Alinear la seguridad de la información con la dirección estratégica en ISO 27001 es un requisito de la norma, y como tal, se debe alcanzar la conformidad con él. Y es así porque representa una gran oportunidad para alcanzar la sostenibilidad del sistema de gestión de la seguridad de la información en el tiempo. Sin embargo no se habla mucho de este requisito.
Cuando se implementa el análisis de riesgos en ISO 27001, la identificación de activos, amenazas y vulnerabilidades que atañen a la seguridad de la información es tan solo la primera parte del trabajo. La segunda fase, tan importante como la primera y no menos difícil, implica evaluar las consecuencias y probabilidades de cada riesgo. En otras palabras, la probabilidad de que ocurra y el impacto negativo que supone su ocurrencia.
El tipo de análisis de riesgos en ISO 27001 no está prescrito dentro del cuerpo de la norma. ISO 27001 requiere que la organización evalúe las consecuencias y la probabilidad de cada riesgo, pero no dice cómo hacerlo. Depende de los encargados del sistema decidirlo.
Implementar un Sistema de Gestión de Seguridad de la Información es una cosa. Obtener una certificación ISO 27001 acreditada, es otra, y otra muy diferente es obtener una certificación no acreditada.
Se trata de tres estados diferentes de un mismo proceso, pero que, en la práctica, presentan notables diferencias. ¿Qué diferencia la certificación ISO acreditada de las otras dos opciones? Lo analizamos a continuación.
La evaluación de riesgos ISO 27001 requiere identificar primero esos riesgos de la información. Para ello, la organización puede elegir uno cualquiera de los muchos métodos que existen, diseñados para tal labor. Por alguna razón, la metodología que se definía en la edición 2005 de la norma sigue siendo la más utilizada. Bajo dicha metodología, la evaluación de riesgos ISO 27001 requiere combinar activos, amenazas y vulnerabilidades en un mismo modelo de evaluación. A continuación conocemos mejor este proceso.
En uno de nuestros contenidos recientes, hablamos de los 6 pasos básicos en la gestión de riesgos en ISO 27001. En el cuarto paso de dicho proceso, nos referíamos a la evaluación de los riesgos y comentábamos que “se deberá medir cada uno de los riesgos frente a sus niveles predeterminados de aceptabilidad”. Pues bien, para abordar ese punto, es necesario elegir un método de evaluación. Y eso nos lleva a tener que escribir la metodología de evaluación de riesgos en ISO 27001 que decidimos emplear.
Las amenazas y vulnerabilidades en ISO 27001 son tratadas en el capítulo 8 de la norma. Su correcta identificación es un aspecto clave de un sistema de seguridad de la información dentro del proceso de evaluación de riesgos. Amenazas y vulnerabilidades en ISO 27001 van de la mano y, por esa razón, se abordan en un mismo capítulo y deben ser consideradas en su conjunto. Sin embargo, entre unas y otras existe una diferencia que no siempre es muy clara, sobre todo para los neófitos en la materia.
Como en cualquier sistema de gestión ISO, existe una documentación en ISO 27001 con la que debe contarse para mantener la conformidad con el estándar. Del mismo modo, hay documentos que, sin ser obligatorios, pueden ayudar al desarrollo del sistema de gestión de seguridad de la información.
En ocasiones puede resultar complicado tener claro cuáles son los documentos y registros necesarios. A continuación, para aclarar esta cuestión, ofrecemos un listado de la documentación en ISO 27001 obligatoria. Y también, presentamos otro listado de aquellos documentos que pueden ser de utilidad para su sistema.
Realizar auditorías internas en ISO 27001 es un requisito obligatorio para las organizaciones que han adoptado este estándar internacional para la seguridad de la información. Aún después de haber conseguido la certificación, el mantenimiento y la mejora son elementos esenciales del cumplimiento de la norma. Y las auditorías son la herramienta idónea para lograrlo.
Por ello, y especialmente cuando se planean auditorías internas en ISO 27001 por primera vez, contar con algunos consejos para mejorarlas puede resultar muy útil.
El acceso remoto representa un verdadero reto para los directores de TI, que ven en ello un riesgo latente de seguridad y hacia el cumplimiento de ISO 27001. La política de acceso remoto ISO 27001 es la que protege de ese riesgo y cobra así especial importancia. Por ello, analizamos este documento y a detallamos los elementos que deben estar presentes en él.
NEWSLETTER
Suscríbete a la newsletter y recibe semanalmente, además de artículos de interés sobre los sistemas de gestión ISO y habilidades directivas, descuentos especiales en nuestros cursos.
* Todos los campos requeridos
* Todos los campos requeridos
* Todos los campos requeridos
* Todos los campos requeridos
* Todos los campos requeridos
* Todos los campos requeridos
* Todos los campos requeridos
* Todos los campos requeridos
* Todos los campos requeridos
* Todos los campos requeridos
Para inscribirse en este evento solo debe hacer clic en el botón
¡Le animamos a participar!.
* Todos los campos requeridos
* Todos los campos requeridos
* Todos los campos requeridos
* Todos los campos requeridos
* Todos los campos requeridos
