Escuela Europea de Excelencia

Políticas de seguridad informática: qué considerar en la nueva ‘normalidad’

La crisis sanitaria y la “nueva normalidad” imponen condiciones a las organizaciones que las obligan a revisar sus políticas de seguridad informática. El teletrabajo, como un fenómeno real ahora, requiere implementar soluciones de software, reuniones por videoconferencia, almacenamiento en la nube, VPN…

El trabajo remoto, y otras medidas tomadas en el punto más crítico de la emergencia, se propusieron como transitorias, pero hoy entendemos que han llegado para quedarse por un largo tiempo. Esto supone un peligro para las organizaciones, peligro que se puede eludir ajustando las políticas de seguridad informática.

¿Cómo afrontar las auditorías internas en seguridad de la información ISO 27001?

Practicar auditorías internas en seguridad de la información es un requisito de ISO 27001. Esto, de acuerdo con lo determinado en la sección 9 de la norma, que habla sobre criterios de gestión: “la auditoría interna tiene como objetivo la evaluación del desempeño”.

Pero, si revisamos atentamente los controles de ISO 27001, vemos que el control A15.2 solicita que “los gerentes dentro de una organización se aseguren de que se sigan las políticas de seguridad”. Esto suena muy sensato. Pero, ¿cómo podrían los gerentes tener la seguridad de que se siguen las políticas, si no es practicando auditorías internas en seguridad de la información?

Política de seguridad de la información: qué debería contener de acuerdo con ISO 27001

La cláusula 5.2 de la norma ISO 27001 requiere que la alta dirección redacte una política de seguridad de la información. Cumplir con este requisito no es tan difícil cuando se dispone del conocimiento apropiado, pero es preciso asegurarse de que se consideran algunos puntos para poder proporcionar a las partes interesadas la confianza que necesitan. Estas tienen que contar con la certeza de que sus intereses en la seguridad de la información están a salvo.

10 mejores prácticas de ciberseguridad para las organizaciones

La ciberseguridad ocupa un lugar destacado en la lista de preocupaciones de cualquier organización. Adoptar las mejores prácticas de ciberseguridad permite a las organizaciones consolidar una defensa sólida en la lucha contra ataques y vulneraciones informáticas.

Para organizaciones pequeñas es fácil pensar que los ciberdelincuentes no las atacarán. Curiosamente, las grandes organizaciones creen que son lo suficientemente fuertes para resistir con facilidad toda clase de incidencias contra su seguridad informática.

Hacia dónde enfocar la seguridad de la información en una organización

La protección de la información y sus activos asociados es fundamental para la competitividad y la sostenibilidad de las organizaciones actuales. Por ello, es preciso enfocar la seguridad de la información adecuadamente. Pero no es un camino de vía única. Los profesionales en el área sostienen que ese enfoque también puede dirigir la seguridad de la información hacia el cumplimiento y el control interno, haciendo de la gestión un asunto de gobierno corporativo.

Checklist para implementar ISO 27001

Implementar un sistema de gestión de seguridad de la información basado en la norma ISO 27001 siempre requiere su esfuerzo. Pero una checklist para implementar ISO 27001 puede hacer un poco más seguro y simple el camino de la implementación, especialmente en aquellas organizaciones que acaban de comenzar con esta tarea.

Por eso, pensamos que compartir una checklist para implementar ISO 27001, concreta, puntual y de fácil comprensión es una buena ayuda.

Teletrabajo seguro: aplicación de controles de seguridad de la información

El teletrabajo es hoy una opción obligatoria para muchos. La obligatoriedad, sin embargo, no significa que deje de aportar muchos beneficios. Pero para que ello sea así, debe ser un teletrabajo seguro. De lo contrario, puede convertirse en una fuente de riesgos para la seguridad de la información.

ISO 27001 consideró las condiciones de teletrabajo seguro aun antes de la emergencia sanitaria. Actualmente, cuando el teletrabajo se ha convertido en una forma altamente recomendable para operar en muchas organizaciones, es más importante que nunca considerar cuál es la forma de aplicar controles de seguridad para un teletrabajo seguro.

Abordar oportunidades en ISO 27001 mediante la gestión de riesgos

La gestión de riesgos parece estar diseñada para identificar, evaluar y tratar los efectos negativos de las amenazas. Este enfoque, erróneo, ha llevado a que las oportunidades en ISO 27001 no sean consideradas y, por ello, desaprovechadas. De hecho, pasar por alto las oportunidades es un comportamiento usual no solo en el área de seguridad de la información.

En este caso, nos ocupamos específicamente de las oportunidades en ISO 27001 y de la forma adecuada de considerarlas y tratarlas, a la luz de la norma internacional sobre gestión de riesgos ISO 31000.

Información en papel en ISO 27001: ¿hay que considerarla?

En algunas organizaciones existe la creencia de que ISO 27001 es un estándar diseñado para la seguridad de la información almacenada en ordenadores o en formatos digitales. La realidad es que la información en papel en ISO 27001 es considerada con la misma prioridad.

Esto significa que la información en papel en ISO 27001 tiene la misma relevancia que la información digital, sin que esto implique que la norma promueva un determinado formato sobre otro. Por ello, la gestión de riesgos en ISO 27001 también debe considerar los documentos en papel.

Categorías