Definir e implementar objetivos de seguridad de la información es un requisito contenido en la cláusula 6.2 de la norma ISO 27001, titulada “Objetivos y planificación de la seguridad de la información”.
Esto significa que la organización debe establecer objetivos de seguridad de la información para cada una de sus áreas y de sus niveles, pero también diseñar planes para alcanzar esos objetivos.
A partir de la entrada en vigor de regulaciones como el Reglamento General de Protección de Datos de la UE, y otras normativas de seguridad de la información en diferentes regiones del planeta, cobra importancia la Evaluación de Impacto de la Protección de Datos.
El cumplimiento con RGPD, con otras normativas que persiguen similares objetivos o con estándares internacionales como ISO 27001, mueve a las organizaciones y a los profesionales en el área, a practicar evaluaciones de riesgos. Entre ellas, la Evaluación de Impacto de la Protección de Datos.
Los profesionales que inician el proyecto de implementar ISO 27001 y un Sistema de Gestión de Seguridad de la Información siguen un camino para acometer la tarea que empieza por obtener el apoyo de la Alta Dirección.
Para este primer paso es necesario presentar un plan de trabajo en el que se determinan los recursos que demandará el proyecto y los objetivos que se pretende alcanzar. Se trata de un principio elemental de coste-beneficio. La Alta Dirección necesita apreciar con claridad cuánto costará y qué beneficios aportará implementar ISO 27001.
El análisis GAP ISO 27001 es una evaluación indispensable para las organizaciones que buscan seguridad y protección para sus activos de información, sean estos digitales, en papel o en otro medio.
ISO 27001 es el estándar internacional utilizado como punto de referencia para implementar, mantener y certificar un Sistema de Gestión de Seguridad de la Información eficaz. El trabajo de implementación que conducirá a la certificación, inicia con el análisis GAP ISO 27001.
Los profesionales en Seguridad de la Información encuentran un problema recurrente en sus organizaciones: la ausencia de programas adecuados de formación en ISO 27001. Obstáculo que genera dificultades de comunicación y de comprensión y aceptación de políticas y procedimientos.
El resultado previsible es incumplimiento de las normas y aumento del riesgo de infracciones graves. La solución, adoptar un ciclo de formación en ISO 27001, que cumpla con el propósito de capacitar y concienciar a los empleados, pero también a la Alta Dirección y a los gerentes y directores de área.
La formación de auditor ISO 27001 tiene entre otros importantes objetivos, el de proveer a las organizaciones profesionales con la capacidad para comprobar y verificar que se han tomado las decisiones y se han ejecutado las acciones apropiadas para implementar un Sistema de Gestión de Seguridad de la Información eficaz, conforme con los requisitos de ISO 27001.
Tal comprobación solo es posible realizando auditorías internas al sistema. Esto requiere profesionales objetivos e imparciales, y es aquí donde surge la necesidad de contar con programas de formación de auditor ISO 27001 certificados, actualizados e impartidos por profesionales reconocidos a nivel internacional.
Certificar ISO 27001 parece ser el camino natural a seguir tras implementar y auditar un Sistema de Gestión de la Seguridad de la Información. Sin embargo, no siempre es una prioridad para algunos profesionales en este área, sobre todo para aquellos que depositan toda su confianza en controles cibernéticos propios del área de TI.
Pero, ¿cómo se gestiona la seguridad de otro tipo de información? Información en papel, datos suministrados de forma verbal o telefónica… ¿quedan fuera de la efectividad que pueden representar los controles de TI?
Transcurrida casi una década desde la última actualización de ISO 27001 y tras la reciente revisión de la guía de controles de seguridad de la información ISO 27002, se espera la nueva versión de la norma para octubre de 2022.
Así, con vistas a la próxima actualización de ISO 27001, los profesionales en el área, expertos en TI, organizaciones y otras partes interesadas deben prepararse para renovar y poner al día los Sistemas de Gestión de Seguridad de la Información.
Si te preguntas cuáles serán los cambios que introducirá la versión final de la actualización de ISO 27001 y cómo se relacionan con ISO 27002, a continuación, respondemos a las preguntas más frecuentes.
Desde 2018, el cumplimiento de GDPR o RGPD –Reglamento General de Protección de Datos- figura en la agenda de las organizaciones, y de forma particular en la de los directores de TI y los profesionales encargados de la Seguridad de la Información.
Algunas organizaciones, tras cuatro años de entrada en vigor del Reglamento aún encuentran dificultades para garantizar el cumplimiento de GDPR. Pero existen marcos de trabajo que pueden ayudar a allanar el camino. El estándar internacional para la Seguridad de la Información, ISO 27001, tiene mucho en común con GDPR, y a diferencia del Reglamento ofrece claras instrucciones sobre cómo cumplir con los requisitos.
NEWSLETTER
Suscríbete a la newsletter y recibe semanalmente, además de artículos de interés sobre los sistemas de gestión ISO y habilidades directivas, descuentos especiales en nuestros cursos.
* Todos los campos requeridos
