Saltar al contenido principal
Sistema De Gestión De Seguridad De La Información

Implantación de un Sistema de Gestión de Seguridad de la Información en tu organización

Sistema de Gestión de Seguridad de la Información

Sistema de Gestión de Seguridad de la Información

La información es un activo vital para el conseguir el éxito y la continuidad en el mercado de cualquier empresa. Las organizaciones buscan mecanismos eficaces que les permiten asegurar y gestionar la seguridad de la información y de los sistemas que la procesan. La norma ISO 27001 es la norma que explica cómo implementar un Sistema de Gestión de Seguridad de la Información en una empresa.

Un Sistema de Gestión de Seguridad de la Información establece un complejo plan de acciones que ayudarán a una organización a solucionar los problemas técnicos de seguridad, organizativos y legislativos mediante el análisis de riesgos, mejorando y manteniendo la seguridad de la información y garantizando la continuidad de negocio.

En una empresa, el diseño e implantación de un Sistema de Gestión de Seguridad de la Información influencia en las necesidades y en los objetivos, en los requisitos de seguridad, en los procesos de los trabajadores, en el tamaño y en la estructura de la empresa. Un Sistema de Gestión de Seguridad de la Información no tiene un fin estático, sino que se espera que evolucione de manera conjunta con los objetivos estratégicos de seguridad de la empresa.

En el punto de control se desarrollan los objetivos de seguridad de las operaciones. La misión del Sistema de Gestión de Seguridad de la Información es controlar la existencia de los procedimientos de operaciones y el desarrollo en el mantenimiento de documentación actualizada relacionada.

¿Considera que las empresas y organizaciones tienen un cuidado especial en este punto?

Cuando hablamos de la norma ISO 27001 en las empresas suelen caer en el error de asumir que es un medio para cumplir con la legislación vigente dentro del sector que les ocupe, sin embargo de esta manera solo se consigue mermar la importancia y minar el objetivo.

Todas las empresas deben concienciarse de que la información que poseen no es un añadido que no posee un valor muy superior de las instalaciones de la organización, sino que debe pensar que se trata de uno de los cimientos sobre los que se sustenta la empresa y, por otra parte, debe ser cuidado y protegido ya que si llegara a deteriorarse o perderse se caerá toda la estructura. Además, deben dejar de lado la idea de que la protección de la información, la medida de seguridad aplicadas para estos datos, los programas de seguridad aplicados en los centros de trabajo, etc., no sólo para unas pocas organizaciones.

Por otro lado las organizaciones pueden presumir de haber obtenido la certificación, pudiendo usarla también como signo de prestigio y reconocimiento.

El uso del cloud para aplicaciones, ¿cómo piensa que afecta a los auditores informáticos en estos puntos de control?

La nube se define como el mayor crecimiento de la industria de hoy en día. Regular por tanto dicho sector se hace totalmente imprescindible.

Se debe constatar que no todos los proveedores del cloud ofrecen las mismas garantías formales ni técnicas por lo que hay que desligarse de concepciones generalistas cuando se habla del cloud. No hay dos nubes iguales, todas varían en cuanto a la seguridad, privacidad, transparencia y cumplimiento de sus obligaciones regulatorias. Es muy importantes que a la hora de contratar un servicio de cloud, una organización tiene que comprobar que se le permite verificar y auditar la información que ella posee. Para un auditor informático es fundamental que la proveedora de servicios cloud cumpla con la normativa vigente para así poder consultar y extraer la información que le es necesaria. Un proveedor de servicios cloud no certificado puede poner trabas e incluso impedir que se pueda obtener la información necesaria para la realización de una auditoría.

La utilización de los smarphone supone un gran ahorro para la organización, pero incrementa de forma considerable la posibilidad de sufrir un ataque o robo de información. Es por esto que resulta necesario que la organización implante un sistema que realice la gestión de los dispositivos móviles. Este sistema permite la gestión y distribución de software, políticas, inventario, seguridad y servicios del dispositivo. Aun así, siempre que la organización pueda permitírselo, es más seguro la distribución de smartphones corporativos que personales, consiguiendo un nivel de estandarización que permita una fácil implantación de la certificación.

Software ISO 27001

El estándar internacional ISO 27001, junto con todas las normas que componen su familia, generan todos los requisitos necesarios para poder implementar un Sistema de Gestión de Seguridad de la Información de una forma rápida y sencilla, además el Software ISOTools Excellence para la norma ISO 27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa.

Descargue el e-book fundamentos de gestión de Seguridad de la Información
Recibe Nuestra Newsletter
New Call-to-action
Nueva llamada a la acción
Volver arriba