roles y responsabilidades ISO 27001

Requerimientos documentales sobre roles y responsabilidades ISO 27001

roles y responsabilidades ISO 27001

Los roles y responsabilidades ISO 27001 es un tema tratado en la cláusula 5.3 de la norma. Especialmente, el requisito solicita a la alta dirección que se asegure de que los roles, responsabilidades y autoridades sean claros para el sistema de gestión de seguridad de la información.

Lo que ISO 27001 busca es claridad y un enfoque certero en las partes claves del sistema. Esto implica considerar quién es el responsable de modo general y quién lo es en ciertos procesos concretos o quién responde por las prácticas comerciales… La única y la mejor forma de lograrlo es documentando roles y responsabilidades ISO 27001, de tal forma que no se presenten ambigüedades o confusiones y que todo pueda ser comunicado a las partes interesadas pertinentes.

Leer más
enfocar la seguridad de la información

Hacia dónde enfocar la seguridad de la información en una organización

enfocar la seguridad de la información

La protección de la información y sus activos asociados es fundamental para la competitividad y la sostenibilidad de las organizaciones actuales. Por ello, es preciso enfocar la seguridad de la información adecuadamente. Pero no es un camino de vía única. Los profesionales en el área sostienen que ese enfoque también puede dirigir la seguridad de la información hacia el cumplimiento y el control interno, haciendo de la gestión un asunto de gobierno corporativo.

Leer más
formación de auditor interno ISO 27001

Beneficios de la formación de auditor interno ISO 27001 para la carrera profesional

formación de auditor interno ISO 27001

La importancia creciente de la seguridad de la información y el reconocimiento global de ISO 27001 hace que este sea el mejor momento para considerar la formación de auditor interno ISO 27001 como una oportunidad para impulsar una carrera profesional. Y no solamente es beneficiosa para los profesionales del área, sino también en otros campos como TI, Recursos Humanos, Finanzas, e incluso, el área comercial.

Mientras que las organizaciones pequeñas pueden requerir solo un profesional en este rol, las medianas y grandes pueden llegar a necesitar uno o dos, por departamento. Así, se aumenta la responsabilidad y se reducen los riesgos en materia de seguridad de la información dentro de la organización. Entonces la formación de auditor interno ISO 27001 se vuelve imprescindible.

Leer más
Teletrabajo seguro

Teletrabajo seguro: aplicación de controles de seguridad de la información

Teletrabajo seguro

El teletrabajo es hoy una opción obligatoria para muchos. La obligatoriedad, sin embargo, no significa que deje de aportar muchos beneficios. Pero para que ello sea así, debe ser un teletrabajo seguro. De lo contrario, puede convertirse en una fuente de riesgos para la seguridad de la información.

ISO 27001 consideró las condiciones de teletrabajo seguro aun antes de la emergencia sanitaria. Actualmente, cuando el teletrabajo se ha convertido en una forma altamente recomendable para operar en muchas organizaciones, es más importante que nunca considerar cuál es la forma de aplicar controles de seguridad para un teletrabajo seguro.

Leer más
oportunidades en ISO 27001

Abordar oportunidades en ISO 27001 mediante la gestión de riesgos

oportunidades en ISO 27001

La gestión de riesgos parece estar diseñada para identificar, evaluar y tratar los efectos negativos de las amenazas. Este enfoque, erróneo, ha llevado a que las oportunidades en ISO 27001 no sean consideradas y, por ello, desaprovechadas. De hecho, pasar por alto las oportunidades es un comportamiento usual no solo en el área de seguridad de la información.

En este caso, nos ocupamos específicamente de las oportunidades en ISO 27001 y de la forma adecuada de considerarlas y tratarlas, a la luz de la norma internacional sobre gestión de riesgos ISO 31000.

Leer más
implementar ISO 27001

Técnicas para convencer a la alta dirección para implementar ISO 27001

implementar ISO 27001

Los profesionales en seguridad de la información comprenden la importancia que tiene convencer a la alta dirección para implementar ISO 27001, en el propósito de establecer un sistema de gestión estructurado y liderado que se base en las mejores prácticas de seguridad de la información.

Los beneficios de implementar ISO 27001 son muchos. Pero no podemos esperar que esos beneficios sean suficientes por sí mismos para que la alta dirección acepte, lidere e impulse el proyecto. Por supuesto, tener una lista de los beneficios de implementar ISO 27001 es una excelente idea. Pero la forma de comunicarlos es la que marca la diferencia.

Leer más
Checklist de Auditoría Interna para ISO 27001

Cómo hacer una Checklist de Auditoría Interna para ISO 27001

Checklist de Auditoría Interna para ISO 27001

Los profesionales de la seguridad de la información que se enfrentan por primera vez a una auditoría suelen tener dudas y preguntas. Estos profesionales pueden necesitar una checklist de auditoría interna para ISO 27001 como apoyo esencial en la tarea. Y, aunque en distinto grado, un profesional experimentado, también puede encontrar en ella algunas ventajas.

Lo primero que debe saber el auditor, antes o después de elaborar una checklist de auditoría interna para ISO 27001 es que este no es un listado inamovible y rígido, sino una herramienta que ha de ser flexible y adaptable a los objetivos y perspectivas del momento.

Pack Experto Auditoría Interna ISO/IEC 27001:2013 SGSI + Método de Auditorías Remotas de  Sistemas de Gestión

Checklist de auditoría interna para ISO 27001

No existe una única checklist de auditoría interna para ISO 2700, como tampoco existe un único modelo de auditoría interna. Por eso, quizá crear una lista de verificación de auditoría interna pueda ser una buena opción que se ajuste a las necesidades singulares de la organización.

Para empezar, hay que saber en qué momento del proceso es más oportuno crear esa herramienta y cuándo podremos aplicarla. En este sentido, la auditoría se desarrollaría en los siguientes pasos:

  1. Revisar la documentación: en este paso el auditor revisa todos y cada uno de los documentos obligatorios, exigidos por ISO 27001. Para ello, es preciso que el auditor se familiarice con los requisitos y los procesos del sistema.
  2. Crear la checklist: de modo paralelo a la tarea de revisión de los documentos y aprovechando la inmersión en su contenido, el auditor elabora la lista de verificación.
  3. Planificar la auditoría: la tarea puede llevar al auditor a diferentes áreas y ubicaciones. El plan de auditoría debe establecer cuándo visitar cada una de ellas y cuánto tiempo destinar, dependiendo del número de actividades previstas para cada departamento.
  4. Realizar la auditoría: la labor de auditoría en sí es eminentemente práctica. Se trata de recorrer las instalaciones, verificando la lista, hablando con los empleados, revisando los ordenadores y otro tipo de dispositivos, determinar las condiciones de seguridad física, la implementación adecuada de los controles…Es en este punto en el que el auditor aprovecha al máximo los beneficios de una checklist de auditoría interna para ISO 27001.
  5. Redactar los informes: cuanto más sucinto y puntual mejor. En los informes deben aparecer las no conformidades halladas, pero también los puntos positivos relevantes. La lista de verificación es un buen apoyo en este momento para evitar que algo importante se quede fuera.
  6. Hacer seguimiento: la tarea de auditoría no culmina con la presentación de los informes. El auditor debe verificar que las acciones correctivas propuestas se implementan y que resultan efectivas. Nuevamente, la checklist de auditorìa interna para ISO 27001 resulta muy útil para recordar por qué razón se planteó una no conformidad o se recomendó una determinada acción correctiva.
#ISO27001 es un estándar complejo y lo es también su auditoría interna. Te contamos cómo crear una checklist para el proceso. Clic para tuitear

Como vemos, la lista de verificación puede ser clave en diferentes momentos del proceso. ¿Pero cómo elaborarla? En la creación de una checklist se ha de tener en cuenta uno a uno:

  • Requisitos del estándar: el listado debe permitir comprobar que se está cumpliendo cada requisito de ISO 27001. Lo ideal es concretar al máximo en relación a la manera en que la empresa, a su modo, ha decido enfocar la conformidad en cada punto con el estándar. Es decir, cada punto de la checklist debe ser fácilmente verificable.
  • Contenido en políticas y procedimientos y planes: si la política sobre seguridad de la información indica que se debe realizar una copia de seguridad cada seis horas, este debe ser un ítem que forme parte del checklist para ser verificado en su momento.

Además de atender al contenido, es preciso asegurar que la lista en sí sea práctica, equilibrando los siguientes puntos de manera óptima:

  • Precisión: es necesario que no quede nada fuera de control.
  • Manejable: a través de la organización en bloques, el orden y la capacidad sintética, la checklist puede quedar recogida en un documento práctico y fácilmente utilizable.

Curso Auditor Interno ISO/IEC 27001:2013 Sistemas de Gestión Seguridad de la Información

La auditoría interna es un requisito de ISO 27001. Es la herramienta que promueve la mejora continua del sistema. Por ello, cualquier herramienta de apoyo puede ser fundamental. Pero, quizá, aún más importante es contar con profesionales formados y cualificados.

El Curso Auditor Interno ISO/IEC 27001:2013 Sistemas de Gestión Seguridad de la Información es un programa esencial para cualquier profesional que quiera ejercer esta importante labor de auditoría en el área de seguridad de la información.

Inscríbete ahora.

Nueva llamada a la acción
Leer más
Información en papel en ISO 27001

Información en papel en ISO 27001: ¿hay que considerarla?

Información en papel en ISO 27001

En algunas organizaciones existe la creencia de que ISO 27001 es un estándar diseñado para la seguridad de la información almacenada en ordenadores o en formatos digitales. La realidad es que la información en papel en ISO 27001 es considerada con la misma prioridad.

Esto significa que la información en papel en ISO 27001 tiene la misma relevancia que la información digital, sin que esto implique que la norma promueva un determinado formato sobre otro. Por ello, la gestión de riesgos en ISO 27001 también debe considerar los documentos en papel.

Leer más