La información es vital para el éxito y la continuidad en el mercado de cualquier empresa. es necesario revisar su integridad, la disponibilidad, el adecuado control de la confidencialidad de los datos y el acceso solamente por quienes la necesitan.

Para asegurar la seguridad de la información, es necesario un sistema que aborde esta tarea de una forma metódica, documentada y basada en objetivos claros de seguridad y una evaluación de los riesgos a los que está sometida la información.

Es entonces un factor clave de éxito para las organizaciones el disponer de un conjunto de reglas claras acerca de la forma en que debe gestionarse la información propia y del cliente, un equipo humano consciente de la importancia de observar las políticas, procesos y procedimientos establecidos, infraestructura física y lógica que permita minimizar las vulnerabilidades a las que pueda estar expuesta la información utilizada y además de todos los riesgos al no cumplirse estas disposiciones.

Como todas las normas de la familia ISO de sistemas de gestión, la ISO 27001 está enfocada en el ciclo de mejora P-D-C-A, para lo cual existe una primera fase de diagnostico, de identificación de las buenas prácticas en seguridad de la información, del marco legal correspondiente, del análisis e identificación de activos de información, de las vulnerabilidades y riesgos asociados a las situaciones de trabajo: normales, extraordinarias o de emergencia.

Posteriormente se crea un plan para tratar los riesgos identificados, con énfasis en eliminar o mitigar aquéllos vinculados a los procesos relacionados con los clientes y el uso interno de la información.

Se adoptan los controles y las contramedidas necesarias para tratar los riesgos inaceptables de seguridad de la información, con énfasis en los procesos de comunicación, capacitación y concienciación de todo el personal.

Se verifica el cumplimiento de todos los controles y contramedidas por medio de auditorías y se levantan acciones correctivas y preventivas para la mejora del desempeño, los resultados y reportes de cada proceso es evaluado por la dirección general en las revisiones establecidas.

El éxito de este proyecto se basa en un marcado liderazgo por parte de la Dirección; el funcionamiento de la estructura de seguridad, con un Responsable de Seguridad de la Información que coordina interna y externamente las actividades relativas al SGSI; el compromiso de todo el personal en la aplicación de las políticas, procedimientos y controles en cada una de las fases del proyecto.

ISO 27000 es un conjunto de estándares que proporcionan una gestión de seguridad de la información adaptable a cualquier tipo de empresa, para garantizar la selección de controles de seguridad adecuados y proporcionales. Adopta un enfoque por procesos para establecer, implantar, operar, supervisar, revisar, mantener y mejorar un SGSI.