Escuela Europea de Excelencia

Política de cumplimiento de TI: qué es y qué debería incluir

La política de cumplimiento de TI es ante todo un documento hecho para promover, impulsar y expresar la importancia de respetar y acatar las exigencias regulatorias sobre protección de datos e información de clientes, proveedores u otros terceros de la organización.

El incumplimiento de las diversas regulaciones sobre protección de datos y de información privada, cada vez más estrictas, impacta a las organizaciones en sus finanzas. Multas y sanciones se producen en todas las industrias a diario. En Europa, muchas organizaciones aún encuentran dificultades para cumplir con las regulaciones contenidas en el Reglamento General de Protección de Datos.

Cumplimiento de seguridad de la información: qué incluir en la lista de verificación de revisión...

El Cumplimiento de Seguridad de la Información se revisa cada año. Periodos de tiempo más extensos supone permitir que problemas susceptibles de ser corregidos a tiempo avancen hasta convertirse en graves afectaciones. Revisar el Cumplimiento de Seguridad de la Información dos o tres veces en el año implica un desgaste innecesario para las personas encargadas y para los propietarios de procesos que deben enfrentar la revisión.

La revisión, por otra parte, no sustituye la auditoría. Por el contrario, se hace porque es un requisito de ISO 27001 y el auditor verificará la conformidad. Con un año para preparar el examen no deberían existir dudas sobre lo que se pretende revisar.

¿Por qué las recientes normas ISO requieren acciones correctivas y no preventivas?

Las acciones correctivas se toman para solucionar un problema que ya se ha presentado. Las preventivas, por el contrario, trabajan para evitar que el problema ocurra y tenga consecuencias.

Por otra parte, es un hecho que las recientes publicaciones ISO, y las actualizaciones, tienen un elemento en común: el Pensamiento Basado en el Riesgo. Una de las consecuencias de la adopción generalizada en todas las áreas de Gestión de este enfoque, es la confusión entre lo que son acciones correctivas y acciones preventivas, y el momento propicio para el uso de cada una.

Seguridad de la información para proveedores: qué cláusulas incluir en los contratos

Hablar de seguridad de la información para proveedores es ahora tan común en el ámbito de la Alta Dirección de una organización, como hablar de la posibilidad de incursionar en un mercado en ultramar o sobre el riesgo que representa un determinado competidor en el mercado local.

La razón es clara y contundente: en un mundo globalizado, en el que la especialización es una oportunidad y una gran ventaja comparativa, los proveedores se convierten en aliados estratégicos de alto valor para cualquier negocio.

Evento, incidente e incumplimiento en ISO 27001: cómo diferenciar estos tres conceptos

El incumplimiento en ISO 27001 es uno de tres problemas regulares, consuetudinarios y previsibles en un Sistema de Gestión de Seguridad de la Información basado en el estándar internacional.

El equipo de Seguridad de la Información reconoce que estas desviaciones ocurren, y se prepara para reconocerlas y tratarlas. Pero esto no significa que las acepte y las tolere.

Por qué un sistema de gestión ISO 27001 es esencial para todas las empresas en...

Un Sistema de Gestión ISO 27001 aporta numerosos y evidentes beneficios a la organización que lo implementa. No hacerlo, sin embargo, expone a la organización a múltiples amenazas, muchas de ellas recurrentes y protagonistas de noticias que nos llegan a diario.

Estos riesgos se convierten en razones adicionales para implementar un Sistema de Gestión ISO 27001. La Seguridad de la Información está en un lugar prioritario entre las preocupaciones de la Alta Dirección, por el impacto reputacional que tienen las infracciones y violaciones de Seguridad, pero también por las implicaciones legales y regulatorias asociadas.

Desglosando los controles de ISO/IEC 27001 del Anexo A para una mejor comprensión

Los controles de ISO/IEC 27001, agrupados en el Anexo A de la norma, conforman una guía práctica sobre cómo gestionar amenazas y prevenir riesgos de Seguridad de la Información en el acontecer diario de una organización.

Nada es más concreto y realizable en el quehacer diario que los controles de ISO/IEC 27001. El objetivo de este Anexo es recopilar los controles que necesita la organización para proteger sus activos de información y su información sensible, así como la de sus terceros.

Gestión de activos según ISO 27001: cómo administrar un inventario de activos

Para cumplir con lo solicitado sobre gestión de activos según ISO 27001 es preciso hacer algo más que crear un registro o inventario de activos. Es necesario, además de entender con claridad el concepto de activo, dominar el funcionamiento de los controles 9, 10 y 11 del anexo A, que son los que definen la gestión de activos según ISO 27001.

7 formas de mejorar las auditorías internas ISO 27001

Las auditorías internas ISO 27001 ofrecen una gran utilidad a las organizaciones que trabajan en la implementación del estándar de seguridad de la información y enfilan esfuerzos para llegar a la certificación. Pero las que ya han certificado sus Sistemas de Gestión de Seguridad de la Información, basados en la norma ISO 27001, también necesitan encontrar formas de mejorar sus auditorías internas.

BLOG

Seguridad de la información