BLOG

Seguridad de la información

Inicio Blog Seguridad de la información
Teletrabajo seguro

Teletrabajo seguro: aplicación de controles de seguridad de la información

Teletrabajo seguro

El teletrabajo es hoy una opción obligatoria para muchos. La obligatoriedad, sin embargo, no significa que deje de aportar muchos beneficios. Pero para que ello sea así, debe ser un teletrabajo seguro. De lo contrario, puede convertirse en una fuente de riesgos para la seguridad de la información.

ISO 27001 consideró las condiciones de teletrabajo seguro aun antes de la emergencia sanitaria. Actualmente, cuando el teletrabajo se ha convertido en una forma altamente recomendable para operar en muchas organizaciones, es más importante que nunca considerar cuál es la forma de aplicar controles de seguridad para un teletrabajo seguro.

Leer más
oportunidades en ISO 27001

Abordar oportunidades en ISO 27001 mediante la gestión de riesgos

oportunidades en ISO 27001

La gestión de riesgos parece estar diseñada para identificar, evaluar y tratar los efectos negativos de las amenazas. Este enfoque, erróneo, ha llevado a que las oportunidades en ISO 27001 no sean consideradas y, por ello, desaprovechadas. De hecho, pasar por alto las oportunidades es un comportamiento usual no solo en el área de seguridad de la información.

En este caso, nos ocupamos específicamente de las oportunidades en ISO 27001 y de la forma adecuada de considerarlas y tratarlas, a la luz de la norma internacional sobre gestión de riesgos ISO 31000.

Leer más
Checklist de Auditoría Interna para ISO 27001

Cómo hacer una Checklist de Auditoría Interna para ISO 27001

Checklist de Auditoría Interna para ISO 27001

Los profesionales de la seguridad de la información que se enfrentan por primera vez a una auditoría suelen tener dudas y preguntas. Estos profesionales pueden necesitar una checklist de auditoría interna para ISO 27001 como apoyo esencial en la tarea. Y, aunque en distinto grado, un profesional experimentado, también puede encontrar en ella algunas ventajas.

Lo primero que debe saber el auditor, antes o después de elaborar una checklist de auditoría interna para ISO 27001 es que este no es un listado inamovible y rígido, sino una herramienta que ha de ser flexible y adaptable a los objetivos y perspectivas del momento.

Pack Experto Auditoría Interna ISO/IEC 27001:2013 SGSI + Método de Auditorías Remotas de Sistemas de Gestión

Checklist de auditoría interna para ISO 27001

No existe una única checklist de auditoría interna para ISO 2700, como tampoco existe un único modelo de auditoría interna. Por eso, quizá crear una lista de verificación de auditoría interna pueda ser una buena opción que se ajuste a las necesidades singulares de la organización.

Para empezar, hay que saber en qué momento del proceso es más oportuno crear esa herramienta y cuándo podremos aplicarla. En este sentido, la auditoría se desarrollaría en los siguientes pasos:

  1. Revisar la documentación: en este paso el auditor revisa todos y cada uno de los documentos obligatorios, exigidos por ISO 27001. Para ello, es preciso que el auditor se familiarice con los requisitos y los procesos del sistema.
  2. Crear la checklist: de modo paralelo a la tarea de revisión de los documentos y aprovechando la inmersión en su contenido, el auditor elabora la lista de verificación.
  3. Planificar la auditoría: la tarea puede llevar al auditor a diferentes áreas y ubicaciones. El plan de auditoría debe establecer cuándo visitar cada una de ellas y cuánto tiempo destinar, dependiendo del número de actividades previstas para cada departamento.
  4. Realizar la auditoría: la labor de auditoría en sí es eminentemente práctica. Se trata de recorrer las instalaciones, verificando la lista, hablando con los empleados, revisando los ordenadores y otro tipo de dispositivos, determinar las condiciones de seguridad física, la implementación adecuada de los controles…Es en este punto en el que el auditor aprovecha al máximo los beneficios de una checklist de auditoría interna para ISO 27001.
  5. Redactar los informes: cuanto más sucinto y puntual mejor. En los informes deben aparecer las no conformidades halladas, pero también los puntos positivos relevantes. La lista de verificación es un buen apoyo en este momento para evitar que algo importante se quede fuera.
  6. Hacer seguimiento: la tarea de auditoría no culmina con la presentación de los informes. El auditor debe verificar que las acciones correctivas propuestas se implementan y que resultan efectivas. Nuevamente, la checklist de auditorìa interna para ISO 27001 resulta muy útil para recordar por qué razón se planteó una no conformidad o se recomendó una determinada acción correctiva.
#ISO27001 es un estándar complejo y lo es también su auditoría interna. Te contamos cómo crear una checklist para el proceso. Clic para tuitear

Como vemos, la lista de verificación puede ser clave en diferentes momentos del proceso. ¿Pero cómo elaborarla? En la creación de una checklist se ha de tener en cuenta uno a uno:

  • Requisitos del estándar: el listado debe permitir comprobar que se está cumpliendo cada requisito de ISO 27001. Lo ideal es concretar al máximo en relación a la manera en que la empresa, a su modo, ha decido enfocar la conformidad en cada punto con el estándar. Es decir, cada punto de la checklist debe ser fácilmente verificable.
  • Contenido en políticas y procedimientos y planes: si la política sobre seguridad de la información indica que se debe realizar una copia de seguridad cada seis horas, este debe ser un ítem que forme parte del checklist para ser verificado en su momento.

Además de atender al contenido, es preciso asegurar que la lista en sí sea práctica, equilibrando los siguientes puntos de manera óptima:

  • Precisión: es necesario que no quede nada fuera de control.
  • Manejable: a través de la organización en bloques, el orden y la capacidad sintética, la checklist puede quedar recogida en un documento práctico y fácilmente utilizable.

Curso Auditor Interno ISO/IEC 27001:2013 Sistemas de Gestión Seguridad de la Información

La auditoría interna es un requisito de ISO 27001. Es la herramienta que promueve la mejora continua del sistema. Por ello, cualquier herramienta de apoyo puede ser fundamental. Pero, quizá, aún más importante es contar con profesionales formados y cualificados.

El Curso Auditor Interno ISO/IEC 27001:2013 Sistemas de Gestión Seguridad de la Información es un programa esencial para cualquier profesional que quiera ejercer esta importante labor de auditoría en el área de seguridad de la información.

Inscríbete ahora.

Nueva llamada a la acción
Leer más
cursos ISO online

Nuevos cursos ISO online: completa tu formación en sistemas de gestión

cursos ISO online

La formación, el conocimiento y la capacitación constantes son elementos fundamentales en el éxito de un sistema de gestión. Por ello, desde la Escuela Europea de Excelencia se han diseñado nuevos cursos ISO online con el que los profesionales y las organizaciones puedan aproximarse de manera ágil y cómoda a algunos de los estándares de implementación más común en las organizaciones de todo el mundo.

Los nuevos cursos ISO online de la EEE se enmarcan dentro de una metodología e-learning sostenida por docentes expertos. De ese modo, cada profesional puede aprender a su ritmo y de acuerdo a sus circunstancias, eligiendo los momentos y el espacio que le ofrezcan las condiciones óptimas para alcanzar un aprendizaje de valor.

Leer más
Información en papel en ISO 27001

Información en papel en ISO 27001: ¿hay que considerarla?

Información en papel en ISO 27001

En algunas organizaciones existe la creencia de que ISO 27001 es un estándar diseñado para la seguridad de la información almacenada en ordenadores o en formatos digitales. La realidad es que la información en papel en ISO 27001 es considerada con la misma prioridad.

Esto significa que la información en papel en ISO 27001 tiene la misma relevancia que la información digital, sin que esto implique que la norma promueva un determinado formato sobre otro. Por ello, la gestión de riesgos en ISO 27001 también debe considerar los documentos en papel.

Leer más
no conformidad en ISO 27001

Definiciones de evento, incidencia o no conformidad en ISO 27001

no conformidad en ISO 27001

La no conformidad en ISO 27001, así como el evento y el incidente en seguridad de la información, se definen en el Anexo A de la norma. El objetivo del mismo es garantizar un enfoque coherente y efectivo para el ciclo de vida de cada uno de estos hechos. Y, para ello, es importante y necesario conocer el alcance de los mismos y su definición exacta.

Si una no conformidad en ISO 27001 no es igual a una incidencia o a un evento, se deduce que cada uno de ellos requiere procedimientos de respuesta diferentes. Y tales procedimientos deben definirse antes de que se presenten, para actuar con efectividad.

Leer más
Serie ISO 27000

Serie ISO 27000: la relación entre ISO 27701, ISO 27001 e ISO 27002

Serie ISO 27000

El Reglamento General de Protección de Datos –GDPR– abre un nuevo escenario para la protección y privacidad de la información a nivel mundial, al que no es ajeno a la serie ISO 27000. Aunque algunos profesionales del área se preguntan para qué implementar ISO 27001 si con ello no se alcanza la conformidad con el GPDR, lo cierto es que, cuando se comprende la serie ISO 27000, uno se da cuenta de la verdadera relevancia de esa norma para alcanzar el cumplimiento con este Reglamento General de Protección de Datos.

La serie ISO 27000, conformada en esencia por la ya conocida ISO 27001, su anexo de comprensión ISO 27002 y la menos conocida, hasta el momento, ISO 27701, definen una estructura normativa que protege a la organización de cualquier incumplimiento en materia de seguridad y privacidad de la información.

Leer más
empleados en ISO 27001

Términos y condiciones de seguridad para los empleados en ISO 27001

empleados en ISO 27001

Lo primero y lo más importante que pueden hacer los departamentos de recursos humanos cuando se trata de seguridad de la información es ser proactivos en lugar de reactivos. Concretamente, los empleados en ISO 27001 son una preocupación para el sistema que involucra capacitación, definición de roles y establecimiento de protocolos entre otras consideraciones.

Por supuesto, es necesario redactar políticas y procedimientos para los empleados en ISO 27001 que cubran a los trabajadores actuales, pero también a los que nuevos empleados o, incluso, a los que cambien de posición dentro de la organización.

Leer más