Si tu organización ha comenzado la aplicación de los requisitos de la norma ISO 27001, seguramente habrás escuchado el término Sistema de Gestión de Seguridad de la Información. El Sistema de Gestión de Seguridad de la Información es el producto de la norma ISO 27001 de principal aplicación.
Te has podido preguntar alguna vez si la certificación basada en ISO 27001 es similar al informe SOC 2, muchas empresas hoy en día tienen muchas necesidades o demandas de diversas evaluaciones de cumplimiento o certificaciones. Estas empresas pueden preguntarse ¿Cómo puede mi certificación en ISO 27001 adaptarse a todas las necesidades de un informe SOC 2? Y viceversa. A continuación hemos resumido las similitudes y diferencias entre una certificación ISO 27001 y un examen SOC 2.
Hoy queremos hablar sobre la visión que ofrece la norma ISO 27001 sobre el análisis de riesgos. Un tema que ya se venía desarrollando en ediciones anteriores de la norma, pero ha sufrido algunos cambios importantes.
Muchas personas piensan que la evaluación de riesgos es una parte muy difícil de la implantación de la norma ISO 27001, la evaluación del riesgo es mucho más compleja, pero el tratamiento del riesgo es mucho más estratégico y costoso.
La norma ISO 27001 es un estándar de Seguridad de la Información, que establece todos los requisitos necesarios para el Sistema de Gestión de Seguridad de la Información de una empresa. Se trata de un estándar internacional y una gestión efectiva de los riesgos para la seguridad de la información confidencial de una organización. Además, promueve la gestión eficaz de la información corporativa sensible y destaca todas las vulnerabilidades para asegurarse de que se encuentra bien protegido contra las amenazas potenciales e incluye a las personas, procesos y sistemas de TI.
El estándar internacional ISO 27001 nos ofrece un modelo para crear, implantar, supervisar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información. Para ellos debemos tener ciertas cosas claras antes de tomar la decisión de implementar la norma ISO 27001, estas son:
ISO 27001 2013 es una norma internacional emitida por la Organización Internacional de Normalización (ISO) y describe cómo gestionar la Seguridad de la Información en una organización, abordando las personas, los procesos y la tecnología. La revisión más reciente de esta norma fue publicada en 2013, como bien acompaña a su nombre, pero no debemos olvidar que la primera revisión se publicó en 2005 y fue desarrollada en base a la norma británica BS 7799-2.
Durante el artículo anterior, ¿Cómo utilizar la serie SP 800 de la norma ISO 27001?, hicimos una descripción a groso modo sobre la serie SP 800, llegamos a la conclusión de que describen las prácticas de seguridad informática publicado por el Instituto Nacional de Estándares y Tecnología, y de algunos documentos específicos que se puede usar para apoyar a la norma ISO 27001.
La norma ISO 27001 es un estándar internacional para la gestión de la seguridad de la información, proporciona diferentes objetivos de control y cubren una amplia gama de problemas de seguridad de control. Pero, la norma ISO 27001 debe tener en cuenta que una empresa puede ir más allá de los controles de la norma para establecer los niveles de seguridad adecuados, mediante el desarrollo de las propias soluciones o utilizando otras fuentes de conocimiento.
Muchas personas reniegan del cloud porque creen que le pueden robar sus datos, pero con la norma ISO 27001 este problema se soluciona, ya que ofrece todas las herramientas necearías para proteger la información. Aunque se intente dar una solución rápida, económica y flexible con el cloud sigue existiendo mucho miedo a la nube y eso hace desconfiar a sus clientes sobre su propuesta.
