Norma ISO/IEC 27001 aplicada a una carrera universitaria

Tesis (Ingeniero Civil Informático) El estándar internacional ISO27001 es un modelo para establecer, implementar, operar, monitorear, revisar, mantener y mejorar un SGSI (Sistema de Gestión de Seguridad de la Información), la revisión más reciente de esta norma fue publicada en 2013 y la primera revisión se publicó en el año 2005, la cual fue desarrollada en base a la norma británica BS 7799-2 (British Standars Institution). La adopción de un SGSI debe ser una decisión estratégica para la organización. El diseño e implementación es directamente influenciado por las necesidades y objetivos, requerimientos de seguridad, procesos y la estructura y tamaño de la organización. De esta forma la finalidad del SGSI es garantizar que los riesgos de la seguridad de la información sean conocidos, asumidos y gestionados por la organización de manera documentada, sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías. La implantación y posterior certificación de estos sistemas supone al trabajo en conjunto de toda la organización, empezando por los cargos más altos, lo cual, sin cuyo compromiso es imposible la puesta en marcha (Inteco, 2014). La dirección de la organización debe liderar todo el proceso, ya que es la parte que conoce mejor que nadie los riesgos del negocio y las obligaciones que tienen con sus clientes o interesados. Además, es el área de la organización que puede solicitar los cambios a nivel de procesos y dirigir los cambios para modificar la forma en que se realizan las tareas. Es importante destacar que el SGSI debe formar parte de la organización y también de la estructura de gestión general.