Escuela Europea de Excelencia

Guía práctica para la implementación de los requisitos de ISO 27001

La implementación de los requisitos de ISO 27001 implica que las organizaciones tienen en cuenta las mejores prácticas, orientaciones y directrices que ofrece el estándar internacional de seguridad de la información, para proteger sus datos y su información, sea cual sea el medio que la contenga.

Esto último es muy importante. Son muchos los profesionales que creen que la implementación de los requisitos de ISO 27001 sólo es pertinente cuando se trata de información en medios digitales, o cuando los riesgos de ataque cibernético o violaciones de seguridad a los ordenadores y redes de la organización son altos.

Importancia de la formación en seguridad de la información en la nueva normalidad

Sabemos que la emergencia sanitaria que aún afecta al planeta, lleva a las organizaciones a adoptar nuevos procesos y nuevas modalidades de trabajo. Por ello, la formación en seguridad de la información adquiere ahora especial interés e importancia.

Muchas organizaciones, siguiendo la tendencia que marca la nueva normalidad, invierten recursos extraordinarios en la implementación de software y soluciones tecnológicas para garantizar la seguridad de su información. Olvidan un elemento clave: la formación en seguridad de la información.

El riesgo de la tecnología va más allá del riesgo cibernético

Las organizaciones son cada vez más conscientes de la importancia del riesgo de la tecnología. Las noticias sobre problemas de seguridad de la información como hackeos, filtraciones de datos, ransomware (secuestro de datos) o ciberataques han crecido exponencialmente en los últimos años.

Según la firma IdentityForce, entre enero y septiembre de 2019, se expusieron 7,9 mil millones de registros, representando un aumento del 33% respecto al año anterior. Una de las violaciones de datos recientes más conocidas, por ejemplo, fue en 2020 el hallazgo de las credenciales de más de 500.000 cuentas de Zoom que estaban a la venta en la conocida como “dark web”.

ISO 27001: términos y condiciones de protección de la información para empleados

En un mundo de transformación digital, negocios móviles, interconectividad y fuerzas de trabajo remotas, hay un elemento que debe ser una prioridad para cualquier organización: la protección de la información para empleados.

Esto no tendría por qué ser una preocupación ya que es cuestión de incluirlo en las políticas y procedimientos sobre Seguridad de la Información. Sin embargo, esto resultaría efectivo sobre los empleados que ya han seguido un proceso de capacitación y formación. Pero ¿cómo garantizar la protección de la información para empleados, cuando estos apenas ingresan en la organización o están en periodo de prueba? ISO 27001 nos aporta orientación valiosa para hacerlo.

¿Cómo afrontar las auditorías internas en seguridad de la información ISO 27001?

Practicar auditorías internas en seguridad de la información es un requisito de ISO 27001. Esto, de acuerdo con lo determinado en la sección 9 de la norma, que habla sobre criterios de gestión: “la auditoría interna tiene como objetivo la evaluación del desempeño”.

Pero, si revisamos atentamente los controles de ISO 27001, vemos que el control A15.2 solicita que “los gerentes dentro de una organización se aseguren de que se sigan las políticas de seguridad”. Esto suena muy sensato. Pero, ¿cómo podrían los gerentes tener la seguridad de que se siguen las políticas, si no es practicando auditorías internas en seguridad de la información?

10 mejoras en ciberseguridad tras la covid-19

Ahora, cuando las organizaciones gozan de un poco de serenidad al comprender y aceptar la nueva realidad, hay un espacio para pensar en la ciberseguridad tras la covid-19. Por cuenta de la emergencia, las organizaciones tuvieron que implementar nuevas modalidades de trabajo y modificar procesos comerciales, sin tener el tiempo necesario para revisar y abordar su infraestructura tecnológica.

Política de seguridad de la información: qué debería contener de acuerdo con ISO 27001

La cláusula 5.2 de la norma ISO 27001 requiere que la alta dirección redacte una política de seguridad de la información. Cumplir con este requisito no es tan difícil cuando se dispone del conocimiento apropiado, pero es preciso asegurarse de que se consideran algunos puntos para poder proporcionar a las partes interesadas la confianza que necesitan. Estas tienen que contar con la certeza de que sus intereses en la seguridad de la información están a salvo.

Cuantificación de riesgos de seguridad de la información para priorizar la inversión en seguridad

Uno de los beneficios clave de la cuantificación de riesgos de seguridad de la información es que permite priorizar los recursos. Esto significa una asignación más eficiente de personas, procesos y presupuestos en torno a las amenazas a la seguridad de la información que representan un mayor impacto o que tienen una mayor probabilidad de ocurrencia.

Al operar bajo la cuantificación de riesgos de seguridad de la información, los encargados de tomar las decisiones obtienen cifras que se pueden comparar en términos financieros y, así, comprenden los problemas y asignan los recursos de la forma más responsable.

10 mejores prácticas de ciberseguridad para las organizaciones

La ciberseguridad ocupa un lugar destacado en la lista de preocupaciones de cualquier organización. Adoptar las mejores prácticas de ciberseguridad permite a las organizaciones consolidar una defensa sólida en la lucha contra ataques y vulneraciones informáticas.

Para organizaciones pequeñas es fácil pensar que los ciberdelincuentes no las atacarán. Curiosamente, las grandes organizaciones creen que son lo suficientemente fuertes para resistir con facilidad toda clase de incidencias contra su seguridad informática.

Categorías