controles de seguridad en ISO 27001

El Anexo A y los controles de seguridad en ISO 27001

Dentro de la norma ISO 27001, el Anexo A es el más conocido por ser normativo, lo que indica que su implementación es imprescindible. Y en cuanto a controles de seguridad en ISO 27001 se refiere, constituye una parte esencial, pues presenta una lista de dichos controles que pueden resultar fundamentales para mejorar la protección de la información en las organizaciones.

Usualmente, cuando se hace uso de un documento, los anexos y las referencias bibliográficas son muchas veces desestimados. En el caso de la norma que nos ocupa, esto no debería suceder, pues el Anexo A es normativo y la implementación de los controles que se encuentran en él es obligatoria, de ser aplicables para la organización.

Leer más
capacitación sobre seguridad de la información

Beneficios de la capacitación sobre seguridad de la información para las organizaciones

Una organización funciona como un reloj analógico. Está dividida en áreas, sectores o departamentos, que actúan como los pequeños engranajes de un reloj. La capacitación sobre seguridad de la información es uno de esos engranajes que logra mover una máquina. De este modo, la formación en ISO 27001 garantiza cumplir con la integridad, la confidencialidad y la disponibilidad de la información.

Además, los engranajes, requieren mantenimiento, precisan ser aceitados. Del mismo modo, la capacitación sobre seguridad de la información requiere que se invierta en ella.

Pero, ¿por qué es tan importante la capacitación sobre seguridad de la información para las organizaciones? Una primera razón es que el elemento humano, sobre el que recae la capacitación, es un elemento fundamental dentro de un sistema de gestión de seguridad de la información.

El factor humano en la gestión de la seguridad de la información

Lo primero que debemos entender es que para la organización la información es un activo que se debe gestionarUn activo que adquiere valor en la medida en la que es posible garantizar la veracidad, integridad, disponibilidad y la confidencialidad.

Para lograr esas garantías se necesita invertir en tecnología y prevención de riesgos. Pero dicha inversión resultará infructuosa si los empleados generan una brecha de vulnerabilidad que atenta contra la seguridad de la información, bien sea por ignorancia, por estar desactualizados o por falta de atención. En este sentido, se ha de tener muy en cuenta que son ellos los que tienen procesos a su cargo, realizan funciones importantes e impiden que ocurran algunas situaciones que deben evitarse.

En concreto, los “propietarios” de la información, responsables de la custodia, monitoreo y administración, tienen responsabilidades como otorgar permisos de acceso, retirarlos, custodiar información crítica o monitorear el resultado de acciones emprendidas dentro de la gestión de la información.

Así, el factor humano tiene una incidencia definitiva en la gestión de la seguridad de la información. De ahí, la importancia de la capacitación sobre seguridad de la información para las organizaciones.

Beneficios de la capacitación sobre seguridad de la información

Los programas de formación en seguridad de la información tienen un coste. Y los profesionales en seguridad de la información pueden justificar la inversión fácilmente al mostrar los beneficios que ofrece la capacitación sobre seguridad de la información.

La capacitación sobre #SeguridadInformación ofrece beneficios a las organizaciones. Hoy conoceremos los más relevantes. Compartir en X

Mejora de la eficiencia del sistema de gestión de seguridad de la información

Con conocimiento y la adecuada capacitación, los empleados pueden aprovechar más eficientemente las herramientas y los controles de seguridad. Uno de los efectos inmediatos es la valoración positiva hacia los controles y la trasmisión de dicha confianza a sus compañeros y subordinados. De este modo, se favorece la creación de una cultura sólida de seguridad de la información.

En la práctica, se mejoran los procesos de asignación de contraseñas (cómo asignarlas, a quién asignarlas, y qué niveles de acceso otorgar), y los de su creación, para hacer que sean más seguras.

Concienciación sobre la importancia de la seguridad de la información

Resulta inútil redactar una completa y estricta política de seguridad de la información si los empleados no la conocen o no pueden valorar la importancia de la existencia de ese documento y de lo que en él se declara.

La capacitación sobre seguridad de la información hace que los empleados se interesen en el tema, ya que entienden la necesidad de garantizar la seguridad de la información. Y lo hacen no solo por la organización, sino por cada uno de ellos, porque con la seguridad se respaldan los objetivos comerciales de la organización, que al final garantizan su empleo y la calidad del mismo.

Las ventajas de la prevención

Las vulneraciones de privacidad, la falta de disponibilidad de la información o las alteraciones indebidas de los datos son eventos que pueden afectar negativamente las finanzas de la organización y también a su reputación y confiabilidad.

Es poco probable que un grupo de empleados capacitados en seguridad de la información, o liderados por profesionales capacitados, incurra en sanciones, infracciones o faltas graves de seguridad de la información.

Diplomado Implementador de Sistemas de Gestión de Seguridad de la Información con la ISO/IEC 27001:2013

La capacitación sobre seguridad de la información encuentra un gran aliado en este Diplomado Implementador de Sistemas de Gestión de Seguridad de la Información con la ISO/IEC 27001:2013Este constituye un programa de alta calidad dictado por la Escuela Europea de Excelencia.

La convocatoria establecida para este 15 de abril ya ha cubierto sus plazas, pero desde ahora, ya tiene la opción de inscribirse para la convocatoria del 15 de julio de 2019 aquí.

Leer más
Propietarios de riesgos

Propietarios de riesgos vs. propietarios de activos en ISO 27001:2013

Propietarios de riesgos es un concepto novedoso que incorporó la edición 2013 de la norma ISO 27001. Novedoso y a la vez polémico, ya que generó confusión entre los profesionales de la seguridad de la información, pues parece que reemplaza al antiguo “propietarios de activos” y persiste la duda sobre si este último sigue siendo válido o no.

¿Quiénes son los propietarios de riesgos en ISO 27001:2013?, ¿reemplazan a los “propietarios de activos” presentes en la revisión 2005 de la norma? Estas son las preguntas que respondemos en nuestra entrada de hoy.

Leer más

Cómo evaluar las consecuencias y la probabilidad en el análisis de riesgos ISO 27001

Como-evaluar-las-consecuencias-y-la-probabilidad-en-el-analisis-de-riesgos-ISO-27001

El crecimiento exponencial de los ataques cibernéticos y la dependencia cada vez mayor de las organizaciones por los recursos tecnológicos son razones suficientes para realizar un análisis de riesgos ISO 27001. La norma no dice cómo realizar un análisis de riesgos ISO 27001, pero sí que hay que evaluar las consecuencias y las probabilidades e identificar activos, amenazas y vulnerabilidades.

El análisis de riesgos ISO 27001 tiene, por tanto, una enorme importancia. Se consigue evaluando las consecuencias o el impacto que sufriría la organización si el riesgo llegara a materializarse. La probabilidad de que el riesgo ocurra es el otro factor a tener en cuenta a la hora de asignar un nivel de importancia al riesgo.

Leer más
auditoría de certificación en ISO 27001

Cómo prepararse para la auditoría de certificación en ISO 27001

Si está leyendo este texto, es porque probablemente su organización ha de afrontar la auditoría de certificación en ISO 27001. Los profesionales en seguridad de la información, pueden formularse muchas preguntas y presentar ciertas dudas.

Esto es normal. El trabajo de planificación e implementación ha sido arduo y la auditoría de certificación en ISO 27001 representa el colofón para este proyecto de especial importancia para la organización.

Leer más
activos según ISO 27001

Cómo gestionar el inventario de activos según ISO 27001

Activos según ISO 27001

Quienes tenemos alguna formación en contabilidad, pensamos, en primera instancia, que el inventario de activos según ISO 27001 puede llegar a ser una lista pormenorizada de los ordenadores y dispositivos que la organización dispone para el tratamiento, consulta o registro de la información dentro del sistema de seguridad de la información.

Pero sucede que, en seguridad de la información, el inventario de activos según ISO 27001 es bastante diferente. ¿Qué son los activos para ISO 27001? ¿Por qué son importantes y cómo debemos registrarlos? Este es nuestro tema de hoy.

¿Qué son los activos?

Si iniciamos una búsqueda a través de las diferentes ediciones de la norma sobre gestión de la seguridad de la información, notaremos que en ninguna de ellas se encuentra una definición concreta de lo que significa un activo dentro de un SGSI.

La definición más cercana se encuentra en la revisión de 2005, en donde nos dice que un activo es “cualquier cosa que tenga valor para la organización”. De acuerdo con esto, tendríamos que pensar que un activo, según ISO 27001, es “todo lo que tenga valor para la gestión de la seguridad de la organización”.

Así, podríamos mencionar los siguientes ejemplos de activos para construir un inventario de activos según ISO 27001:

  • Hardware: en esta categoría agrupamos ordenadores de escritorio, ordenadores portátiles, impresoras, tabletas, servidores, teléfonos móviles, dispositivos extraíbles USB, discos externos…
  • Software: hace referencia al software contratado por la organización, pero también a las aplicaciones preinstaladas en los equipos de cómputo e incluso a aplicaciones o desarrollos gratuitos.
  • Información: bases de datos, archivos en cualquier formato, sea de texto, imagen, hoja de cálculo, información almacenada en medios digitales, pero también plasmada en papel u otras formas no digitales.
  • Infraestructura: todo aquello que, en un momento dado, pueda impedir el acceso a la información, deteriorarla o destruirla. Las instalaciones físicas, el servicio de electricidad, aire acondicionado…
  • Recursos Humanos: las personas que tienen la capacidad y los permisos necesarios para modificar la información, pero también aquellos que almacenan información vital para la organización en sus cerebros.
  • Servicios subcontratados: legales, de limpieza, proveedores de Internet, de cuentas de correo electrónico, de mantenimiento y actualización…

¿Por qué es importante gestionar el inventario de activos según ISO 27001?

Nos damos cuenta de que existe una diferencia grande entre el concepto contable de activo y el concepto que maneja ISO 27001. Pero, ¿cuál es la importancia de los activos y por qué es necesario registrarlos y gestionarlos?

La primera razón es que cuando pensamos en la forma de preservar la seguridad de esos activos como una forma de asegurar la integridad de la información, nos damos cuenta de que es la mejor forma de iniciar una evaluación de riesgos. Y aunque ISO 27001 no la solicita como requisito, en la práctica resulta indispensable.

Los inventarios de activos son un elemento clave para la identificación del riesgo. Solo así podremos establecer las amenazas y vulnerabilidades reales a las que está expuesto el sistema.

Otra razón de gran importancia, es que, gracias al registro del inventario de activos según ISO 27001, podemos identificar quién es el responsable del activo y asignar responsabilidades. De esta forma, logramos proteger la confidencialidad, la integridad y la disponibilidad de la información.

¿Cómo construir el #InventarioActivos según #ISO27001. Hoy explicamos cómo hacerlo y la importancia que tiene para el SGSI. Compartir en X

¿Cómo construir el inventario de activos según ISO 27001?

La mejor forma de hacerlo es recorriendo las instalaciones de la organización y entrevistando a los directores de cada área o departamento. En este proceso, la lista que hemos mencionado en el primer apartado de este texto puede convertirse en una checklist de gran ayuda. Los informes contables y de recursos humanos pueden igualmente ser de gran utilidad en esta primera etapa.

Es importante que la construcción del inventario de activos según ISO 27001 sea liderada por la persona que dirige la implementación de la norma en la organización. También debe ir de la mano del director de seguridad de la información en aquellas organizaciones en las que por su tamaño y complejidad existe tal cargo.

Diplomado Implementador de Sistemas de Gestión de Seguridad de la Información con la ISO/IEC 27001:2013

La forma adecuada de gestionar el inventario de activos según ISO 27001, es solo uno de los conocimientos que aprenderán los alumnos del Diplomado Implementador de Sistemas de Gestión de Seguridad de la Información con la ISO/IEC 27001:2013.

Al cursar y aprobar este programa de formación de alta calidad, los estudiantes tendrán a su disposición todas las herramientas, habilidades y competencias, para implementar, pero también para auditar un SGSI, basado en la norma ISO 27001. No se quede fuera de este diplomado, inscríbase aquí.

Leer más

Diferencias entre la evaluación de riesgos y el análisis de brechas en ISO 27001

análisis de brechas en ISO 27001

En la mayoría de los casos de implementación de normas ISO, la diferencia entre la evaluación de riesgos y el análisis de brechas es muy clara. Sin embargo, el análisis de brechas en ISO 27001 llega a confundirse con la evaluación de riesgos, sobre todo si tenemos en cuenta el objetivo común: identificar las deficiencias en la seguridad de la información de la organización.

Pero para entender con claridad cuál es la diferencia entre el análisis de brechas en ISO 27001 y la evaluación de riesgos, según la misma norma, en primer lugar definimos con claridad uno y otra; después  establecemos las diferencias entre ambos.

Leer más
partes interesadas según ISO 27001

Cómo identificar las partes interesadas según ISO 27001

Las partes interesadas según ISO 27001

Una de las cuestiones más importantes, pero a la vez interesantes de la norma sobre gestión de la seguridad de la información, es el requisito de “entender las necesidades y expectativas de las partes interesadas”. Surge, por supuesto, la pregunta inmediata: ¿cuáles son esas partes interesadas según ISO 27001?

En realidad, identificar las partes interesadas según ISO 27001 no es algo tan complejo. Se trata más de atender al sentido común y seguir la ruta de los procesos para identificar quiénes se ven afectados por el sistema.

Leer más

Cursos ISO 27001 – Seguridad de la Información

Cursos ISO 27001

ISO 27001 tiene como principio la adopción de un conjunto de requisitos, procesos y controles destinados a mitigar y gestionar de forma adecuada los riesgos de una organización. Los cursos ISO 27001, ayudan a las organizaciones y a sus profesionales, a comprender la norma, su alcance y a adoptar un modelo de gestión de seguridad de la información consistente.

Leer más