evaluación de riesgos basada en activos en ISO 27001

Cómo realizar una evaluación de riesgos basada en activos en ISO 27001

La evaluación de riesgos basada en activos en ISO 27001 es una de las formas que tienen a sus disposición las organizaciones que han adoptado el estándar internacional para identificar amenazas relevantes para los objetivos de seguridad de la información. Otra forma de llevarlo a cabo sería la evaluación de amenazas basada en escenarios.

La evaluación de riesgos basada en activos en ISO 27001 se diferencia de la evaluación basada en escenarios, en que se enfoca en los dispositivos, ordenadores, software, bases de datos e, incluso, estructuras destinadas al almacenamiento de documentos en papel y, por supuesto, algunas personas. En tanto que la segunda, la evaluación de escenarios, se enfoca en los hechos o circunstancias que, en su conjunto, conforman un marco proclive a la generación de riesgos para la seguridad de la información.

Leer más
Cumplimiento en ciberseguridad

Cumplimiento en ciberseguridad: cómo lograr una ventaja competitiva a largo plazo

La Transformación Digital y la Digitalización de los Sistemas de Gestión son una constante hoy en día en las organizaciones. Sin embargo, una huella digital cada vez mayor obliga a garantizar el Cumplimiento en Ciberseguridad para prevenir el impacto de amenazas en constante evolución.

El Cumplimiento en Ciberseguridad fue en un tiempo una sofisticación propia de organizaciones del sector financiero. Hoy es una necesidad para todas. Una estrategia de seguridad cibernética, además del beneficio obvio de la defensa contra amenazas cada vez más lesivas, protege todo un ecosistema digital, pero también ofrece una ventaja competitiva.

Leer más
Cumplimiento en ISO 27001

Cumplimiento en ISO 27001: consejos para mantener el cumplimiento de la norma de seguridad de...

Mantener el cumplimiento en ISO 27001 es el reto tras implementar y certificar el SGSI. Es en ese momento cuando inicia el verdadero trabajo de gestión y control para los profesionales en el área de Seguridad de la Información.

La buena noticia es que en la norma, y en la documentación que se ha realizado para implementar el SGSI, se encuentran las instrucciones sobre lo que hay que hacer y en qué puntos concentrar la atención.

Leer más
ISO 27701

El futuro de la privacidad: ISO 27701 de Gestión de Información de Privacidad

En 2019, la Organización Internacional de Normalización y la Comisión Electrotécnica Internacional IEC, trabajaron en el proyecto de un nuevo estándar que hoy se conoce como ISO 27701. El objetivo principal de este trabajo era ofrecer a las organizaciones un nuevo elemento para potenciar la capacidad de la ya reconocida ISO 27001, para cumplir con lo dispuesto en normativas como GDPR.

Hoy, tres años más tarde, ISO 27701 se constituye en el pilar para muchas organizaciones que esperan, de la mano de ISO 27001, alcanzar la conformidad con GPDR. Pero lo cierto es que a pesar de haber sido publicada hace tres años, la norma ISO 27701:2019 no ha tenido la difusión esperada.

Leer más
seguridad informática en las organizaciones

Por qué priorizar la seguridad informática en las organizaciones

seguridad informática en las organizacionesLa seguridad informática en las organizaciones debe ser priorizada, porque así se salvaguarda uno de los activos más importantes para la empresa -la información-, pero también porque entra en juego la credibilidad y la confianza que se transmite a distintas partes interesadas. Nadie deseará hacer negocios con una organización que no sitúa en primer lugar la protección de los datos y la información de sus clientes, de sus aliados comerciales o incluso, de sus empleados y socios.

Priorizar la seguridad informática en las organizaciones es una responsabilidad, en primera instancia, de la Alta Dirección. Responsabilidad que puede ser compartida por el área de TI, así como directores y gerentes en lugares clave de la organización.

Leer más
Certificación de auditor líder ISO 27001

Certificación de auditor líder ISO 27001: tipos de pruebas y experiencia requerida para obtenerla

La certificación de auditor líder ISO 27001 demuestra que un profesional en el área de seguridad de la información, posee los conocimientos, la experiencia y las habilidades necesarias para dirigir un equipo de auditores que evaluará un Sistema de Gestión, bien sea para ser certificado o para confirmar su eficacia.

Pero otras tareas también podrían requerir la certificación de auditor líder ISO 27001: dirigir equipos de auditoría en organizaciones de gran tamaño, que cuentan con instalaciones en varios países o continentes, es una de ellas. Las auditorías de terceros o evaluaciones que por el objetivo específico que se persigue resulten especialmente complejas, igualmente deben ser dirigidas por un auditor líder certificado en la norma ISO 27001.

Leer más

Guía práctica para la implementación de los requisitos de ISO 27001

La implementación de los requisitos de ISO 27001 implica que las organizaciones tienen en cuenta las mejores prácticas, orientaciones y directrices que ofrece el estándar internacional de seguridad de la información, para proteger sus datos y su información, sea cual sea el medio que la contenga.

Esto último es muy importante. Son muchos los profesionales que creen que la implementación de los requisitos de ISO 27001 sólo es pertinente cuando se trata de información en medios digitales, o cuando los riesgos de ataque cibernético o violaciones de seguridad a los ordenadores y redes de la organización son altos.

Leer más
formación en seguridad de la información

Importancia de la formación en seguridad de la información en la nueva normalidad

formación en seguridad de la informaciónSabemos que la emergencia sanitaria que aún afecta al planeta, lleva a las organizaciones a adoptar nuevos procesos y nuevas modalidades de trabajo. Por ello, la formación en seguridad de la información adquiere ahora especial interés e importancia.

Muchas organizaciones, siguiendo la tendencia que marca la nueva normalidad, invierten recursos extraordinarios en la implementación de software y soluciones tecnológicas para garantizar la seguridad de su información. Olvidan un elemento clave: la formación en seguridad de la información.

Leer más
protección de la información para empleados

ISO 27001: términos y condiciones de protección de la información para empleados

protección de la información para empleados

En un mundo de transformación digital, negocios móviles, interconectividad y fuerzas de trabajo remotas, hay un elemento que debe ser una prioridad para cualquier organización: la protección de la información para empleados.

Esto no tendría por qué ser una preocupación ya que es cuestión de incluirlo en las políticas y procedimientos sobre Seguridad de la Información. Sin embargo, esto resultaría efectivo sobre los empleados que ya han seguido un proceso de capacitación y formación. Pero ¿cómo garantizar la protección de la información para empleados, cuando estos apenas ingresan en la organización o están en periodo de prueba? ISO 27001 nos aporta orientación valiosa para hacerlo.

Leer más