Gracias a la norma ISO27001 podemos utilizar ciertos indicadores clave de rendimiento (KPI) que deben ser considerados para evaluar el desempeño del Sistema de Gestión de Seguridad de la Información.
La seguridad física es una parte muy importante dentro de la protección de la información, ya que incluso el control técnico mejor diseñado, implantado y mantenido puede ser de poca ayuda si en un evento afecta físicamente al medio ambiente o a los bienes sobre los que esos controles funcionan.
La norma ISO 27001 es un estándar internacional emitida por la ISO que describe la gestión de la seguridad de la información en una organización. La revisión más reciente de esta norma ha sido publicada en el año 2013 y ahora se llama ISO 27001:2013. La primera revisión fue publicada en 2005 y se desarrolló es base a una norma británica BS 7799-2.
Hoy en día se producen grandes cantidades de información, por lo que resulta muy importante contar con un criterio sobre qué información tenemos que guardar y que información debemos eliminar. La norma ISO 22301 nos puede ayudar ante el temor que existe debido a los aspectos legales que nos obligan a conservar información durante un cierto tiempo, o por la tendencia natural al miedo a suprimir información, la gran mayoría de organizaciones son reacias a deshacerse de información y como regla general almacenan más información de la que verdaderamente es necesaria.
Un famoso hacker informático, Kevin Mitnick, dijo en un momento de su vida: “Yo he sido contratado por empresas para comprobar que sus instalaciones no tengan agujeros de seguridad. Nuestra tasa de éxito es del 100%, ya que siempre hemos encontrado algún agujero”. La norma ISO 27001 puede ayudarnos a evitar esto.
La seguridad es algo que todas las organizaciones quieren tener, pero ninguna quiere utilizar. Pensar de esta forma puede traer muchos problemas, para obtener dicha seguridad se puede utilizar la norma ISO 27001.
Después de ciertos acontecimientos traumáticos sufridos por organizaciones a nivel global en las últimas décadas, se ha impulsado por parte de todas las empresas el desarrollo de una normativa coherente a nivel mundial para promover la toma de conciencia antes la necesidad de estar preparados para superar cierto impacto de incidentes que pueden interrumpir la actividad de la organización, dicha normativa es la norma internacional ISO 22301:2012.
Si está pensando en implementar un Sistema de Gestión de Seguridad de la Información según la norma ISO 27001 2013, puede que este preguntando: ¿Quién podría liderar un proyecto tan complejo?
Puede ser que existan dos pensamientos principales al iniciar la implementación de la norma ISO 27001:
Para las empresas que ya tienen un Sistema de Gestión de Seguridad de la Información según la norma ISO 27001 versión 2013, el evento de auditoría de certificación ya se sabe: el auditor llega, realizar la apertura de la auditoría, realiza una evaluación de los procesos y los registros, elabora un informe y cierra la fase del proceso de auditoría.
