Escuela Europea de Excelencia

ISO 27001: Cómo escribir la metodología de evaluación de riesgos

En uno de nuestros contenidos recientes, hablamos de los 6 pasos básicos en la gestión de riesgos en ISO 27001. En el cuarto paso de dicho proceso, nos referíamos a la evaluación de los riesgos y comentábamos que “se deberá medir cada uno de los riesgos frente a sus niveles predeterminados de aceptabilidad”. Pues bien, para abordar ese punto, es necesario elegir un método de evaluación. Y eso nos lleva a tener que escribir la metodología de evaluación de riesgos en ISO 27001 que decidimos emplear.

¿Cómo funciona la seguridad de la información en ISO 27001?

ISO 27001 es un estándar de gestión de riesgos de seguridad de la información universalmente compatible, diseñado para guiar la selección de controles adecuados y pensados para proteger la información en las organizaciones.

Este estándar se comporta como un paraguas sobre otros requisitos legales, aborda controles técnicos, físicos y regulatorios en los procesos de gestión de riesgos de seguridad de la información.

Listado de amenazas y vulnerabilidades en ISO 27001

Las amenazas y vulnerabilidades en ISO 27001 son tratadas en el capítulo 8 de la norma. Su correcta identificación es un aspecto clave de un sistema de seguridad de la información dentro del proceso de evaluación de riesgos. Amenazas y vulnerabilidades en ISO 27001 van de la mano y, por esa razón, se abordan en un mismo capítulo y deben ser consideradas en su conjunto. Sin embargo, entre unas y otras existe una diferencia que no siempre es muy clara, sobre todo para los neófitos en la materia.

Documentación en ISO 27001: obligatoria y no obligatoria

Como en cualquier sistema de gestión ISO, existe una documentación en ISO 27001 con la que debe contarse para mantener la conformidad con el estándar. Del mismo modo, hay documentos que, sin ser obligatorios, pueden ayudar al desarrollo del sistema de gestión de seguridad de la información.

En ocasiones puede resultar complicado tener claro cuáles son los documentos y registros necesarios. A continuación, para aclarar esta cuestión, ofrecemos un listado de la documentación en ISO 27001 obligatoria. Y también, presentamos otro listado de aquellos documentos que pueden ser de utilidad para su sistema.

7 formas de mejorar las auditorías internas en ISO 27001

Realizar auditorías internas en ISO 27001 es un requisito obligatorio para las organizaciones que han adoptado este estándar internacional para la seguridad de la información. Aún después de haber conseguido la certificación, el mantenimiento y la mejora son elementos esenciales del cumplimiento de la norma. Y las auditorías son la herramienta idónea para lograrlo.

Por ello, y especialmente cuando se planean auditorías internas en ISO 27001 por primera vez, contar con algunos consejos para mejorarlas puede resultar muy útil.

Qué incluir en una política de acceso remoto ISO 27001

El acceso remoto representa un verdadero reto para los directores de TI, que ven en ello un riesgo latente de seguridad y hacia el cumplimiento de ISO 27001. La política de acceso remoto ISO 27001 es la que protege de ese riesgo y cobra así especial importancia. Por ello, analizamos este documento y a detallamos los elementos que deben estar presentes en él.

Requisitos de ISO 27001 para Seguridad de la Información

Requisitos de ISO 27001

Cuando hablamos de seguridad de la información inevitablemente hacemos referencia a los requisitos de ISO 27001. Este es el estándar internacional para un sistema de gestión de seguridad de la información y sus requisitos están contenidos en una estructura divida en 10 capítulos, común a otras normas ISO que gozan de gran aceptación en el mundo corporativo, como ISO 9001, ISO 14001 o ISO 45001.

4 beneficios de implementar ISO 27001 para nuevas empresas

Los beneficios de implementar ISO 27001 son notables y adquieren mayor relevancia en las jóvenes organizaciones que conocemos como startups. En la práctica, ISO 27001 es un estándar que incrementa la competitividad en cualquier tipo de empresa; y las nuevas empresas son las que, en general, más la necesitan.

Los beneficios de implementar ISO 27001 derivan de garantizar la seguridad de los datos personales. Ahora este es un tema de gran importancia para las organizaciones y para sus clientes. Por ello, lograr esa seguridad, de cara a esos últimos y a las responsabilidades de la empresa, genera importantes beneficios, más allá de la propia seguridad de la información. De este modo, la implantación de ISO 27001 y contar con la formación necesaria para ello resulta ser una inversión antes que un gasto.

Por qué una organización debería obtener la certificación en ISO 27001

Certificación en ISO 27001

Actualizada en 2013, ISO 27001 es la norma internacional que trata de la seguridad de la información. Sin embargo, no todos saben que la certificación en ISO 27001 no es obligatoria. El objetivo primordial de la norma es contribuir a la protección de la confidencialidad, integridad y disponibilidad de la información de una organización, antes que disponer de un alto número de certificados.

Certificación en ISO 27001

Categorías