Al igual que sucede con muchos proyectos, comenzar con ISO 27001 es la parte más difícil de la construcción de un sistema de gestión de seguridad de la información. Pero es el principio para obtener la certificación asociada y la garantía de que se está haciendo lo posible por proteger la seguridad de la información de la organización y sus clientes.
La gestión de riesgos parece estar diseñada para identificar, evaluar y tratar los efectos negativos de las amenazas. Este enfoque, erróneo, ha llevado a que las oportunidades en ISO 27001 no sean consideradas y, por ello, desaprovechadas. De hecho, pasar por alto las oportunidades es un comportamiento usual no solo en el área de seguridad de la información.
En este caso, nos ocupamos específicamente de las oportunidades en ISO 27001 y de la forma adecuada de considerarlas y tratarlas, a la luz de la norma internacional sobre gestión de riesgos ISO 31000.
Los profesionales en seguridad de la información comprenden la importancia que tiene convencer a la alta dirección para implementar ISO 27001, en el propósito de establecer un sistema de gestión estructurado y liderado que se base en las mejores prácticas de seguridad de la información.
Los beneficios de implementar ISO 27001 son muchos. Pero no podemos esperar que esos beneficios sean suficientes por sí mismos para que la alta dirección acepte, lidere e impulse el proyecto. Por supuesto, tener una lista de los beneficios de implementar ISO 27001 es una excelente idea. Pero la forma de comunicarlos es la que marca la diferencia.
Como era de esperar, la entrada en vigor del GDPR – Reglamento General de Protección de Datos – ha creado la demanda de un puesto específico: el oficial de protección de datos GDPR, conocido también como DPO por sus siglas en inglés. Como también era de esperar, para cumplir sus funciones una de las opciones más habituales es recurrir al profesional en seguridad de la información.
Implementar un Sistema de Gestión de Seguridad de la Información es una cosa. Obtener una certificación ISO 27001 acreditada, es otra, y otra muy diferente es obtener una certificación no acreditada.
Se trata de tres estados diferentes de un mismo proceso, pero que, en la práctica, presentan notables diferencias. ¿Qué diferencia la certificación ISO acreditada de las otras dos opciones? Lo analizamos a continuación.
En uno de nuestros contenidos recientes, hablamos de los 6 pasos básicos en la gestión de riesgos en ISO 27001. En el cuarto paso de dicho proceso, nos referíamos a la evaluación de los riesgos y comentábamos que “se deberá medir cada uno de los riesgos frente a sus niveles predeterminados de aceptabilidad”. Pues bien, para abordar ese punto, es necesario elegir un método de evaluación. Y eso nos lleva a tener que escribir la metodología de evaluación de riesgos en ISO 27001 que decidimos emplear.
ISO 27001 es un estándar de gestión de riesgos de seguridad de la información universalmente compatible, diseñado para guiar la selección de controles adecuados y pensados para proteger la información en las organizaciones.
Este estándar se comporta como un paraguas sobre otros requisitos legales, aborda controles técnicos, físicos y regulatorios en los procesos de gestión de riesgos de seguridad de la información.
Como en cualquier sistema de gestión ISO, existe una documentación en ISO 27001 con la que debe contarse para mantener la conformidad con el estándar. Del mismo modo, hay documentos que, sin ser obligatorios, pueden ayudar al desarrollo del sistema de gestión de seguridad de la información.
En ocasiones puede resultar complicado tener claro cuáles son los documentos y registros necesarios. A continuación, para aclarar esta cuestión, ofrecemos un listado de la documentación en ISO 27001 obligatoria. Y también, presentamos otro listado de aquellos documentos que pueden ser de utilidad para su sistema.
La clasificación de la información según ISO 27001 es un proceso en el que la organización evalúa los datos que posee y el nivel de protección que cada uno requiere. Se trata de uno de los aspectos más complejos, pero sin duda más interesantes, en la gestión de la seguridad de la información.
NEWSLETTER
Suscríbete a la newsletter y recibe semanalmente, además de artículos de interés sobre los sistemas de gestión ISO y habilidades directivas, descuentos especiales en nuestros cursos.
* Todos los campos requeridos
