El ambiente dinámico que presentan los riesgos de seguridad nos ofrecen cambios continuos, donde las amenazas son constantes, las vulnerabilidades son descubiertas y los incidentes de seguridad se presentan con repercusiones importantes, ya sea para las organizaciones o para las personas.
Cada año la Organización Internacional de Estandarización (ISO) realiza una encuesta que tiene como propósito conocer cómo se desarrollan los sistemas de gestión ISO a nivel mundial. Estos datos son publicados en la web donde se podrá consultar todos los datos estadísticos de cada norma en función del país.
El término ciberseguridad empresarial, ampliamente utilizado, puede asociarse con otras palabras como ciberespacio, ciberamenazas, cibercriminales u otros conceptos compuestos. Aunque tiene una percepción general sobre lo que representa, en ocasiones se puede utilizar como sinónimo de seguridad de la información, seguridad informática o seguridad en cómputo, pero la idea no es del todo correcta.
La gestión de la seguridad de la información con la norma ISO 27001 para algunas organizaciones es muy importante a la hora de realizar la clasificación de la información.
La norma ISO 27001 establece que el propósito de la auditoría interna es verificar el cumplimiento tanto de los requisitos propios de la empresa, como los requisitos de la norma ISO 27001.
El objetivo de la norma ISO 27002 es controlar el acceso mediante un sistema de restricciones y excepciones a la información como base de todo Sistema de Seguridad de la Información.
Para impedir el acceso no autorizado al Sistema de Gestión de Seguridad de la Información según la norma ISO 27002 se deberán implantar procedimientos formales para controlar la asignación de derechos de acceso a los sistemas de información, bases de datos y servicios de información, y estos deben estar de forma clara en los documentos, los comunicados y controlarlos en cuanto a su cumplimiento.
El objetivo de la norma ISO 27002 es que la empresa tenga conocimiento preciso sobre todos los activos que posee como parte importante de la administración de riesgos.
El objetivo del presente dominio es la necesidad de educar e informar al personal desde su ingreso y de forma continua, cualquiera que sea la situación de actividad, acerca de las medidas de seguridad que afectan al desarrollo de sus funciones y de sus expectativas depositadas en los materiales de seguridad y asuntos de confidencialidad. Es necesario reducir los riesgos que generan los errores humanos, la comisión de actos ilícitos, utilización inadecuada de instalaciones y recursos y manejo no autorizado de la información, junto a la definición de posibles sanciones que se aplicarán en caso de incumplimiento.
El objetivo del dominio es establecer la administración de la seguridad de la información, siendo la parte fundamental de los objetivos y las actividades de la empresa.
Se debe definir de manera formal el ámbito de gestión para efectuar diferentes tareas como pueden ser la aprobación de las políticas de seguridad, la coordinación de la implantación de la seguridad y la asignación de funciones y responsabilidades.
La norma ISO 27002 (anteriormente denominada ISO 17799) es un estándar para la seguridad de la información que ha publicado la organización internacional de normalización y la comisión electrotécnica internacional. La versión más reciente de la norma ISO 27002:2013.
