Los controles de ISO 27001 plantean la auditoría externa de un proveedor como herramienta para verificar y asegurar la conformidad con los requisitos del estándar en toda la cadena de suministro. Las organizaciones tienen dos opciones para realizar esta auditoría del proveedor: llevarla a cabo por su propia cuenta o contratar a un consultor externo que ambas partes reconozcan.
Los roles y responsabilidades ISO 27001 es un tema tratado en la cláusula 5.3 de la norma. Especialmente, el requisito solicita a la alta dirección que se asegure de que los roles, responsabilidades y autoridades sean claros para el sistema de gestión de seguridad de la información.
Lo que ISO 27001 busca es claridad y un enfoque certero en las partes claves del sistema. Esto implica considerar quién es el responsable de modo general y quién lo es en ciertos procesos concretos o quién responde por las prácticas comerciales… La única y la mejor forma de lograrlo es documentando roles y responsabilidades ISO 27001, de tal forma que no se presenten ambigüedades o confusiones y que todo pueda ser comunicado a las partes interesadas pertinentes.
La protección de la información y sus activos asociados es fundamental para la competitividad y la sostenibilidad de las organizaciones actuales. Por ello, es preciso enfocar la seguridad de la información adecuadamente. Pero no es un camino de vía única. Los profesionales en el área sostienen que ese enfoque también puede dirigir la seguridad de la información hacia el cumplimiento y el control interno, haciendo de la gestión un asunto de gobierno corporativo.
Cuando se implementa el análisis de riesgos en ISO 27001, la identificación de activos, amenazas y vulnerabilidades que atañen a la seguridad de la información es tan solo la primera parte del trabajo. La segunda fase, tan importante como la primera y no menos difícil, implica evaluar las consecuencias y probabilidades de cada riesgo. En otras palabras, la probabilidad de que ocurra y el impacto negativo que supone su ocurrencia.
El tipo de análisis de riesgos en ISO 27001 no está prescrito dentro del cuerpo de la norma. ISO 27001 requiere que la organización evalúe las consecuencias y la probabilidad de cada riesgo, pero no dice cómo hacerlo. Depende de los encargados del sistema decidirlo.
La evaluación de riesgos ISO 27001 requiere identificar primero esos riesgos de la información. Para ello, la organización puede elegir uno cualquiera de los muchos métodos que existen, diseñados para tal labor. Por alguna razón, la metodología que se definía en la edición 2005 de la norma sigue siendo la más utilizada. Bajo dicha metodología, la evaluación de riesgos ISO 27001 requiere combinar activos, amenazas y vulnerabilidades en un mismo modelo de evaluación. A continuación conocemos mejor este proceso.
Las amenazas y vulnerabilidades en ISO 27001 son tratadas en el capítulo 8 de la norma. Su correcta identificación es un aspecto clave de un sistema de seguridad de la información dentro del proceso de evaluación de riesgos. Amenazas y vulnerabilidades en ISO 27001 van de la mano y, por esa razón, se abordan en un mismo capítulo y deben ser consideradas en su conjunto. Sin embargo, entre unas y otras existe una diferencia que no siempre es muy clara, sobre todo para los neófitos en la materia.
El acceso remoto representa un verdadero reto para los directores de TI, que ven en ello un riesgo latente de seguridad y hacia el cumplimiento de ISO 27001. La política de acceso remoto ISO 27001 es la que protege de ese riesgo y cobra así especial importancia. Por ello, analizamos este documento y a detallamos los elementos que deben estar presentes en él.
NEWSLETTER
Suscríbete a la newsletter y recibe semanalmente, además de artículos de interés sobre los sistemas de gestión ISO y habilidades directivas, descuentos especiales en nuestros cursos.
* Todos los campos requeridos
