Cuando hablamos de la norma ISO 27001 2013 podemos caer en el error de asumir que es una herramienta para cumplir con la ley vigente en el sector en el que nos encontramos, sin embargo de esta manera solo mermamos su importancia y minamos su objetivo.
El contenido de una política de seguridad de la información es uno de los mayores mitos que se relacionan con la norma ISO 27001, muy a menudo se entiende mal el propósito que persigue este documento y en muchos casos las personas piensan que necesitan escribir todo sobre su seguridad en este documento. Esto no es lo que exige la norma ISO 27001, por lo que durante este artículo queremos hablar sobre lo que debe contener una política de seguridad de la información.
La norma ISO 27001 es un estándar internacional que se ha emitido por la Organización Internacional de Normalización y describe cómo gestionar la seguridad de la información en una organización. La revisión más reciente de esta norma ha sido publicada en 2013 y ahora su nombre completo es ISO IEC 27001 2013. La primera versión fue publicada en 2005 y se desarrolló en base a la norma británica BS 7799-2.
La seguridad de la información se ha convertido en un impulsor del negocio por los enormes volúmenes de datos que se generan en las organizaciones y que incluyen datos muy importantes.
Si tu organización ha comenzado la aplicación de los requisitos de la norma ISO 27001, seguramente habrás escuchado el término Sistema de Gestión de Seguridad de la Información. El Sistema de Gestión de Seguridad de la Información es el producto de la norma ISO 27001 de principal aplicación.
Te has podido preguntar alguna vez si la certificación basada en ISO 27001 es similar al informe SOC 2, muchas empresas hoy en día tienen muchas necesidades o demandas de diversas evaluaciones de cumplimiento o certificaciones. Estas empresas pueden preguntarse ¿Cómo puede mi certificación en ISO 27001 adaptarse a todas las necesidades de un informe SOC 2? Y viceversa. A continuación hemos resumido las similitudes y diferencias entre una certificación ISO 27001 y un examen SOC 2.
Hoy queremos hablar sobre la visión que ofrece la norma ISO 27001 sobre el análisis de riesgos. Un tema que ya se venía desarrollando en ediciones anteriores de la norma, pero ha sufrido algunos cambios importantes.
Muchas personas piensan que la evaluación de riesgos es una parte muy difícil de la implantación de la norma ISO 27001, la evaluación del riesgo es mucho más compleja, pero el tratamiento del riesgo es mucho más estratégico y costoso.
La norma ISO 27001 es un estándar de Seguridad de la Información, que establece todos los requisitos necesarios para el Sistema de Gestión de Seguridad de la Información de una empresa. Se trata de un estándar internacional y una gestión efectiva de los riesgos para la seguridad de la información confidencial de una organización. Además, promueve la gestión eficaz de la información corporativa sensible y destaca todas las vulnerabilidades para asegurarse de que se encuentra bien protegido contra las amenazas potenciales e incluye a las personas, procesos y sistemas de TI.
El estándar internacional ISO 27001 nos ofrece un modelo para crear, implantar, supervisar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información. Para ellos debemos tener ciertas cosas claras antes de tomar la decisión de implementar la norma ISO 27001, estas son:
