Definir e implementar objetivos de seguridad de la información es un requisito contenido en la cláusula 6.2 de la norma ISO 27001, titulada “Objetivos y planificación de la seguridad de la información”.
Esto significa que la organización debe establecer objetivos de seguridad de la información para cada una de sus áreas y de sus niveles, pero también diseñar planes para alcanzar esos objetivos.
Los profesionales en Seguridad de la Información encuentran un problema recurrente en sus organizaciones: la ausencia de programas adecuados de formación en ISO 27001. Obstáculo que genera dificultades de comunicación y de comprensión y aceptación de políticas y procedimientos.
El resultado previsible es incumplimiento de las normas y aumento del riesgo de infracciones graves. La solución, adoptar un ciclo de formación en ISO 27001, que cumpla con el propósito de capacitar y concienciar a los empleados, pero también a la Alta Dirección y a los gerentes y directores de área.
La certificación de auditor líder ISO 27001 demuestra que un profesional en el área de seguridad de la información, posee los conocimientos, la experiencia y las habilidades necesarias para dirigir un equipo de auditores que evaluará un Sistema de Gestión, bien sea para ser certificado o para confirmar su eficacia.
Pero otras tareas también podrían requerir la certificación de auditor líder ISO 27001: dirigir equipos de auditoría en organizaciones de gran tamaño, que cuentan con instalaciones en varios países o continentes, es una de ellas. Las auditorías de terceros o evaluaciones que por el objetivo específico que se persigue resulten especialmente complejas, igualmente deben ser dirigidas por un auditor líder certificado en la norma ISO 27001.
Sabemos que la emergencia sanitaria que aún afecta al planeta, lleva a las organizaciones a adoptar nuevos procesos y nuevas modalidades de trabajo. Por ello, la formación en seguridad de la información adquiere ahora especial interés e importancia.
Muchas organizaciones, siguiendo la tendencia que marca la nueva normalidad, invierten recursos extraordinarios en la implementación de software y soluciones tecnológicas para garantizar la seguridad de su información. Olvidan un elemento clave: la formación en seguridad de la información.
Las grandes organizaciones tienen los recursos para proteger sus redes, sus sistemas y su información. Pero, la seguridad de la información para pequeñas empresas es un verdadero desafío, ya que sus presupuestos son más ajustados y los recursos son menores.
Esto lo saben los piratas informáticos y todos aquellos que están alerta al menor descuido para atacar pequeñas organizaciones. La seguridad de la información para pequeñas empresas puede llegar a ser un Talón de Aquiles que, eventualmente, las puede llevar al cierre definitivo de sus operaciones.
La crisis sanitaria y la “nueva normalidad” imponen condiciones a las organizaciones que las obligan a revisar sus políticas de seguridad informática. El teletrabajo, como un fenómeno real ahora, requiere implementar soluciones de software, reuniones por videoconferencia, almacenamiento en la nube, VPN…
El trabajo remoto, y otras medidas tomadas en el punto más crítico de la emergencia, se propusieron como transitorias, pero hoy entendemos que han llegado para quedarse por un largo tiempo. Esto supone un peligro para las organizaciones, peligro que se puede eludir ajustando las políticas de seguridad informática.
Ahora, cuando las organizaciones gozan de un poco de serenidad al comprender y aceptar la nueva realidad, hay un espacio para pensar en la ciberseguridad tras la covid-19. Por cuenta de la emergencia, las organizaciones tuvieron que implementar nuevas modalidades de trabajo y modificar procesos comerciales, sin tener el tiempo necesario para revisar y abordar su infraestructura tecnológica.
NEWSLETTER
Suscríbete a la newsletter y recibe semanalmente, además de artículos de interés sobre los sistemas de gestión ISO y habilidades directivas, descuentos especiales en nuestros cursos.
* Todos los campos requeridos
