Es con gran orgullo que informamos de la llegada de la carta de conformidad para auditoría de mantención N° 1, la que indica que Fidens se mantiene en conformidad con lo establecido en el Sistema de Gestión y la norma ISO-NCh 27001:2013, relacionada con Tecnología de la Información, Técnicas de Seguridad, Sistemas de Gestión de la Seguridad de la información y requisitos de la misma.
Un poco de historia…
En los últimos años, y con tantas vulnerabilidades dando vueltas en las plataformas digitales, cumplir con la normativa ISO 27001 se ha vuelto una condición casi obligatoria para trabajar con corporativos o grandes empresas.
El instituto Nacional de Normalización, INN es el organismo que tiene a cargo el estudio de normas técnicas a nivel nacional y el año 2013 lanzó la misma, siendo idéntica a su versión en ingles ISO/IEC 27001:2013, salvo algunos cambios editoriales que se justifican en la misma.
La seguridad informática abarca un mundo bastante mas amplio que el Hackeo Etico o el estudio de vulnerabilidades de software. En este caso hablamos de una norma estudiada por un comité técnico, que define los requerimientos para implementar, mantener y mejorar constantemente un sistema de gestión de la seguridad de la información, dentro del contexto de una organización madura en lo que respecta a Governance IT.
¿Qué es un Sistema de Gestión de Seguridad de la Información (SGSI)?
La ISO 27001 hace foco principalmente en adoptar un Sistema de Gestión de Seguridad de la Información (en siglas, SGSI).
Un SGSI es básicamente una forma de lograr un sistema integral de políticas, procedimientos y acciones para proteger la información.
La ISO 27001 especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI) según el conocido “Ciclo de Deming”: PDCA – acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar), siendo éste un enfoque de mejora continua:
- Plan (planificar): es una fase de diseño del SGSI de evaluación de riesgos de seguridad de la información y la selección de controles adecuados.
- Do (hacer): es una fase que envuelve la implantación y operación de los controles.
- Check (controlar): es una fase que tiene como objetivo revisar y evaluar el desempeño (eficiencia y eficacia) del SGSI.
- Act (actuar): en esta fase se realizan cambios cuando sea necesario para llevar de vuelta el SGSI a máximo rendimiento.
El concepto clave de un SGSI es el diseño, implantación y mantenimiento de un conjunto de procesos para gestionar eficientemente la accesibilidad de la información, buscando asegurar la confidencialidad, integridad y disponibilidad de los activos de información minimizando a la vez los riesgos de seguridad de la información.
Como todo proceso de gestión, un SGSI debe seguir siendo eficiente durante un largo tiempo adaptándose a los cambios internos de la organización así como a cambios externos en el entorno.
Leave a Reply