El siguiente tema es muy importante dentro de una compañía que debe y desea asegurar uno de sus mejores activos, "el dato" que después de un proceso se convierte en información.
Junto con las áreas de control interno, auditorias externas y sistemas, surge la necesidad de proteger la información y a los sistemas que lo administran. Para ello se debe utilizar la norma ISO/IEC 27002 que es un conjunto de estándares desarrollados (y en mejoras) por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad de la información, esto sirve para todo tipo y tamaño de empresas.
Cuáles son los beneficios para una compañía:
-Contar con una metodología de gestión de seguridad definida y explicita.
-Reducir el riesgo de sabotaje, pérdida y robo de información.
-Confianza de clientes y socios estratégicos por la garantía de calidad y confidencialidad comercial.
-Los clientes internos y externos poseen acceso a la información de acuerdo a medidas de seguridad.
-Mitigar el riesgo operacional de los departamentos y de la empresa.
-Implementar otras normas de estándares tales como ISO 9001, 9126, 15504, 14001 y otras)
-Certificar a la empresa presentando una imagen corporativa a nivel nacional o internacional
-Diferenciarse de la competencia que se manifiesta en las 5 fuerzas competitivas.
El siguiente link te permite en forma resumida contar con un ejemplo para que puedas analizar como está tu seguridad en tu empresa; Generar estatus ISO 27002
Implementación y uso de la planilla GAP-ISO
En primer lugar genera un documento que tenga lo siguiente:
- Identifica y define las funciones de los entrevistados que te ayudarán a realizar tu análisis (e1, e2, e3, etc)
- Reune a los colaboradores y jefaturas para explicar el trabajo a realizar.
- Entrevista a cada uno con las evaluaciones mencionadas en el libro "Evaluación".
- Registra los datos en la planilla y adjuntalos en el libro "nivel 2". Los porcentajes se calcularán en forma automática. Los resultados se van presentando en los libros "nivel 3 y 4".
- Al finalizar presenta a los entrevistados los resultados finales.
Al finalizar tendrás un resultado como se presenta en la figura 1.
Figura 1
Importante mencionar que los dominios que presenta la planilla son similares a lo que elije la norma ISO 27002.
Por último, ve este link ISO 27002 y te guiará en implementar lo que se menciona en este articulo.
Por ejemplo, hace un clic en "GESTIÓN DE ACTIVOS" y luego en "Inventarios de activos". Se presenta que todos los activos deberían estar claramente identificados. Selecciona OCS Inventory NG.
OCS Inventory es una herramienta gratuita de creación automática de inventarios de HW, escaneo de red y distribución de paquetes de software.
Te da la opción de bajar un sistema gratuito para tu uso dentro de tu empresa.
Eso si, las bases fundamentales para iniciar un proyecto de este tipo es el apoyo claro y decidido de la gerencia general.
Espero que te sirva.
No hay comentarios:
Publicar un comentario