Para las empresas que ya tienen un Sistema de Gestión de Seguridad de la Información según la norma ISO 27001 versión 2013, el evento de auditoría de certificación ya se sabe: el auditor llega, realizar la apertura de la auditoría, realiza una evaluación de los procesos y los registros, elabora un informe y cierra la fase del proceso de auditoría.
La información y los activos que se encuentran en medio de la nada necesitan un techo, paredes y condiciones de funcionamiento adecuadas. Un software tiene puertas traseras, al igual que cualquier edificio y estas deben ser controladas del mismo modo. Muchas funciones de seguridad de TI se basan en viejos principios físicos de seguridad. En cuanto a ella, sin los controles adecuados de seguridad física, nuestros activos de información se encuentran en riesgo por lo que la norma ISO 27001 2013.
Hoy en día, la información viaja de forma constante de una parte a otra del mundo mediante correo electrónico, las transiciones en línea, unidades USB y discos duros externos, por lo que implementar un Sistema de Gestión de Seguridad de la Información basado en la norma ISO 27001. Fuera de las instalaciones de la empresa, la información se encuentra en muchos lugares, como puede ser en servidores, routers, switches, proveedores externos, acarreos y más, antes de llegar a su destino final. Debe mantener su información bien guardada, ya que puede afectar apersonas fuera de su organización.
Las personas a veces confunden la norma ISO27001 con el estándar de TI, como algo que es aplicable sólo a la industria de TI. Y pueden tener parte de razón, muchas organizaciones de TI utilizan la norma ISO27001, ya que lo ven bueno para sus negocios.
Según la norma ISO 27001 podemos pensar en los siguientes escenarios:
El futuro de la norma ISO 27017, junto con la norma ISO 27018, parece bastante claro: se definen todos los estándares de seguridad de más rápido crecimiento en la industria de hoy en día, la computación en la nube. Es un tema tan extenso que estas dos normas pueden conseguir el mismo nivel de éxito cómo la ISO 27001:2013 e ISO 27002.
Llevar un SGSI es fácil, pero cuando surgen incidentes de seguridad se debe averiguar que ha pasado exactamente, es decir, dónde, quién causó el incidente, etc. Es por esto que se necesita contar con registros y la empresa necesita controlarlos, se puede realizar gracias a la cláusula A.14.2 de la norma ISO 27001. Dicha cláusula proporciona el control de una forma detallada de los registros y el seguimiento.
Si su organización va a pasar por un proceso de auditoría de certificación según la norma ISO 27001:2013, seguramente se realizará algunas preguntas como pueden ser:
Si su organización ofrece servicios en la nube, es muy probable que muchos de sus clientes le pregunten cómo protege sus datos personales. La norma ISO 27001 es una buena aliada, pero algunos clientes, mas desconfiados, pueden pedirle que cumpla con la norma ISO 27018 especializada en la protección de datos personales en la nube.
La gestión de incidencias es uno de los procesos clave para asegurar la eficiencia de cualquier operación comercial, gracias a la norma ISO 27001.
