Escuela Europea de Excelencia

Política de cumplimiento de TI: qué es y qué debería incluir

La política de cumplimiento de TI es ante todo un documento hecho para promover, impulsar y expresar la importancia de respetar y acatar las exigencias regulatorias sobre protección de datos e información de clientes, proveedores u otros terceros de la organización.

El incumplimiento de las diversas regulaciones sobre protección de datos y de información privada, cada vez más estrictas, impacta a las organizaciones en sus finanzas. Multas y sanciones se producen en todas las industrias a diario. En Europa, muchas organizaciones aún encuentran dificultades para cumplir con las regulaciones contenidas en el Reglamento General de Protección de Datos.

Cumplimiento de seguridad de la información: qué incluir en la lista de verificación de revisión...

El Cumplimiento de Seguridad de la Información se revisa cada año. Periodos de tiempo más extensos supone permitir que problemas susceptibles de ser corregidos a tiempo avancen hasta convertirse en graves afectaciones. Revisar el Cumplimiento de Seguridad de la Información dos o tres veces en el año implica un desgaste innecesario para las personas encargadas y para los propietarios de procesos que deben enfrentar la revisión.

La revisión, por otra parte, no sustituye la auditoría. Por el contrario, se hace porque es un requisito de ISO 27001 y el auditor verificará la conformidad. Con un año para preparar el examen no deberían existir dudas sobre lo que se pretende revisar.

Seguridad de la información para proveedores: qué cláusulas incluir en los contratos

Hablar de seguridad de la información para proveedores es ahora tan común en el ámbito de la Alta Dirección de una organización, como hablar de la posibilidad de incursionar en un mercado en ultramar o sobre el riesgo que representa un determinado competidor en el mercado local.

La razón es clara y contundente: en un mundo globalizado, en el que la especialización es una oportunidad y una gran ventaja comparativa, los proveedores se convierten en aliados estratégicos de alto valor para cualquier negocio.

Desglosando los controles de ISO/IEC 27001 del Anexo A para una mejor comprensión

Los controles de ISO/IEC 27001, agrupados en el Anexo A de la norma, conforman una guía práctica sobre cómo gestionar amenazas y prevenir riesgos de Seguridad de la Información en el acontecer diario de una organización.

Nada es más concreto y realizable en el quehacer diario que los controles de ISO/IEC 27001. El objetivo de este Anexo es recopilar los controles que necesita la organización para proteger sus activos de información y su información sensible, así como la de sus terceros.

Gestión de activos según ISO 27001: cómo administrar un inventario de activos

Para cumplir con lo solicitado sobre gestión de activos según ISO 27001 es preciso hacer algo más que crear un registro o inventario de activos. Es necesario, además de entender con claridad el concepto de activo, dominar el funcionamiento de los controles 9, 10 y 11 del anexo A, que son los que definen la gestión de activos según ISO 27001.

Segregación de funciones en ISO 27001: de qué trata el control 5.3 de la norma

La segregación de funciones en ISO 27001 es uno de los controles (A.6.1.2) del Anexo A, versión 2013. La edición del año 2022 clasifica la segregación, en el mismo Anexo A, bajo la nomenclatura A.5.3.

La segregación de funciones en ISO 27001 genera cierta inquietud entre los profesionales del área de Seguridad de la Información, o de áreas transversales a esta, como TI.

Documentos obligatorios en ISO/IEC 27001: por qué son importantes y cuáles son requeridos

Los documentos obligatorios en ISO/IEC 27001 ocupan ocupan un lugar privilegiado en la lista de verificación del auditor encargado de evaluar un Sistema de Gestión de Seguridad de la Información basado en este estándar.

Este énfasis en la documentación es una respuesta a la creciente preocupación de las organizaciones por la seguridad de su información. Las brechas de seguridad y las violaciones de privacidad no solo tienen un impacto financiero significativo, sino que también pueden dañar irreparablemente la reputación de una entidad.

Auditoría interna ISO 27001: los 10 pasos a seguir para realizarla

Las organizaciones que se preparan para afrontar la auditoría de certificación pueden caer en el error de pasar por alto la auditoría interna ISO 27001. Este tipo de evaluación aporta dos valores importantes: preparación para la auditoría de certificación y cumplimiento de los requisitos de la norma ISO 27001.

De hecho, lo que se espera es que el equipo que trabaja en la implementación y certificación programe y efectúe más de una auditoría interna ISO 27001. Cuantas más se realicen, mejores oportunidades tendrán los Sistemas de Gestión de Seguridad de la Información para obtener el certificado.

¿Cómo prevenir fugas de datos confidenciales a través de herramientas de IA?

Prevenir fugas de datos es una tarea que ahora enfrenta un nuevo desafío: el uso de herramientas de Inteligencia Artificial. Este tipo de herramientas resuelven muchos problemas, aumentan la productividad y la eficiencia y ofrecen muchas posibilidades, hasta ahora no imaginadas.

Pero, tantas maravillas tienen un óbice: es preciso alimentar estas herramientas con fuentes de información sensible y usualmente privada, como contratos, manuales de procedimientos, fórmulas, códigos, datos personales, entre otros, que usualmente son el objetivo de la gestión para prevenir fugas de datos.

Categorías