. Rara vez se actúa de manera proactiva. Frente a la seguridad de información debiéremos actuar de manera diferente: identificar los activos de información que poseen y con una tasación conocer su impacto en la empresa. Luego, a los activos de información que tienen impacto debiéramos hacerles un análisis y una evaluación del riesgo, para determinar qué activos de información pueden correr riesgos; es decir: cómo es la relación de amenazas y vulnerabilidades correspondientes a cada activo de información. Con esta información, la alta gerencia debiera identificar las opciones de tratamiento del riesgo. O sea: ¿qué acciones se tomarán para mitigar el riesgo? ¿A qué activos de información se les reducirá el riesgo por medio de controles? ¿Qué riesgo se acepta, se transfiere y se evita?
Es el primer libro en español sobre el tema y será un modelo normativo para manejar la seguridad de información, con óptica ISO 27001:2005
Reúne las experiencias acumuladas a lo largo de los años de experiencia del autor ahora compartiéndolos con el lector, los ejercicios y prácticas que dan al usuario ideas claras para practicarlos de inmediato en sus trabajos.