Los profesionales de la seguridad de la información que se enfrentan por primera vez a una auditoría suelen tener dudas y preguntas. Estos profesionales pueden necesitar una checklist de auditoría interna para ISO 27001 como apoyo esencial en la tarea. Y, aunque en distinto grado, un profesional experimentado, también puede encontrar en ella algunas ventajas. Lo primero que debe...
La formación, el conocimiento y la capacitación constantes son elementos fundamentales en el éxito de un sistema de gestión. Por ello, desde la Escuela Europea de Excelencia se han diseñado nuevos cursos ISO online con el que los profesionales y las organizaciones puedan aproximarse de manera ágil y cómoda a algunos de los estándares de implementación más común...
En algunas organizaciones existe la creencia de que ISO 27001 es un estándar diseñado para la seguridad de la información almacenada en ordenadores o en formatos digitales. La realidad es que la información en papel en ISO 27001 es considerada con la misma prioridad. Esto significa que la información en papel en ISO 27001 tiene la misma relevancia que la...
La no conformidad en ISO 27001, así como el evento y el incidente en seguridad de la información, se definen en el Anexo A de la norma. El objetivo del mismo es garantizar un enfoque coherente y efectivo para el ciclo de vida de cada uno de estos hechos. Y, para ello, es importante y necesario conocer...
El Reglamento General de Protección de Datos –GDPR– abre un nuevo escenario para la protección y privacidad de la información a nivel mundial, al que no es ajeno a la serie ISO 27000. Aunque algunos profesionales del área se preguntan para qué implementar ISO 27001 si con ello no se alcanza la conformidad con el GPDR, lo...
Lo primero y lo más importante que pueden hacer los departamentos de recursos humanos cuando se trata de seguridad de la información es ser proactivos en lugar de reactivos. Concretamente, los empleados en ISO 27001 son una preocupación para el sistema que involucra capacitación, definición de roles y establecimiento de protocolos entre otras consideraciones. Por supuesto, es necesario redactar políticas...
Como era de esperar, la entrada en vigor del GDPR – Reglamento General de Protección de Datos – ha creado la demanda de un puesto específico: el oficial de protección de datos GDPR, conocido también como DPO por sus siglas en inglés. Como también era de esperar, para cumplir sus funciones una de las opciones más...
Los requisitos de las partes interesadas en ISO 27001 aparecen en la cláusula 4.2 de la norma. En ella se señala que la organización debe identificar y comprender los requisitos de las partes interesadas en el sistema de gestión de seguridad de la información, tanto internas como externas, que puedan afectar la capacidad del sistema para alcanzar...
Alinear la seguridad de la información con la dirección estratégica en ISO 27001 es un requisito de la norma, y como tal, se debe alcanzar la conformidad con él. Y es así porque representa una gran oportunidad para alcanzar la sostenibilidad del sistema de gestión de la seguridad de la información en el tiempo. Sin embargo no se habla mucho...
Cuando se implementa el análisis de riesgos en ISO 27001, la identificación de activos, amenazas y vulnerabilidades que atañen a la seguridad de la información es tan solo la primera parte del trabajo. La segunda fase, tan importante como la primera y no menos difícil, implica evaluar las consecuencias y probabilidades de cada riesgo. En otras palabras, la...
