BLOG

Seguridad de la información

Inicio Blog Seguridad de la información
Alcance de ISO 27001

Alcance de ISO 27001: cómo definirlo correctamente y errores a evitar

La definición del alcance de ISO 27001 es uno de los primeros requisitos que establece la norma de seguridad de la información. En la cláusula 4.3 del estándar se requiere a las organizaciones “determinar los límites dentro de los cuales operará el sistema y tendrá aplicación”.

Para hacerlo – determinar el alcance de ISO/IEC 27001 – la norma aclara que es preciso tener en cuenta los requisitos previos de contexto de la organización (4.1) y necesidades de las partes interesadas (4.2).

Leer más
auditoría de un SGSI

Buenas prácticas para mejorar la auditoría de un SGSI según ISO 27001

En nuestro artículo previo acerca de los pasos a seguir para realizar la auditoría de un SGSI explicamos, por un lado, los factores a considerar para preparar la auditoría interna al Sistema de Gestión de Seguridad de la Información. Y, por otro, la secuencia de actividades a seguir para hacerla efectiva.

En esta ocasión, ampliamos esta información preliminar con recomendaciones útiles para optimizar el resultado de la auditoría de un SGSI en la práctica.

Leer más
Controles del Anexo A de ISO 27001

Controles del Anexo A de ISO 27001: guía completa actualizada a la versión de 2022

Los controles del Anexo A de ISO/IEC 27001 son, en una definición muy concisa, las prácticas o acciones que debe implementar y ejecutar la organización, si de acuerdo con su gestión de riesgos de seguridad de información, ha identificado amenazas susceptibles de ser prevenidas o eliminadas utilizando cualquiera de estos controles.

Así, se infiere que los controles del Anexo A de ISO 27001 no son todos de obligatorio uso. La norma ISO 27001 solo requiere que la organización implemente los que sean necesarios, de acuerdo con los riesgos que ha identificado, su gravedad y su probabilidad de ocurrencia.

Leer más
Auditoría interna de seguridad de la información

Auditoría interna de seguridad de la información: pasos para realizarla según ISO 27001

La práctica de la auditoría interna de seguridad de la información es un tema que despierta interés aún antes de la implementación formal del Sistema de Gestión basado en la norma ISO 27001.

La auditoría interna de seguridad de la información, para profesionales y organizaciones que han hecho el tránsito completo, desde la planificación de la implementación hasta la certificación del sistema, puede ser algo rutinario ahora.

Leer más
Formación en ciberseguridad

Formación en ciberseguridad para pequeñas empresas: 4 aspectos clave sobre los que formarse

La Seguridad de la información y, por ende, la formación en ciberseguridad, no son preocupaciones exclusivas de las grandes corporaciones. Aunque el interés de los medios se enfoca en las infracciones que afectan a grandes organizaciones, lo cierto es que la preocupación debería que ser mayor para las pequeñas y medianas empresas.

Hay varias razones para que sea así. Y una de ellas es el bajo número de pequeñas empresas que invierten en formación en ciberseguridad para sus empleados.

Leer más
Documentación en ISO 27001:2022

Documentación en ISO 27001:2022: lista actualizada de los documentos obligatorios en la última revisión

Tras la reciente actualización de la norma de seguridad de la información, conviene revisar qué ha cambiado respecto a la documentación en ISO 27001:2022.

En términos generales, los documentos obligatorios se reducen, si bien aún es necesario mantener determinados registros relevantes de la gestión. A continuación, desglosamos cuáles son los cambios a destacar en la documentación en ISO 27001:2022.

Leer más
💬 ¿Necesitas ayuda?