Una vez publicada la actualización del estándar de Seguridad de la Información más utilizado en el mundo, evaluar las no conformidades ISO 27001 más comunes resulta de especial importancia.
Y este es el momento más oportuno, cuando muchas organizaciones piensan en la recertificación, teniendo en cuenta las novedades en los requisitos de ISO 27001 y los cambios en los controles del Anexo A.
Las organizaciones, diferentes unas de otras, sin embargo, incurren usualmente en fallos comunes. De estas frecuentes no conformidades ISO 27001, diez presentan mayor recurrencia y, por ello, vale la pena conocerlas, entenderlas y verificar si están presentes en los Sistemas de Seguridad de la Información.
Las 10 no conformidades ISO 27001 más frecuentes
Los profesionales en Seguridad de la Información trabajan para proteger a sus organizaciones de riesgos que afectan todos los días a la integridad, confidencialidad y seguridad de datos e información crítica.
Los riesgos son comunes y, tal vez, por ello las no conformidades ISO 27001 también lo son. Esto podría confirmarse al revisar estas 10:
1. No crear un registro de riesgos o un proceso para monitorizar los riesgos de SI
ISO 27001 solicita que se cree un registro de riesgos y un proceso eficiente para hacer seguimiento de los riesgos de Seguridad de la Información. Los dos proporcionan evidencia para la toma de decisiones.
2. No demostrar la competencia y capacitación del personal
La organización debe asignar roles y tareas específicas, para lo cual necesita verificar y demostrar que los empleados cuentan con las competencias requeridas, y que han tomado los programas de capacitación y formación capaces de ofrecer los conocimientos necesarios.
El conocimiento profundo sobre los requisitos de la norma, así como la identificación y tratamiento de no conformidades ISO 27001, son temas esenciales para cumplir con el requisito de la norma.
3. No asegurar un conocimiento suficiente sobre Seguridad de la Información en el proceso de contratación
No verificar el conocimiento sobre Seguridad de la Información en los procesos de contratación no es una de las no conformidades ISO 27001 como tal. Pero hacerlo sí ayuda a generar cultura y concienciación, con lo que se puede alcanzar la conformidad con el requisito de la norma del apartado anterior.
4. No diseñar e implementar un proceso para la destrucción de información
La información, como un producto, un equipo o una máquina, cumple un ciclo de vida y, en determinado momento, debe procurarse su disposición final. La destrucción y eliminación de información debe ser segura, y el proceso que se diseñe debe considerar datos o informes contenidos en medios electrónicos, papel, medios magnéticos y otros medios físicos, entre otros.
5. No disponer de programas de formación estructurados
En algunas organizaciones se imparten programas de formación de manera indiscriminada. Muchos empleados reciben este tipo de programa pero, a veces, se trata de contenidos que no interesan a todos, dejando fuera temas esenciales para quienes tienen responsabilidades importantes dentro del Sistema.
Encuentra las #NoConformidades #ISO27001 más comunes en el área de #SeguridadInformación y cómo resolverlas #Ciberseguridad Clic para tuitear6. No crear un plan de recuperación tras una brecha de seguridad
La norma ISO 27001 solicita a las organizaciones redactar un plan para que, ante un evento disruptivo, se garantice la continuidad de los procesos de Seguridad de la Información.
7. No registrar fallos de Seguridad de la Información
Un registro de fallos de Seguridad de la Información ayuda a prevenir futuras infracciones, evitar incumplimiento de normas ineludibles como RGPD, además de posibles consecuencias sobre la reputación, la imagen de la organización y las finanzas corporativas, como resultado de penalizaciones o multas.
8. No suscribir un acuerdo de intercambio de información con terceros relevantes
Los acuerdos de intercambio de información, con clientes, proveedores y otros terceros relevantes asegura que todos, dentro de la cadena de tratamiento de información protegida o regulada, siguen los mismos procedimientos seguros, especialmente en lo relacionado con el tiempo de almacenamiento, disposición final y registro seguro.
9. No redactar y publicar políticas de Seguridad de la Información
Uno de los primeros requisitos, básicos e indispensables, es redactar y publicar una política de Seguridad de la Información. Es, hasta cierto punto, una no conformidad que no se explica, pues el primer paso en la implementación es la creación de la política, y esta tarea corresponde a la Alta Dirección.
10. No documentar los requisitos legales
La norma requiere que la organización identifique y documente los requisitos legales que le son aplicables, los reglamentarios, los estatutarios y los que surgen en virtud de un acuerdo o compromiso.
Con la publicación de la nueva edición de ISO 27001, este año, muchas organizaciones se aprestan a recertificar sus Sistemas de Gestión de Seguridad de la Información. Revisar las no conformidades ISO 27001, es parte de ese proceso, y será de gran ayuda para todos los profesionales saber dónde fallan con mayor frecuencia otras organizaciones.
Finalmente, dos elementos serán esenciales para evitar caer en estas fallos: la tecnología, que predomina en organizaciones que avanzan en procesos de transformación digital automatizando sus Sistemas de Gestión, es el primero.
El segundo es la formación y la capacitación. Sobre ello, una recomendación final a continuación.
Diplomado en Seguridad de la Información – ISO/IEC 27001
Varias de las no conformidades ISO 27001 reportadas en este informe se relacionan con la capacitación y formación de empleados con responsabilidades clave dentro del Sistema.
El Diplomado en Seguridad de la Información ISO/IEC 27001 es un programa que explica con detalle todas las cláusulas y requisitos del estándar de Seguridad de la Información. Los alumnos y alumnas adquieren las competencias para planificar, implementar, mantener, auditar y llevar a la certificación el Sistema de Gestión.
Los alumnos de este programa de excelencia reciben titulación como expertos en Seguridad de la Información, pero también como auditores de SG-SI. ¿Quieres ser uno de ellos? Inscríbete ahora.
