Declaración de Aplicabilidad en ISO 27001

Qué es y para qué sirve la Declaración de Aplicabilidad en ISO 27001

La Declaración de Aplicabilidad en ISO 27001 (Statement of Aplicability SoA ) es un documento previo a la auditoría de certificación. Al igual que el manual de calidad en ISO 9001, en ISO 27001, este documento suele ser subestimado o tratado como un trámite que alguien debe elaborar.

Sin embargo, la Declaración de Aplicabilidad en ISO 27001 tiene gran relevancia. Este documento define el alcance del sistema de gestión de seguridad de la información. Y también se convierte en la guía para el auditor. Por eso, debe existir antes de la auditoría de certificación y, también, antes de la auditoría interna del sistema.

Leer más
Beneficios de implementar ISO 27001

4 beneficios de implementar ISO 27001 para nuevas empresas

Los beneficios de implementar ISO 27001 son notables y adquieren mayor relevancia en las jóvenes organizaciones que conocemos como startups. En la práctica, ISO 27001 es un estándar que incrementa la competitividad en cualquier tipo de empresa; y las nuevas empresas son las que, en general, más la necesitan.

Los beneficios de implementar ISO 27001 derivan de garantizar la seguridad de los datos personales. Ahora este es un tema de gran importancia para las organizaciones y para sus clientes. Por ello, lograr esa seguridad, de cara a esos últimos y a las responsabilidades de la empresa, genera importantes beneficios, más allá de la propia seguridad de la información. De este modo, la implantación de ISO 27001 y contar con la formación necesaria para ello resulta ser una inversión antes que un gasto.

Leer más
capacitación en ISO 27001

Beneficios de la capacitación en ISO 27001 para mejorar la seguridad de las organizaciones

Capacitación en ISO 27001

Una organización funciona como un enorme organismo que está dividido en áreas y departamentos que ejercen su función particular. De este modo, la capacitación en ISO 27001 es uno de los elementos que hace posible que un sistema de gestión de la seguridad de la información funcione como debe y cumpla con su parte dentro de la complejidad del sistema general al que pertenece.

La capacitación en ISO 27001 requiere especial atención, pues gracias a ella, la organización puede garantizar la integridad de uno de los activos comerciales más importantes: la información.

Leer más
controles de seguridad en ISO 27001

El Anexo A y los controles de seguridad en ISO 27001

Dentro de la norma ISO 27001, el Anexo A es el más conocido por ser normativo, lo que indica que su implementación es imprescindible. Y en cuanto a controles de seguridad en ISO 27001 se refiere, constituye una parte esencial, pues presenta una lista de dichos controles que pueden resultar fundamentales para mejorar la protección de la información en las organizaciones.

Usualmente, cuando se hace uso de un documento, los anexos y las referencias bibliográficas son muchas veces desestimados. En el caso de la norma que nos ocupa, esto no debería suceder, pues el Anexo A es normativo y la implementación de los controles que se encuentran en él es obligatoria, de ser aplicables para la organización.

Leer más
activos según ISO 27001

Cómo gestionar el inventario de activos según ISO 27001

Activos según ISO 27001

Quienes tenemos alguna formación en contabilidad, pensamos, en primera instancia, que el inventario de activos según ISO 27001 puede llegar a ser una lista pormenorizada de los ordenadores y dispositivos que la organización dispone para el tratamiento, consulta o registro de la información dentro del sistema de seguridad de la información.

Pero sucede que, en seguridad de la información, el inventario de activos según ISO 27001 es bastante diferente. ¿Qué son los activos para ISO 27001? ¿Por qué son importantes y cómo debemos registrarlos? Este es nuestro tema de hoy.

¿Qué son los activos?

Si iniciamos una búsqueda a través de las diferentes ediciones de la norma sobre gestión de la seguridad de la información, notaremos que en ninguna de ellas se encuentra una definición concreta de lo que significa un activo dentro de un SGSI.

La definición más cercana se encuentra en la revisión de 2005, en donde nos dice que un activo es “cualquier cosa que tenga valor para la organización”. De acuerdo con esto, tendríamos que pensar que un activo, según ISO 27001, es “todo lo que tenga valor para la gestión de la seguridad de la organización”.

Así, podríamos mencionar los siguientes ejemplos de activos para construir un inventario de activos según ISO 27001:

  • Hardware: en esta categoría agrupamos ordenadores de escritorio, ordenadores portátiles, impresoras, tabletas, servidores, teléfonos móviles, dispositivos extraíbles USB, discos externos…
  • Software: hace referencia al software contratado por la organización, pero también a las aplicaciones preinstaladas en los equipos de cómputo e incluso a aplicaciones o desarrollos gratuitos.
  • Información: bases de datos, archivos en cualquier formato, sea de texto, imagen, hoja de cálculo, información almacenada en medios digitales, pero también plasmada en papel u otras formas no digitales.
  • Infraestructura: todo aquello que, en un momento dado, pueda impedir el acceso a la información, deteriorarla o destruirla. Las instalaciones físicas, el servicio de electricidad, aire acondicionado…
  • Recursos Humanos: las personas que tienen la capacidad y los permisos necesarios para modificar la información, pero también aquellos que almacenan información vital para la organización en sus cerebros.
  • Servicios subcontratados: legales, de limpieza, proveedores de Internet, de cuentas de correo electrónico, de mantenimiento y actualización…

¿Por qué es importante gestionar el inventario de activos según ISO 27001?

Nos damos cuenta de que existe una diferencia grande entre el concepto contable de activo y el concepto que maneja ISO 27001. Pero, ¿cuál es la importancia de los activos y por qué es necesario registrarlos y gestionarlos?

La primera razón es que cuando pensamos en la forma de preservar la seguridad de esos activos como una forma de asegurar la integridad de la información, nos damos cuenta de que es la mejor forma de iniciar una evaluación de riesgos. Y aunque ISO 27001 no la solicita como requisito, en la práctica resulta indispensable.

Los inventarios de activos son un elemento clave para la identificación del riesgo. Solo así podremos establecer las amenazas y vulnerabilidades reales a las que está expuesto el sistema.

Otra razón de gran importancia, es que, gracias al registro del inventario de activos según ISO 27001, podemos identificar quién es el responsable del activo y asignar responsabilidades. De esta forma, logramos proteger la confidencialidad, la integridad y la disponibilidad de la información.

¿Cómo construir el #InventarioActivos según #ISO27001. Hoy explicamos cómo hacerlo y la importancia que tiene para el SGSI. Clic para tuitear

¿Cómo construir el inventario de activos según ISO 27001?

La mejor forma de hacerlo es recorriendo las instalaciones de la organización y entrevistando a los directores de cada área o departamento. En este proceso, la lista que hemos mencionado en el primer apartado de este texto puede convertirse en una checklist de gran ayuda. Los informes contables y de recursos humanos pueden igualmente ser de gran utilidad en esta primera etapa.

Es importante que la construcción del inventario de activos según ISO 27001 sea liderada por la persona que dirige la implementación de la norma en la organización. También debe ir de la mano del director de seguridad de la información en aquellas organizaciones en las que por su tamaño y complejidad existe tal cargo.

Diplomado Implementador de Sistemas de Gestión de Seguridad de la Información con la ISO/IEC 27001:2013

La forma adecuada de gestionar el inventario de activos según ISO 27001, es solo uno de los conocimientos que aprenderán los alumnos del Diplomado Implementador de Sistemas de Gestión de Seguridad de la Información con la ISO/IEC 27001:2013.

Al cursar y aprobar este programa de formación de alta calidad, los estudiantes tendrán a su disposición todas las herramientas, habilidades y competencias, para implementar, pero también para auditar un SGSI, basado en la norma ISO 27001. No se quede fuera de este diplomado, inscríbase aquí.

Leer más