nueva ISO 27001

Adaptar el SGI a la nueva ISO 27001: 7 pasos para una transición efectiva

La nueva ISO 27001 publicada en octubre de 2022, ofrece a las organizaciones que implementaron su Sistema de Gestión de Seguridad de la Información basado en la versión 2013 del estándar, un plazo de tres años para culminar la transición y ajustar sus procesos a los nuevos requisitos y la nueva estructura de controles.

Otras organizaciones inician la implementación por primera vez, sobre los requisitos de la nueva ISO 27001. Para unas y otras, la guía sobre cómo abordar una transición rápida y efectiva en 7 pasos resultará muy útil.

Leer más
Cuantificación de riesgos de seguridad de la información

Cuantificación de riesgos de seguridad de la información para priorizar la inversión en seguridad

Cuantificación de riesgos de seguridad de la información

Uno de los beneficios clave de la cuantificación de riesgos de seguridad de la información es que permite priorizar los recursos. Esto significa una asignación más eficiente de personas, procesos y presupuestos en torno a las amenazas a la seguridad de la información que representan un mayor impacto o que tienen una mayor probabilidad de ocurrencia.

Al operar bajo la cuantificación de riesgos de seguridad de la información, los encargados de tomar las decisiones obtienen cifras que se pueden comparar en términos financieros y, así, comprenden los problemas y asignan los recursos de la forma más responsable.

Leer más
Análisis de riesgos en ISO 27001

Análisis de riesgos en ISO 27001: evaluar consecuencias y probabilidades

Análisis de riesgos en ISO 27001

Cuando se implementa el análisis de riesgos en ISO 27001, la identificación de activos, amenazas y vulnerabilidades que atañen a la seguridad de la información es tan solo la primera parte del trabajo. La segunda fase, tan importante como la primera y no menos difícil, implica evaluar las consecuencias y probabilidades de cada riesgo. En otras palabras, la probabilidad de que ocurra y el impacto negativo que supone su ocurrencia.

El tipo de análisis de riesgos en ISO 27001 no está prescrito dentro del cuerpo de la norma. ISO 27001 requiere que la organización evalúe las consecuencias y la probabilidad de cada riesgo, pero no dice cómo hacerlo. Depende de los encargados del sistema decidirlo.

Leer más
Documentación en ISO 27001

Documentación en ISO 27001: obligatoria y no obligatoria

Documentación en ISO 27001

Como en cualquier sistema de gestión ISO, existe una documentación en ISO 27001 con la que debe contarse para mantener la conformidad con el estándar. Del mismo modo, hay documentos que, sin ser obligatorios, pueden ayudar al desarrollo del sistema de gestión de seguridad de la información.

En ocasiones puede resultar complicado tener claro cuáles son los documentos y registros necesarios. A continuación, para aclarar esta cuestión, ofrecemos un listado de la documentación en ISO 27001 obligatoria. Y también, presentamos otro listado de aquellos documentos que pueden ser de utilidad para su sistema.

Leer más