Escuela Europea de Excelencia

Requerimientos documentales sobre roles y responsabilidades ISO 27001

Los roles y responsabilidades ISO 27001 es un tema tratado en la cláusula 5.3 de la norma. Especialmente, el requisito solicita a la alta dirección que se asegure de que los roles, responsabilidades y autoridades sean claros para el sistema de gestión de seguridad de la información.

Lo que ISO 27001 busca es claridad y un enfoque certero en las partes claves del sistema. Esto implica considerar quién es el responsable de modo general y quién lo es en ciertos procesos concretos o quién responde por las prácticas comerciales… La única y la mejor forma de lograrlo es documentando roles y responsabilidades ISO 27001, de tal forma que no se presenten ambigüedades o confusiones y que todo pueda ser comunicado a las partes interesadas pertinentes.

Hacia dónde enfocar la seguridad de la información en una organización

La protección de la información y sus activos asociados es fundamental para la competitividad y la sostenibilidad de las organizaciones actuales. Por ello, es preciso enfocar la seguridad de la información adecuadamente. Pero no es un camino de vía única. Los profesionales en el área sostienen que ese enfoque también puede dirigir la seguridad de la información hacia el cumplimiento y el control interno, haciendo de la gestión un asunto de gobierno corporativo.

Beneficios de la formación de auditor interno ISO 27001 para la carrera profesional

La importancia creciente de la seguridad de la información y el reconocimiento global de ISO 27001 hace que este sea el mejor momento para considerar la formación de auditor interno ISO 27001 como una oportunidad para impulsar una carrera profesional. Y no solamente es beneficiosa para los profesionales del área, sino también en otros campos como TI, Recursos Humanos, Finanzas, e incluso, el área comercial.

Mientras que las organizaciones pequeñas pueden requerir solo un profesional en este rol, las medianas y grandes pueden llegar a necesitar uno o dos, por departamento. Así, se aumenta la responsabilidad y se reducen los riesgos en materia de seguridad de la información dentro de la organización. Entonces la formación de auditor interno ISO 27001 se vuelve imprescindible.

Por dónde comenzar con ISO 27001

Al igual que sucede con muchos proyectos, comenzar con ISO 27001 es la parte más difícil de la construcción de un sistema de gestión de seguridad de la información. Pero es el principio para obtener la certificación asociada y la garantía de que se está haciendo lo posible por proteger la seguridad de la información de la organización y sus clientes.

Checklist para implementar ISO 27001

Implementar un sistema de gestión de seguridad de la información basado en la norma ISO 27001 siempre requiere su esfuerzo. Pero una checklist para implementar ISO 27001 puede hacer un poco más seguro y simple el camino de la implementación, especialmente en aquellas organizaciones que acaban de comenzar con esta tarea.

Por eso, pensamos que compartir una checklist para implementar ISO 27001, concreta, puntual y de fácil comprensión es una buena ayuda.

Teletrabajo seguro: aplicación de controles de seguridad de la información

El teletrabajo es hoy una opción obligatoria para muchos. La obligatoriedad, sin embargo, no significa que deje de aportar muchos beneficios. Pero para que ello sea así, debe ser un teletrabajo seguro. De lo contrario, puede convertirse en una fuente de riesgos para la seguridad de la información.

ISO 27001 consideró las condiciones de teletrabajo seguro aun antes de la emergencia sanitaria. Actualmente, cuando el teletrabajo se ha convertido en una forma altamente recomendable para operar en muchas organizaciones, es más importante que nunca considerar cuál es la forma de aplicar controles de seguridad para un teletrabajo seguro.

Abordar oportunidades en ISO 27001 mediante la gestión de riesgos

La gestión de riesgos parece estar diseñada para identificar, evaluar y tratar los efectos negativos de las amenazas. Este enfoque, erróneo, ha llevado a que las oportunidades en ISO 27001 no sean consideradas y, por ello, desaprovechadas. De hecho, pasar por alto las oportunidades es un comportamiento usual no solo en el área de seguridad de la información.

En este caso, nos ocupamos específicamente de las oportunidades en ISO 27001 y de la forma adecuada de considerarlas y tratarlas, a la luz de la norma internacional sobre gestión de riesgos ISO 31000.

Técnicas para convencer a la alta dirección para implementar ISO 27001

Los profesionales en seguridad de la información comprenden la importancia que tiene convencer a la alta dirección para implementar ISO 27001, en el propósito de establecer un sistema de gestión estructurado y liderado que se base en las mejores prácticas de seguridad de la información.

Los beneficios de implementar ISO 27001 son muchos. Pero no podemos esperar que esos beneficios sean suficientes por sí mismos para que la alta dirección acepte, lidere e impulse el proyecto. Por supuesto, tener una lista de los beneficios de implementar ISO 27001 es una excelente idea. Pero la forma de comunicarlos es la que marca la diferencia.

Formación clave para afrontar el COVID-19 en las organizaciones

A medida que las organizaciones navegan por la crisis, entienden que lo hacen en aguas profundas y muy extensas. Es entonces cuando empiezan a considerar, entre otros aspectos, cuál es el programa de formación clave para afrontar el COVID-19 que deben adoptar, entre otras medidas, para llegar a buen puerto.

En muchas de estas organizaciones, el área de gestión de riesgos realizó evaluaciones en las que aparecieron los famosos “Cisnes Negros”, eventos de escasa probabilidad de ocurrencia, pero con un devastador impacto negativo.

Seguramente, en estas organizaciones que previeron este tipo de eventos, se habló de la importancia de implementar un programa de formación enfocado en la continuidad del negocio tras la ocurrencia de un evento catastrófico.

Categorías