Practicar auditorías internas en seguridad de la información es un requisito de ISO 27001. Esto, de acuerdo con lo determinado en la sección 9 de la norma, que habla sobre criterios de gestión: “la auditoría interna tiene como objetivo la evaluación del desempeño”. Pero, si revisamos atentamente los controles de ISO 27001, vemos que el...
La ciberseguridad ocupa un lugar destacado en la lista de preocupaciones de cualquier organización. Adoptar las mejores prácticas de ciberseguridad permite a las organizaciones consolidar una defensa sólida en la lucha contra ataques y vulneraciones informáticas. Para organizaciones pequeñas es fácil pensar que los ciberdelincuentes no las atacarán. Curiosamente, las grandes organizaciones creen que son...
Uno de los requisitos de un sistema de gestión de seguridad de la información es la práctica regular de una auditoría interna ISO 27001. Esta auditoría, de acuerdo con la sección 9 de la norma, tiene como objetivo la evaluación del desempeño del sistema. En otras palabras, la auditoría interna ISO 27001 proporciona la...
Proteger la información en el teletrabajo es el desafío que afrontan los profesionales en el área de seguridad de la información, especialmente durante esta nueva normalidad. La transición al entorno de trabajo desde casa ha provocado un aumento de los ciberataques a las organizaciones, lo que exige respuestas eficaces. Son muchas las acciones que se...
Al igual que sucede con muchos proyectos, comenzar con ISO 27001 es la parte más difícil de la construcción de un sistema de gestión de seguridad de la información. Pero es el principio para obtener la certificación asociada y la garantía de que se está haciendo lo posible por proteger la seguridad de la información de la...
La gestión de riesgos parece estar diseñada para identificar, evaluar y tratar los efectos negativos de las amenazas. Este enfoque, erróneo, ha llevado a que las oportunidades en ISO 27001 no sean consideradas y, por ello, desaprovechadas. De hecho, pasar por alto las oportunidades es un comportamiento usual no solo en el área de seguridad de la información. En...
Los profesionales en seguridad de la información comprenden la importancia que tiene convencer a la alta dirección para implementar ISO 27001, en el propósito de establecer un sistema de gestión estructurado y liderado que se base en las mejores prácticas de seguridad de la información. Los beneficios de implementar ISO 27001 son muchos. Pero no podemos esperar que...
Como era de esperar, la entrada en vigor del GDPR – Reglamento General de Protección de Datos – ha creado la demanda de un puesto específico: el oficial de protección de datos GDPR, conocido también como DPO por sus siglas en inglés. Como también era de esperar, para cumplir sus funciones una de las opciones más...
Implementar un Sistema de Gestión de Seguridad de la Información es una cosa. Obtener una certificación ISO 27001 acreditada, es otra, y otra muy diferente es obtener una certificación no acreditada. Se trata de tres estados diferentes de un mismo proceso, pero que, en la práctica, presentan notables diferencias. ¿Qué diferencia la certificación ISO acreditada de las otras...
En uno de nuestros contenidos recientes, hablamos de los 6 pasos básicos en la gestión de riesgos en ISO 27001. En el cuarto paso de dicho proceso, nos referíamos a la evaluación de los riesgos y comentábamos que “se deberá medir cada uno de los riesgos frente a sus niveles predeterminados de aceptabilidad”. Pues bien,...
