BLOG

Seguridad de la información

evaluación de riesgos basada en activos en ISO 27001

Cómo realizar una evaluación de riesgos basada en activos en ISO 27001

La evaluación de riesgos basada en activos en ISO 27001 es una de las formas que tienen a sus disposición las organizaciones que han adoptado el estándar internacional para identificar amenazas relevantes para los objetivos de seguridad de la información. Otra forma de llevarlo a cabo sería la evaluación de amenazas basada en escenarios.

La evaluación de riesgos basada en activos en ISO 27001 se diferencia de la evaluación basada en escenarios, en que se enfoca en los dispositivos, ordenadores, software, bases de datos e, incluso, estructuras destinadas al almacenamiento de documentos en papel y, por supuesto, algunas personas. En tanto que la segunda, la evaluación de escenarios, se enfoca en los hechos o circunstancias que, en su conjunto, conforman un marco proclive a la generación de riesgos para la seguridad de la información.

Leer más
ISO 27002:2022

ISO 27002:2022: principales cambios en la nueva guía de controles de seguridad de la información

Tras ocho años desde la última revisión de ISO 27002, se ha publicado una nueva actualización de este estándar que proporciona controles de seguridad de la información, ciberseguridad y protección de la privacidad, que en adelante se conocerá como ISO 27002:2022.

La publicación de esta actualización tuvo lugar el 15 de febrero de 2022, y en ese sentido, vale la pena recordar que ISO 27002:2022 es, además de un estándar complementario para las organizaciones que han implementado ISO 27001, una norma que ayuda a implementar las mejores práctica y controles más eficaces para prevenir ataques o vulneración de la privacidad de los clientes o de las partes interesadas de la organización.

Leer más
integrar ISO 9001 e ISO 27001

Cómo integrar ISO 9001 e ISO 27001: ventajas y pasos para crear un Sistema de Gestión Integrado

Integrar ISO 9001 e ISO 27001 es la opción natural, predecible y que mejores oportunidades entrega a las organizaciones que han implementado estos dos estándares o planean hacerlo. ISO 9001 es el estándar de gestión por excelencia. ISO 27001, por otra parte, muestra un incremento significativo en su implementación, como consecuencia de la aparición de regulaciones como GDPR.

La Transformación Digital, que es un objetivo principal para las organizaciones en todos los sectores, encuentra beneficios al integrar ISO 9001 e ISO 27001. La integración de ISO 9001 con otros sistemas de gestión normalizados optimiza la gestión, ahorrando tiempo y recursos financieros. En el caso puntual de la integración entre el estándar de calidad y el de seguridad de la información, propone interesantes beneficios.

Leer más
Evaluación de riesgos de seguridad de la información

Evaluación de riesgos de seguridad de la información: 7 pasos para asegurar el cumplimiento de ISO 27001

Un procedimiento de evaluación de riesgos de seguridad de la información establece una base sólida para implementar un Sistema de Gestión que garantice el cumplimiento de regulaciones como GDPR y otras relacionadas con la privacidad de los datos y la protección de la información.

Este tipo de evaluaciones también sirven para priorizar las amenazas y diseñar e implementar las acciones más eficientes para minimizar o eliminar los riesgos. La evaluación de riesgos de seguridad de la información es el soporte del cumplimiento de ISO 27001 en cualquier organización.

Leer más
Cumplimiento en ciberseguridad

Cumplimiento en ciberseguridad: cómo lograr una ventaja competitiva a largo plazo

La Transformación Digital y la Digitalización de los Sistemas de Gestión son una constante hoy en día en las organizaciones. Sin embargo, una huella digital cada vez mayor obliga a garantizar el Cumplimiento en Ciberseguridad para prevenir el impacto de amenazas en constante evolución.

El Cumplimiento en Ciberseguridad fue en un tiempo una sofisticación propia de organizaciones del sector financiero. Hoy es una necesidad para todas. Una estrategia de seguridad cibernética, además del beneficio obvio de la defensa contra amenazas cada vez más lesivas, protege todo un ecosistema digital, pero también ofrece una ventaja competitiva.

Leer más
Cumplimiento en ISO 27001

Cumplimiento en ISO 27001: consejos para mantener el cumplimiento de la norma de seguridad de la información

Mantener el cumplimiento en ISO 27001 es el reto tras implementar y certificar el SGSI. Es en ese momento cuando inicia el verdadero trabajo de gestión y control para los profesionales en el área de Seguridad de la Información.

La buena noticia es que en la norma, y en la documentación que se ha realizado para implementar el SGSI, se encuentran las instrucciones sobre lo que hay que hacer y en qué puntos concentrar la atención.

Leer más
ISO 27701

El futuro de la privacidad: ISO 27701 de Gestión de Información de Privacidad

En 2019, la Organización Internacional de Normalización y la Comisión Electrotécnica Internacional IEC, trabajaron en el proyecto de un nuevo estándar que hoy se conoce como ISO 27701. El objetivo principal de este trabajo era ofrecer a las organizaciones un nuevo elemento para potenciar la capacidad de la ya reconocida ISO 27001, para cumplir con lo dispuesto en normativas como GDPR.

Hoy, tres años más tarde, ISO 27701 se constituye en el pilar para muchas organizaciones que esperan, de la mano de ISO 27001, alcanzar la conformidad con GPDR. Pero lo cierto es que a pesar de haber sido publicada hace tres años, la norma ISO 27701:2019 no ha tenido la difusión esperada.

Leer más

12 Temas clave de seguridad de la información y protección de datos sobre los que formar a empleados

Con amenazas digitales cada vez más sofisticadas, concientizar a los empleados sobre las mejores prácticas de seguridad de la información y protección de datos es la forma más efectiva de ahorrar tiempo, prevenir brechas de seguridad y eliminar riesgos.

Se estima que cerca del 95% de las infracciones de seguridad informática se producen como causa del error humano. Este número se puede reducir de forma significativa con programas de formación sobre seguridad de la información y protección de datos. Pero para ello, es preciso que estos programas de formación aborden los temas indicados.

Leer más
seguridad informática en las organizaciones

Por qué priorizar la seguridad informática en las organizaciones

seguridad informática en las organizacionesLa seguridad informática en las organizaciones debe ser priorizada, porque así se salvaguarda uno de los activos más importantes para la empresa -la información-, pero también porque entra en juego la credibilidad y la confianza que se transmite a distintas partes interesadas. Nadie deseará hacer negocios con una organización que no sitúa en primer lugar la protección de los datos y la información de sus clientes, de sus aliados comerciales o incluso, de sus empleados y socios.

Priorizar la seguridad informática en las organizaciones es una responsabilidad, en primera instancia, de la Alta Dirección. Responsabilidad que puede ser compartida por el área de TI, así como directores y gerentes en lugares clave de la organización.

Leer más