Escuela Europea de Excelencia

Cuantificación de riesgos de seguridad de la información para priorizar la inversión en seguridad

Uno de los beneficios clave de la cuantificación de riesgos de seguridad de la información es que permite priorizar los recursos. Esto significa una asignación más eficiente de personas, procesos y presupuestos en torno a las amenazas a la seguridad de la información que representan un mayor impacto o que tienen una mayor probabilidad de ocurrencia.

Al operar bajo la cuantificación de riesgos de seguridad de la información, los encargados de tomar las decisiones obtienen cifras que se pueden comparar en términos financieros y, así, comprenden los problemas y asignan los recursos de la forma más responsable.

10 mejores prácticas de ciberseguridad para las organizaciones

La ciberseguridad ocupa un lugar destacado en la lista de preocupaciones de cualquier organización. Adoptar las mejores prácticas de ciberseguridad permite a las organizaciones consolidar una defensa sólida en la lucha contra ataques y vulneraciones informáticas.

Para organizaciones pequeñas es fácil pensar que los ciberdelincuentes no las atacarán. Curiosamente, las grandes organizaciones creen que son lo suficientemente fuertes para resistir con facilidad toda clase de incidencias contra su seguridad informática.

Conducir una auditoría interna ISO 27001

Uno de los requisitos de un sistema de gestión de seguridad de la información es la práctica regular de una auditoría interna ISO 27001. Esta auditoría, de acuerdo con la sección 9 de la norma, tiene como objetivo la evaluación del desempeño del sistema. En otras palabras, la auditoría interna ISO 27001 proporciona la evidencia de que el sistema es fiable y sus resultados están alineados con los objetivos propuestos, y además es el centro del que parte la mejora continua.

¿Cómo proteger la información en el teletrabajo?: Checklist de ciberamenazas

Proteger la información en el teletrabajo es el desafío que afrontan los profesionales en el área de seguridad de la información, especialmente durante esta nueva normalidad. La transición al entorno de trabajo desde casa ha provocado un aumento de los ciberataques a las organizaciones, lo que exige respuestas eficaces.

Son muchas las acciones que se pueden tomar para proteger la información en el teletrabajo. De hecho, aunque ISO 27001 fue publicada mucho antes de conocer las condiciones a las que nos enfrentaría la emergencia sanitaria, ya prevé requisitos y controles útiles para este propósito.

Auditoría externa de un proveedor subcontratado en ISO 27001

Los controles de ISO 27001 plantean la auditoría externa de un proveedor como herramienta para verificar y asegurar la conformidad con los requisitos del estándar en toda la cadena de suministro. Las organizaciones tienen dos opciones para realizar esta auditoría del proveedor: llevarla a cabo por su propia cuenta o contratar a un consultor externo que ambas partes reconozcan.

Requerimientos documentales sobre roles y responsabilidades ISO 27001

Los roles y responsabilidades ISO 27001 es un tema tratado en la cláusula 5.3 de la norma. Especialmente, el requisito solicita a la alta dirección que se asegure de que los roles, responsabilidades y autoridades sean claros para el sistema de gestión de seguridad de la información.

Lo que ISO 27001 busca es claridad y un enfoque certero en las partes claves del sistema. Esto implica considerar quién es el responsable de modo general y quién lo es en ciertos procesos concretos o quién responde por las prácticas comerciales… La única y la mejor forma de lograrlo es documentando roles y responsabilidades ISO 27001, de tal forma que no se presenten ambigüedades o confusiones y que todo pueda ser comunicado a las partes interesadas pertinentes.

Hacia dónde enfocar la seguridad de la información en una organización

La protección de la información y sus activos asociados es fundamental para la competitividad y la sostenibilidad de las organizaciones actuales. Por ello, es preciso enfocar la seguridad de la información adecuadamente. Pero no es un camino de vía única. Los profesionales en el área sostienen que ese enfoque también puede dirigir la seguridad de la información hacia el cumplimiento y el control interno, haciendo de la gestión un asunto de gobierno corporativo.

Beneficios de la formación de auditor interno ISO 27001 para la carrera profesional

La importancia creciente de la seguridad de la información y el reconocimiento global de ISO 27001 hace que este sea el mejor momento para considerar la formación de auditor interno ISO 27001 como una oportunidad para impulsar una carrera profesional. Y no solamente es beneficiosa para los profesionales del área, sino también en otros campos como TI, Recursos Humanos, Finanzas, e incluso, el área comercial.

Mientras que las organizaciones pequeñas pueden requerir solo un profesional en este rol, las medianas y grandes pueden llegar a necesitar uno o dos, por departamento. Así, se aumenta la responsabilidad y se reducen los riesgos en materia de seguridad de la información dentro de la organización. Entonces la formación de auditor interno ISO 27001 se vuelve imprescindible.

Por dónde comenzar con ISO 27001

Al igual que sucede con muchos proyectos, comenzar con ISO 27001 es la parte más difícil de la construcción de un sistema de gestión de seguridad de la información. Pero es el principio para obtener la certificación asociada y la garantía de que se está haciendo lo posible por proteger la seguridad de la información de la organización y sus clientes.

Categorías