Un blog editado por ISOTools Excellence
Blog especializado en Seguridad de la
Información y Ciberseguridad
Síguenos
En un mundo en constante cambio, el riesgo es otra constante más y se acentúa en la vida empresarial. Es importante que las empresas desarrollen estrategias de gestión de riesgos para protegerse de posibles amenazas. Además, el cumplimiento normativo se ha vuelto cada vez más importante en la era digital. Los cambios regulatorios y el cumplimiento normativo son elementos clave de una estrategia de gestión de riesgos exitosa.
La concienciación sobre la seguridad puede ser una excelente manera de garantizar que la ciberseguridad de su organización esté actualizada y sea segura. En este punto se incluirían los indicadores de compromiso para poder evaluar situaciones de riesgo.
A lo largo de estas semanas hemos ido haciendo un recorrido por los cambios que la norma ISO 27001 experimentó en 2022, en concreto en torno al módulo encargado de los controles. En el artículo anterior vimos una relación de controles tecnológicos que decidimos dividir en dos partes dada su numerosa cuantía.
En este artículo seguiremos abordando la revisión de los controles, en esta ocasión de carácter tecnológico, de la norma ISO/IEC 27001:2022 que han sufrido algún tipo de reordenación, y citaremos su totalidad para comprender mejor el sentido de esto procesos que velan por la seguridad de la información de nuestra organización. Dada la cantidad de controles tecnológicos que encontramos en este epígrafe los dividiremos en dos partes.
La norma ISO/IEC 27001, dedicada a la seguridad de la información por excelencia, incluye en su última actualización una reordenación de los controles. En anteriores entradas de este blog hemos tratado los organizacionales y las referentes a las personas. En esta ocasión nos centraremos en los controles físicos, que guardan relación directa con el espacio donde se desarrolla el trabajo y su protección.
Los estándares de la industria como ISO/IEC 27001:2022 garantizan, entre otras cosas, controles. Estos estándares también requieren el desarrollo organizacional de «controles de personas», la capacitación continua de los empleados y roles claramente definidos. A continuación, se recorren los controles de personas contenidos en el Anexo A de la norma ISO/IEC 27001.
ISO/IEC 27001:2022 es el estándar internacional utilizado por muchas organizaciones de todo el mundo como método para garantizar que sus activos de información estén seguros. Las organizaciones hacen uso de este estándar para proteger a sus clientes y empleados del fraude, el robo y el abuso. ISO/IEC 27001:2022 describe en el Anexo A una referencia de controles de seguridad de la información. Los controles de seguridad de la información se derivan directamente de los enumerados en ISO/IEC 27002:2022. Entre ellos se destacan los controles organizacionales.
El apartado de mejora en la nueva ISO/IEC 27001 establece que la organización debe mejorar continuamente la idoneidad, adecuación y eficacia del sistema de gestión de la seguridad de la información.
La norma ISO/IEC 27001 establece en lo relativo al seguimiento, medición, análisis y evaluación que la organización determinará:
En lo relativo a la planificación y control operativo, según la ISO/IEC 27001:2022, la organización debe planificar, implementar y controlar los procesos necesarios para cumplir con los requisitos y para implementar las acciones determinadas por la propia norma, mediante:
