Definir e implementar objetivos de seguridad de la información es un requisito contenido en la cláusula 6.2 de la norma ISO 27001, titulada “Objetivos y planificación de la seguridad de la información”.
Esto significa que la organización debe establecer objetivos de seguridad de la información para cada una de sus áreas y de sus niveles, pero también diseñar planes para alcanzar esos objetivos.
A partir de la entrada en vigor de regulaciones como el Reglamento General de Protección de Datos de la UE, y otras normativas de seguridad de la información en diferentes regiones del planeta, cobra importancia la Evaluación de Impacto de la Protección de Datos.
El cumplimiento con RGPD, con otras normativas que persiguen similares objetivos o con estándares internacionales como ISO 27001, mueve a las organizaciones y a los profesionales en el área, a practicar evaluaciones de riesgos. Entre ellas, la Evaluación de Impacto de la Protección de Datos.
Los profesionales que inician el proyecto de implementar ISO 27001 y un Sistema de Gestión de Seguridad de la Información siguen un camino para acometer la tarea que empieza por obtener el apoyo de la Alta Dirección.
Para este primer paso es necesario presentar un plan de trabajo en el que se determinan los recursos que demandará el proyecto y los objetivos que se pretende alcanzar. Se trata de un principio elemental de coste-beneficio. La Alta Dirección necesita apreciar con claridad cuánto costará y qué beneficios aportará implementar ISO 27001.
Los profesionales en Seguridad de la Información encuentran un problema recurrente en sus organizaciones: la ausencia de programas adecuados de formación en ISO 27001. Obstáculo que genera dificultades de comunicación y de comprensión y aceptación de políticas y procedimientos.
El resultado previsible es incumplimiento de las normas y aumento del riesgo de infracciones graves. La solución, adoptar un ciclo de formación en ISO 27001, que cumpla con el propósito de capacitar y concienciar a los empleados, pero también a la Alta Dirección y a los gerentes y directores de área.
Certificar ISO 27001 parece ser el camino natural a seguir tras implementar y auditar un Sistema de Gestión de la Seguridad de la Información. Sin embargo, no siempre es una prioridad para algunos profesionales en este área, sobre todo para aquellos que depositan toda su confianza en controles cibernéticos propios del área de TI.
Pero, ¿cómo se gestiona la seguridad de otro tipo de información? Información en papel, datos suministrados de forma verbal o telefónica… ¿quedan fuera de la efectividad que pueden representar los controles de TI?
Transcurrida casi una década desde la última actualización de ISO 27001 y tras la reciente revisión de la guía de controles de seguridad de la información ISO 27002, se espera la nueva versión de la norma para octubre de 2022.
Así, con vistas a la próxima actualización de ISO 27001, los profesionales en el área, expertos en TI, organizaciones y otras partes interesadas deben prepararse para renovar y poner al día los Sistemas de Gestión de Seguridad de la Información.
Si te preguntas cuáles serán los cambios que introducirá la versión final de la actualización de ISO 27001 y cómo se relacionan con ISO 27002, a continuación, respondemos a las preguntas más frecuentes.
Desde 2018, el cumplimiento de GDPR o RGPD –Reglamento General de Protección de Datos- figura en la agenda de las organizaciones, y de forma particular en la de los directores de TI y los profesionales encargados de la Seguridad de la Información.
Algunas organizaciones, tras cuatro años de entrada en vigor del Reglamento aún encuentran dificultades para garantizar el cumplimiento de GDPR. Pero existen marcos de trabajo que pueden ayudar a allanar el camino. El estándar internacional para la Seguridad de la Información, ISO 27001, tiene mucho en común con GDPR, y a diferencia del Reglamento ofrece claras instrucciones sobre cómo cumplir con los requisitos.
El concepto de Software como un Servicio, SaaS, por sus iniciales en inglés, gana cada día más popularidad. ISO 27001 para empresas SaaS se convierte en un aliado eficiente, especialmente para superar la principal barrera que hoy encuentra este tipo de organizaciones: garantizar la seguridad de los datos y de la información.
El mercado para las nuevas SaaS es mucho más competitivo de lo que lo fue para sus antecesoras pioneras en el sector. Estas empresas necesitan demostrar a sus clientes actuales y potenciales, que están comprometidas con la seguridad de su información y la protección de sus datos.
La gestión documental según ISO 27001 comparte requisitos con el estándar especializado en la continuidad del negocio, ISO 22301. Aprovechando esa coyuntura, que encontramos en el capítulo 7 de cada uno de los estándares, explicamos, a continuación, la forma de asumir la gestión de documentos para las dos normas, garantizando la seguridad de la información, la eficacia y la conformidad con los requisitos.
Los documentos, en un sistema de gestión, son el soporte central de la estructura: son los que contienen las políticas, los procedimientos, la forma de hacer las cosas y lo que no está permitido. Toda la información histórica, informes de auditorías, resultados de actividades de monitoreo y seguimiento reposa en documentos.
NEWSLETTER
Suscríbete a la newsletter y recibe semanalmente, además de artículos de interés sobre los sistemas de gestión ISO y habilidades directivas, descuentos especiales en nuestros cursos.
* Todos los campos requeridos
