La certificación ISO 27001 se ha convertido en una necesidad estratégica para las organizaciones que buscan garantizar la seguridad de su información y ganarse la confianza de sus clientes. Sin embargo, una de las fases más críticas del proceso es superar con éxito las auditorias ISO, tanto internas como externas. Aquí te compartimos tres claves fundamentales para afrontar con éxito una auditoría ISO 27001 y optimizar tus procesos mediante la implementación de un software especializado como el de ISOTools.

¿Qué son las Auditorias ISO 27001?

Las auditorias ISO 27001 son procesos sistemáticos diseñados para evaluar el cumplimiento de una organización con los requisitos de la norma ISO 27001, que establece un marco para la gestión de la seguridad de la información. Estas auditorías pueden ser internas o externas y tienen como objetivo garantizar que el Sistema de Gestión de Seguridad de la Información (SGSI) está implementado de manera efectiva, gestionando los riesgos y protegiendo los datos sensibles. Durante este proceso, se revisan documentos, se evalúan controles y se verifican las prácticas operativas para asegurar el cumplimiento con la norma.

1. Realiza una evaluación de riesgos integral y continua en las auditorias ISO 27001

La gestión de riesgos es el corazón de la implementación de ISO 27001. La norma exige que las organizaciones identifiquen, evalúen y gestionen los riesgos relacionados con la seguridad de la información. Para superar una auditoría, es crucial demostrar que este proceso está bien estructurado y se lleva a cabo de manera continua.

• Documenta el proceso: Es importante contar con registros claros que muestren cómo se han identificado los riesgos, cuáles han sido las medidas adoptadas y cómo se monitorean.
• Actualización constante: Los riesgos evolucionan, por lo que el proceso de evaluación debe ser recurrente y no solo previo a la auditoría.
• Apóyate en herramientas tecnológicas: Un software como el de ISOTools te permite gestionar la información en un entorno centralizado y mantener actualizados tus informes de riesgo, facilitando la presentación de evidencias ante los auditores.

2. Capacita a tu equipo y fomenta la Cultura de la Seguridad

El cumplimiento de ISO 27001 no solo depende de los líderes de TI o los responsables del SGSI (Sistema de Gestión de Seguridad de la Información). Toda la organización debe estar alineada con los principios de la norma.

• Formación continua: Asegúrate de que los empleados entiendan la importancia de la seguridad de la información y estén capacitados para aplicar las políticas definidas en su trabajo diario.
• Simulaciones de auditoría: Realiza auditorías internas y simulacros para preparar al equipo para entrevistas con los auditores externos.
• Compromiso organizacional: La seguridad debe ser parte de la cultura organizacional. Cuando el equipo está comprometido, se minimizan los errores humanos que podrían derivar en no conformidades durante la auditoría.

3. Gestiona de forma eficiente la documentación y las evidencias

Un aspecto clave en cualquier auditoría es demostrar el cumplimiento a través de la documentación. Esto incluye políticas, procedimientos, registros y evidencias de la implementación efectiva del SGSI.

• Organización centralizada: Evita el caos de documentos dispersos en diferentes sistemas o carpetas. Utiliza una herramienta como el software de ISOTools, que te permite almacenar, gestionar y acceder a todos los documentos desde un solo lugar.
• Versionado y trazabilidad: Es crucial demostrar que tus documentos están actualizados y que puedes rastrear los cambios realizados. El software de ISOTools facilita esta tarea mediante la gestión de versionado.
• Automatización de procesos: Una plataforma como ISOTools te permite automatizar tareas repetitivas, como la generación de informes o el seguimiento de acciones correctivas, ahorrando tiempo y reduciendo el margen de error.

La adopción de un software especializado evidentemente simplifica la preparación para las auditorías. Además, es esencial para impulsar una mejora continua en la gestión de la seguridad de la información.
Click To Tweet

La implementación de un Software ISO 27001: Un aliado clave para el sector empresarial

La adopción de un software especializado evidentemente simplifica la preparación para las auditorías. Además, es esencial para impulsar una mejora continua en la gestión de la seguridad de la información.

En el sector empresarial, donde el manejo de grandes volúmenes de información es crítico, herramientas como el Software ISO 27001 de ISOTools ofrecen:

• Eficiencia operativa: Automatiza procesos, reduce la carga administrativa y permite al equipo enfocarse en aspectos estratégicos.
• Visibilidad y control: Ofrece un dashboard centralizado para monitorear el estado del SGSI y las acciones relacionadas con los riesgos.
• Cumplimiento normativo garantizado: La plataforma está diseñada para cumplir con los requisitos específicos de ISO 27001, lo que facilita la alineación con la norma y reduce el riesgo de no conformidades.

Superar con éxito una auditoría ISO 27001 es un hito, y además una oportunidad para fortalecer la seguridad de la información en tu organización. Implementar un software como el de ISOTools puede marcar la diferencia en la preparación para las auditorias ISO 27001, favoreciendo la mejora continua de tu SGSI. Con una evaluación de riesgos integral, un equipo capacitado y una gestión eficiente de la documentación, estarás preparado para superar cualquier auditoría y posicionar a tu empresa como un referente en seguridad de la información.

The post 3 claves para pasar auditorias ISO 27001 appeared first on PMG SSI - ISO 27001.

La ISO/IEC 27001 se erige como el estándar internacional más reconocido para gestionar y proteger la información sensible. Durante las siguientes líneas exploraremos cómo cumplir con la ISO27001, garantizando la seguridad de tus datos y la confianza de tus clientes.

ISO27001

La ISO27001 es un marco que define los requisitos para establecer, implementar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI). Este estándar ayuda a las organizaciones a proteger sus activos de información mediante la identificación y gestión de riesgos.

Paso 1: Comprender el Contexto de la Organización

El primer paso para cumplir con la ISO 27001 es entender el contexto de tu organización. Esto implica analizar tanto el entorno interno como el externo, y evaluar las necesidades y expectativas de las partes interesadas. Pregúntate:

• ¿Cuáles son los activos de información más críticos?
• ¿Quiénes son las partes interesadas y cuáles son sus expectativas en relación con la seguridad de la información?

Paso 2: Compromiso de la Alta Dirección

El liderazgo es fundamental para el éxito de cualquier SGSI. La alta dirección debe demostrar un compromiso claro con la seguridad de la información, proporcionando recursos y apoyo necesarios. Esto incluye:

• Establecer políticas de seguridad de la información.
• Designar un Responsable de Seguridad de la Información (CISO).
• Promover una cultura organizacional centrada en la seguridad.

Paso 3: Evaluación de Riesgos

La evaluación de riesgos es el corazón del cumplimiento con la ISO 27001. Este proceso implica identificar, analizar y evaluar los riesgos relacionados con la seguridad de la información. Aquí tienes algunos pasos clave:

1. Identificación de Activos: Enumera todos los activos de información (hardware, software, datos, etc.).
2. Identificación de Amenazas y Vulnerabilidades: Determina las posibles amenazas y vulnerabilidades que pueden afectar a tus activos.
3. Evaluación de Impacto: Analiza el impacto que tendría una brecha de seguridad en la organización.

Paso 4: Establecer Controles

Una vez que hayas evaluado los riesgos, el siguiente paso es establecer controles para mitigar esos riesgos. La ISO 27001 ofrece una anexo A, que contiene una lista de 114 controles de seguridad que puedes implementar. Algunos ejemplos son:

• Control de acceso: Asegúrate de que solo las personas autorizadas puedan acceder a la información.
• Cifrado: Protege los datos sensibles mediante técnicas de cifrado.
• Formación: Capacita a los empleados sobre las mejores prácticas de seguridad.

Paso 5: Documentación y Políticas

Documentar tu SGSI es esencial para cumplir con la ISO 27001. Esto incluye la creación de políticas, procedimientos y registros que detallen cómo se gestionan los riesgos de seguridad de la información. Asegúrate de que:

• Las políticas estén actualizadas y sean fácilmente accesibles.
• Se mantenga un registro de todas las acciones y decisiones relacionadas con la seguridad de la información.

Paso 6: Capacitación y Concienciación

La concienciación sobre la seguridad de la información es vital. Realiza programas de capacitación para asegurar que todos los empleados comprendan la importancia de la seguridad de la información y estén al tanto de las políticas y procedimientos establecidos.

Cumplir con la ISO27001 es un paso crucial hacia la protección de la información, que a su vez también mejora la reputación de tu organización y la confianza de tus clientes.
Click To Tweet

Paso 7: Monitoreo y Revisión

La mejora continua es un principio clave de la ISO 27001. Implementa un proceso de monitoreo y revisión regular de tu SGSI. Esto incluye:

• Auditorías internas: Realiza auditorías para evaluar la conformidad y la eficacia de los controles implementados.
• Revisión de la dirección: La alta dirección debe revisar periódicamente el SGSI y tomar decisiones informadas sobre mejoras y cambios necesarios.

Paso 8: Certificación ISO27001

Una vez que tu organización cumpla con todos los requisitos de la ISO 27001, puedes optar por la certificación a través de un organismo de certificación acreditado. Este proceso incluye una auditoría externa para verificar el cumplimiento de la norma.

Cumplir con la ISO27001 es un paso crucial hacia la protección de la información, que a su vez también mejora la reputación de tu organización y la confianza de tus clientes. Siguiendo estos pasos y adoptando un enfoque proactivo hacia la seguridad de la información, estarás en camino de establecer un SGSI sólido y efectivo.

Recuerda, la seguridad de la información es un viaje continuo. La implementación de la ISO 27001 es solo el comienzo de un compromiso a largo plazo con la seguridad y la mejora continua.

ISOTools: Tu aliado en el cumplimiento de la ISO27001

La plataforma tecnológica ISOTools ofrece soluciones integrales para gestionar la seguridad de la información y facilitar el cumplimiento de la ISO 27001. Con su enfoque en la automatización y la eficiencia, ISOTools permite a las organizaciones identificar y evaluar riesgos de seguridad de manera efectiva. Gracias a sus herramientas intuitivas, es posible documentar y actualizar fácilmente las políticas de seguridad, asegurando que todos los empleados estén al tanto de las mejores prácticas.

Además, ISOTools proporciona un sistema de monitoreo y auditoría que ayuda a las organizaciones a mantener el control sobre sus activos de información. Esta funcionalidad no solo simplifica la implementación de controles de seguridad, sino que también facilita la mejora continua del Sistema de Gestión de Seguridad de la Información (SGSI). Con ISOTools, las empresas pueden estar más preparadas para enfrentar los desafíos de la seguridad cibernética y proteger su información crítica de manera más eficiente.

The post Cómo cumplir con la ISO27001 appeared first on PMG SSI - ISO 27001.

Interrupciones de servicio TI

El ser humano siempre ha vivido con el deseo y sobre todo el miedo de que un determinado cambio climático pueda favorecer o perjudicar su modo de vida: cosechas que se echan a perder, desplazamientos imposibles de realizar o destrozos en infraestructuras y viviendas han sido algunos de los miedos más frecuentes ante cualquier suceso de este tipo.

Es evidente que en una sociedad digitalizada como en la que vive actualmente la gran mayoría del planeta, a esta serie de preocupaciones constantes se les ha sumado una de muchísimo peso: el estado de la conectividad a la red digital. Sobre todo en casos relacionados con la seguridad o la transmisión de información.

La caída de Facebook, un caso muy reciente

Aun “nos estamos recuperando” de la que ha sido reconocida oficialmente como la mayor caída de servicio de Facebook a lo largo de su historia, la cual también ha afectado a sus dos plataformas de mensajería instantánea: Messenger y WhatsApp, así como a Instagram, la famosa red social para compartir fotos.

La BBC, recogía hace uno días un interesante testimonio sobre este suceso: una diseñadora de Buenos Aires confesaba a la célebre cadena británica que la caída tuvo un impacto significativo en su compañía, ya que en esta se usaba Facebook Workplace, la versión de la red social enfocada en la comunicación interna para empresas y por tanto les era imposible comunicarse con la sede de la compañía en Nueva York.

Este tipo de fallas, hay que tener en cuenta que no siempre están relacionadas con caídas de los servidores, sino que en muchos casos, suelen ser consecuencia de ataques informáticos que tienen como objetivo suplantar identidades o robar información confidencial o personal de determinadas personas. El propio cofundador de Facebook Mark Zuckerberg ha declarado en varias ocasiones que se enfrentan constantemente a intentos de robo de información de sus usuarios. Una ardua tarea si tenemos en cuenta que la red social cuenta con al rededor de 2.300 millones de usuarios.

A pesar de que algunos medios han relacionado la caída con una sobrecarga de la base de datos, Facebook aun no ha dado muchos datos. Eso sí, descartan la posibilidad de que se trate de “un ataque de denegación de servicio”.

Lo que está claro es que esta caída ha debido de suponer un importante golpe para los ingresos que la compañía recibe por publicidad.

El software es un gran valor para las empresas actualmente y cualquier anomalía en este puede crear importantes daños. Las interrupciones de servicio TI en el negocio afectan negativamente a los tres pilares que sustentan una empresa: clientes, socios y empleados, lo que se traduce en pérdidas financieras y daños a la reputación de la empresa.

Asegurar Interrupciones de servicio TI con la implementación de la ISO 27001

La ISO 27001 es una norma internacional que posibilita asegurar, la confidencialidad e integridad de los datos y de la información, así como de los sistemas que la procesan.

Este estándar normativo permite a las organizaciones poder evaluar el riesgo y la aplicación de los controles necesarios para eliminarlos o suprimirlos.

No resulta una casualidad que Workplace, la plataforma de comunicación interna para empresas de Facebook, anunciara en octubre 2017 que habían conseguido obtener la certificación ISO 27001. Según reza un comunicado en redes sociales, la compañía pretendía demostrar la importancia que le daban a la información de los datos de sus clientes.

No cabe duda de que dicha certificación aporta tres beneficios de mucha importancia para empresas que operan con datos e información confidencial de sus usuarios:

1. Les permite asegurar que su Sistema de Gestión de Seguridad de la Información cumple con los resultados previstos.
2. Les ayuda a prevenir y reducir efectos indeseados que puedan perjudicar su imagen.
3. En el caso de que ocurra algún efecto como el que hemos analizado anteriormente, les permite analizarlo y resolverlo de una manera mucho más efectiva, consiguiendo así una mejora continua que puede ayudarles a solventar problemas de similares características en el futuro.

Aplicar la ISO-27001 a tu Sistema de Gestión de Seguridad de la Información (SGSI) significa una importante diferenciación respecto a potenciales competidores o simplemente respecto a otras empresas, mejorando así la competitividad y la imagen de una organización de cara a sus clientes.

Workplace by Facebook, certificó la #ISO27001 en octubre de 2017 con el objetivo de asegurar la protección de los datos de sus usuarios
Click To Tweet

Complementación y compatibilidad con otras normas de sistemas de gestión como la ISO 22301

Cómo bien se indica en el apartado segundo del punto introductorio de la normativa, la ISO 27001 mantiene la compatibilidad con otras normas de sistemas de gestión que hayan adoptado el anexo SL.

Esta certificación se complementaría muy bien con la de la ISO 22301 de gestión de continuidad de negocio. De esta manera se contaría con dos sistemas de gestión integrados en uno que permitiría:

• Asegurar, la confidencialidad e integridad de los datos y de la información de nuestros usuarios,
• Mantener la continuidad del funcionamiento de la plataforma mientras que se identifican y gestionan los riesgos pertinentes.

Software para ISO 27001

La solución tecnológica para la gestión de la excelencia ISOTools permitirá implantar, automatizar y mantener la a ISO 27001 para un Sistema de Gestión de Seguridad de la Información.

Con ISOTools se da cumplimiento a los requisitos basados en el ciclo PHVA (Planear – Hacer – Verificar – Actuar) para establecer, implementar, mantener y mejorar el Sistema Gestión de la Seguridad en la Información, así como se da cumplimiento de manera complementaria a las buenas prácticas o controles establecidos en ISO 27002.

ISOTools también permite aplicar los requisitos de otras normas de Seguridad de la Información como PMG SSI de los Servicios Públicos de Chile, entre otros.

Este software, permite integrar la ISO 27001 con otras normas, como ISO 9001, ISO 14001 e ISO 22301 de gestión de continuidad de negocio, de una forma sencilla gracias a su estructura modular.

The post Interrupciones de servicio TI: aseguramiento, confidencialidad e integridad de los datos appeared first on PMG SSI - ISO 27001.

Certificación ISO 27001

La certificación ISO 27001 se encuentra creada para el Sistema de Gestión de Seguridad de la Información. Gracias a las nuevas tecnologías y la globalización, se han extendido los sistemas informáticos con las ventajas que ello conlleva pero también los peligros.

El certificado en ISO 27001 se creó para avanzar en la gestión de la seguridad de la información. Es necesario mantener los pilares fundamentales de la seguridad. La norma ISO 27001 es una norma internacional que se encuentra emitida por la ISO (Organización Internacional de Normalización) y describe cómo se debe gestionar la seguridad de la información de una organización. Por esto existen al menos 10 pilares básicos:

• Certificación ISO 27001 vela porque la información sólo sea accesible por aquellos que tienen permiso para ello. No puede acceder nadie sin el debido permiso.
• La información debe mantenerse intacta. Sólo se puede modificar por las personas autorizadas.
• La información debe estar disponible para los usuarios que los necesiten.
• La certificación ISO 27001 debe velar porque exista un conjunto de procesos, gente y tecnología, analizando los riesgos de la información.
• El conjunto referido anteriormente debe eliminar los riesgos de seguridad de la información o minimización mediante el ciclo de mejora continua.
• La norma ISO 27001 establece un sistema con los parámetros que se deben seguir para gestionar la seguridad de la información.
• Implementar y operar el sistema. Cada empresa cumple con la ISO 27001 y opera con el sistema.
• Debe mantener y mejorar el sistema. Esta es otra de las filosofías de las que debe comprometerse las organizaciones que tienen el certificado ISO 27001.
• Revisar el sistema. Se trata de una actividad de mejora que se debe llevar a cabo para ver los fallos y minimizarlos.
• Renovar la certificación. Las organizaciones con la certificación ISO 27001 se deben comprometer a renovarla, algo que es más difícil que obtenerla. Durante la primera auditoría se pueden permitir que no tengan muchos controles implementados. Los controles que ya operan no sean muy buenos pero en la recertificación se deben desarrollar más y mejores controles.

En la actualidad, vivimos en un sistema informatizado prácticamente al 90% y se manejan numerosos datos confidenciales, por ello es tan importante la seguridad informática para las organizaciones.

La confidencialidad, integridad y disponibilidad de la información es crítica para mantener su ventaja competitiva, asegurando el cumplimiento y la construcción de la lealtad del cliente.

La norma ISO 27001 nos ofrece mucha experiencia dentro del sector público y privado, además de la implementación de un Sistema de Gestión de Seguridad de la Información y la demostración de las capacidades de seguridad de datos.

Proteger la confidencialidad e integridad de datos

Se debe demostrar el compromiso con la protección de datos de los clientes corporativos y confiados según con las mejores prácticas de la industria y las norma con la norma ISO 27001. Nuestros servicios de cumplimiento incluyen las siguientes fases:

Descubrimiento

• Revisión de materiales
• Procesos de revisión de negocios
• Sistemas de revisión de calidad en el lugar y otras certificaciones

Implementación

• Documentación del proyecto
• Proyecto de todas las políticas y procedimientos necesarios
• Seleccionar e implementar un sistema de control de seguridad del anexo A
• Determinar el método más eficiente para medir el desempeño
• Incrementar la sensibilización y la formación de mano de obra
• Establecer soluciones técnicas para el cumplimiento

Capacidad

• Acumular pruebas
• Mantener los registros
• Prepárese para el sostenimiento capacidad
• Auditoría interna anual
• Auditoría de seguimiento

Software ISO 27001

El estándar internacional ISO 27001, junto con todas las normas que componen su familia, generan todos los requisitos necesarios para poder implementar un Sistema de Gestión de Seguridad de la Información de una forma rápida y sencilla, además el Software ISOTools Excellence para la norma 27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa.

La norma ISO 27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa. Toda protección es importante, por mínima que sea, pues el mínimo descuido puede ocasionar una violación de los datos de la misma.

The post ¿Qué tienes que saber sobre la certificación ISO 27001? appeared first on PMG SSI - ISO 27001.

Certificación ISO 27001

La norma ISO 27001 es un estándar internacional emitida por la ISO que describe la gestión de la seguridad de la información en una organización. La revisión más reciente de esta norma ha sido publicada en el año 2013 y ahora se llama ISO 27001:2013. La primera revisión fue publicada en 2005 y se desarrolló es base a una norma británica BS 7799-2.

La norma ISO 27001 puede ser implementada en cualquier tipo de empresa, con o sin fines de lucro, privada o pública, pequeña o grande. Se redacta por los mejores especialistas del mundo en el tema y proporciona una metodología para implantar la gestión de la seguridad de la información en una empresa. También permite que una organización se certifique, lo que significa que una entidad de certificación independiente confirma que la seguridad de la información ha sido implantada en esta organización cumpliendo con los requisitos de la norma ISO 27001.

La ISO 27001 se ha convertido en la principal norma a nivel mundial para la seguridad de la información y muchas organizaciones han certificado su cumplimiento.

Si usted ya ha destinado suficiente tiempo en la implantación de la norma ISO 27001, ha invertido en capacitación, consultoría e implantación de todos los controles. Ahora llega el auditor de una entidad de certificación, para ver si cumple con todos los requisitos y se merece la certificación ISO 27001.

Esto puede producir cierta ansiedad, algo normal, ya que usted nunca puede saber a ciencia cierta si su Sistema de Gestión de Seguridad de la Información tiene todo lo que le va a solicitar el auditor de la entidad de la certificación ISO 27001.

El auditor llevará a cabo la Fase 1 de la auditoría, que se puede denominar “Revisión de la documentación”. En esta auditoría, el auditor busca la documentación sobre el alcance, la política y los objetivos del Sistema de Gestión de Seguridad de la Información, la descripción de la metodología de evaluación de riesgos, el informe sobre la evaluación de los riesgos, una declaración de aplicabilidad, un plan de tratamiento del riesgo, los procedimientos para el control de documentos, las medidas correctivas y preventivas y la auditoría interna. Usted también debe documentar algunos de los controles del Anexo A, que sólo se aplican en la declaración de aplicabilidad:

• Inventario de activos
• Utilización aceptable de activos
• Tareas y responsabilidades de los trabajadores, contratistas y terceros
• Términos generales de empleo
• Procedimientos para el funcionamiento de las instalaciones de procesamiento de información
• Política de control de acceso
• Identificar la legislación
• Se necesitan registro de la auditoría interna y la revisión por la alta dirección

Si falta alguno de los elementos, significa que no se encuentra listo para pasar a la Fase 2 de la auditoría de certificación. Como es obvio usted puede tener más documentos si lo considera necesario, pero la lista mencionada anteriormente son los requisitos mínimos.

La Fase 2 se denomina “auditoría principal” y se realiza unas semanas después de realizar la Fase 1. En esta auditoría el enfoque no va a ser sobre la documentación sino sobre su organización en sí misma, verificando que se realiza los que sus documentos y la ISO 27001 dicen que tiene que hacer. En otras palabras, el auditor debe verificar si su Sistema de Gestión de Seguridad de la Información verdaderamente se ha materializado en su empresa o si sólo se trata de letra muerta. El auditor debe verificar mediante la observación y entrevistas con sus trabajadores, pero controlado por sus registros. Entre los registros obligatorios se deben incluir los de formación, capacitación, habilidades, experiencia y calificaciones. Sin embargo, el auditor espera ver mucho más registros como resultado de la realización de los procedimientos.

Debe tener cuidado sobre este punto, cualquier auditor experimentado se dará cuenta al instante si alguna parte de su Sistema de Gestión de Seguridad de la Información y confeccionado solamente para los fines de la auditoría.

Si el auditor encuentra algún incumplimiento grave debe saber que no se emitirá la certificación ISO 27001.

En este caso el proceso es el siguiente: el auditor debe informar de los resultados en el informe de auditoría y ofrecerá un plazo en el que debe solucionar el incumplimiento. Su trabajo es tomar las medidas correctivas correspondientes, pero debe tener cuidado ya que esta acción tiene que solucionar el origen del incumplimiento, el audito puede no aceptar lo que se ha hecho. Una vez que esté seguro de haber tomado las medidas correctas, debe notificarle el auditor y enviarle la evidencia de lo que ha hecho. En la mayoría de los casos, si ha hecho su trabajo de forma concienzuda, el auditor debe aceptar la medida correctiva y activar el proceso de emisión del certificado.

Software ISO 27001

Desde ISOTools contamos con una serie de profesionales que les podrán ayudar y aconsejar durante el proceso de implementación de la ISO 27001, además contamos con el Software ISOTools Excellence que automatiza todo elSistema de Gestión de Seguridad de la Información, haciendo que se ahorre mucho tiempo, por lo que también ahorra dinero.

The post ¿Cómo conseguir la certificación ISO 27001? appeared first on PMG SSI - ISO 27001.

Certificación ISO 27001

Si su empresa va a pasar por el proceso de auditoría de certificación ISO 27001 puede ser que se esté realizando la siguiente pregunta: ¿Qué me preguntará el auditor?

La gran mayoría de auditores no suelen llevar prepara una lista de preguntas, ya que cada organización es diferente, por lo que deben improvisar. El trabajo que realizar un auditor para otorgar la certificación ISO 27001 será el de revisar la documentación, hacer preguntar y buscar pruebas que certifiquen que se cumplen los requisitos que establece la norma ISO 27001.

La norma ISO 27001 establece una serie de requisitos, que la organización tiene que cumplir. Para comprobar que se cumple con lo dice la norma, el auditor debe examinar los procedimientos, registros, políticas y personas. Las personas serán estudiadas mediante entrevistas personales en la que las preguntas que se realicen irán encaminadas a conocer que el Sistema de Gestión de Seguridad de la Información se encuentra bien implementado en la empresa.

Para las personas de la organización sería muy interesante conocer cómo piensan los auditores que participarán en la auditoria de certificación ISO 27001.

Documentación obligatoria

El auditor de certificación ISO 27001 deberá realizar una revisión de toda la documentación que existe en el Sistema de Gestión de Seguridad de la Información, se suelen pedir todos los documentos que establece la norma ISO 27001. En el caso de los controles de seguridad, se utiliza la Declaración de Aplicabilidad cómo guía. Existe una serie de documentos que son obligatorios y éstos son establecidos por la norma ISO 27001.

Además de los documentos obligatorios, el auditor debe revisar todos los documentos que la empresa desarrolle para apoyar la implementación del Sistema de Gestión de Seguridad de la Información o para la implantación de los controles de seguridad.

Evidencias

Una vez comprobada la existencia de los documentos del Sistema de Gestión de Seguridad de la Información se debe continuar y el siguiente paso será el de verificar que todo lo que se encuentra escrito en los documentos corresponde con la realidad.

Podemos poner el siguiente ejemplo: la organización define que la política de seguridad de la información se debe revisar cada año. El auditor puede preguntar si se ha revisado la política de seguridad pero no puede fiarse sólo de la palabra sino que debe comprobarlo, por lo que necesita pruebas. La evidencia puede estar incluida en los registros, en las actas de reunión, etc. La siguiente pregunta puede ser que le muestre los registros en los que aparece la fecha en la que se revisó la política de seguridad de la información.

Debe estar preparado para contestar las preguntas del auditor de certificación #ISO27001
Click To Tweet

En cuanto a los controles de seguridad, que también necesitan evidencias, se suele utilizar registros, archivos de sistema, diagrama de la red, configuración de plataforma, etc.

Entrevistas

En el momento de realizar las entrevistas el auditor de certificación ISO 27001 sabe que la organización utiliza la documentación necesaria, pero necesita conocer si las personas implicadas en el Sistema de Gestión de Seguridad de la Información se encuentran familiarizadas con dichos documentos y los utilizan para llevar a cabo las actividades.

Uno de los aspectos más importantes de la norma ISO 27001, no es la norma en sí sino que los trabajadores de la organización se encuentren concienciados. El auditor tiene que realizar entrevistar con las personas de la organización para conocer el grado del conocimiento de los documentos importantes del SGSI. Éstos suelen ser:

• La política de Seguridad de la Información
• Las cláusulas de confidencialidad
• Utilización de los activos
• Política de control de acceso

Las preguntas que se pueden realizar durante la revista son:

• ¿Tiene acceso a las normas internas de la empresa que tengan relación con la seguridad de la información?
• ¿Me puede enseñar algunas de las políticas que se encuentran relacionadas?
• ¿Puede decirme cuáles son los puntos más importantes de la política de seguridad?

El auditor también se puede entrevistar con los responsables de los procesos, de áreas físicas y departamentos, de los que obtendrá la percepción de cómo aplican la norma ISO 27001 en la organización. Durante la entrevista las preguntas se dirigirán para familiarizarse con las funciones y los roles que las personas tienen en el Sistema de Gestión de Seguridad de la Información y conocer si cumplen con los controles implantados en la empresa.

Cómo debe preparase

Como resumen podemos decir que un auditor de certificación ISO 27001 puede solicitar la siguiente información:

• Los documentos requeridos por la norma ISO 27001 y cualquier documento que existe en el Sistema de Gestión de Seguridad de la Información.
• Comprobar el cumplimiento de los documentos.
• Realizar entrevistas personales.

Si quiere estar preparado para las preguntas que el auditor de certificación ISO 27001 puede realizar lo primero que debe hacer es comprobar que dispone de todos los documentos que pueden ser requeridos y después comprobar que la organización hace todo lo que dice en los documentos y puede ser probado. Es muy importante que la gente conozca los documentos que son aplicables. Se debe asegurar que su organización implantó eficazmente la norma ISO 27001 y acepta las operaciones que debe realizar cada día, ya que si no realiza esto se podrá pensar que la documentación ha sido creada para satisfacer al auditor de certificación ISO 27001.

Software ISO 27001

El Software ISOTools Excellence para la norma ISO 27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa. Toda protección es importante, por mínima que sea, pues el mínimo descuido puede ocasionar una violación de los datos de la misma.

The post ¿Cómo obtener la certificación ISO 27001? appeared first on PMG SSI - ISO 27001.

ISO 27001

Existe un ambiente dinámico de los riesgos en seguridad, ya que muestra continuos cambios, nuevas amenazas se desarrollan, se descubren vulnerabilidades e incidentes de seguridad que tienen grandes repercusiones. Es cuestión de tiempo que las organizaciones padezcan las consecuencias de dichas amenazas, por eso deben protegerse con la norma ISO 27001.

Lo más importante es encontrase preparado para atender ciertas incidencias, sin dejar de lado las medidas preventivas y proactivas que minimicen la probabilidad del impacto que pueda generar, además de las acciones correctivas necesarias para solventar los problemas.

Según la RAE, gestionar es realizar diligencias que conduzcan al conseguir un negocio. Con esta definición se quiere proteger la información que es fundamental para conseguir los objetivos de las organización, por lo que en el ámbito de la organización, se convierte en necesidad gestionar la seguridad de la información.

Los incidentes en seguridad se pueden generar por desconocimiento o negligencia de las personas, puede ser que sea de forma accidental o de forma deliberada (lo que supone un ataque), por esto se debe considerar la aplicación de las diferentes perspectivas para incrementar y mejorar la seguridad de la información. Una forma de conseguirlo mediante la alineación de estándares y utilizar mejores prácticas en la materia.

Se puede aplicar la norma ISO 27001 como base a dicho principio, por lo que durante este post conoceremos los dos pilares que conforman dicho documento, además de las ideas básicas plasmadas en el mismo.

El estándar internacional usado durante la gestión de la seguridad de la información es ISO 27001, en ella se representa la experiencia acumulada por los expertos en el tema. Aunque la implantación se debe realizar en función de las características, las necesidades y las condiciones de cada empresa, existen unos primeros pasos con lo que se relacional el conocimiento del documento y sus propósitos.

Queremos conocer el contenido del estándar, es decir, los pasos a seguir para realizar el proceso de  implementación. La estructura se reduce a dos elementos básicos: las cláusulas de los requisitos para que una empresa funcione de forma alineada con un Sistema de Gestión, junto con los objetivos de control y los controles de seguridad, lo que establece diferentes puntos de vista en la protección.

Pasos a seguir a la hora de trabajar con un Sistema de Gestión de Seguridad de la Información:

Lo primero que debemos considerar en el estándar son las cláusulas que definen todas las actividades necesarias para poder definir y establecer, implantar y operar, monitorear y revisar, además de mantener y mejorar un Sistema de Gestión de Seguridad de la Información ISO 27001.

La nueva versión de la norma ISO 27001 no se considera de forma explícita como un modelo de mejora constante, de forma implícita se consideran las diferentes fases que concuerdan con el Anexo SL, es decir, la estructura que utilizarán todos los estándares ISO para establecer cláusulas parecidas.

Mediante el seguimiento y la aplicación de las actividades que se definen en las 10 cláusulas, las empresas comienzan por dar forma a su Sistema de Gestión de Seguridad de la Información ISO 27001. Para que se encuentre alineada al estándar, una empresa debe cumplir con las cláusulas 4 a 10.

Para la misma edición, los requisitos comprenden elementos clave, como comprender el contexto de la empresa, las actividades que generan liderazgo de la altar dirección, el planteamiento, el soporte que establece los recursos necesarios, las competencias y la concienciación de las personas, además de operar con el SGSI, evaluar su desempeño gracias a las auditorías y las revisiones por la dirección, de forma final se mejora el sistema de gestión por medio de acciones correctivas.

Definir los objetivos de control y los controles de seguridad

El segundo elemento que conforma la estructura del estándar los objetivos de control y los controles de seguridad que son descritos en el Anexo A de la norma ISO 27001.

El estándar define un objetivo de control como el que se anuncia para describir lo que quiere conseguir, el resultado de la implantación de controles, además del control descrito como una medida que modifica el riesgo. Es importante mencionar que para modificar el riesgo, se deben tener en cuenta dos variables:

• Probabilidad: es la posibilidad de que ocurra algo.
• Impacto: son las consecuencias que pueden representar.

En mejor de los casos, un control modifica ambas variables.

El control no siempre tiene porque generar los resultados esperados, lo que se traduce en adecuarse al mismo, en sustituirlo o aplicarlo según los controles complementarios. Se pueden incluir una serie de procesos, políticas, dispositivos, prácticas u otras acciones que modifican los tipos de riesgos.

El Anexo A del estándar describe un listado de 114 controles de seguridad que se agrupan en 35 objetivos de control, que además se deben considerar 14 dominios, entre los que están las políticas y la organización respecto a la seguridad de la información, seguridad de recursos humanos, gestión de activos, control de procesos, criptografía, seguridad física, seguridad de las operaciones y de las comunicaciones.

Los dominios se consideran mediante diferentes perspectivas para proteger la información, por lo que también se incluyen objetivos de control específicos para realizar el mantenimiento, el desarrollo y la adquisición de sistemas, medidas de seguridad para relaciones con proveedores, gestión de incidencias de seguridad, continuidad de negocio y controles para el cumplimiento.

Podemos concluir con que la norma ISO 27001 presenta la siguiente estructura básica:

• En primer lugar se encuentran todas las clausulas en las que se definen los requisitos para implementar, operar, revisar y mejorar el Sistema de Gestión de Seguridad de la Información.
• En segundo lugar se encuentra el Anexo A, en el que se describen todos los controles para proteger la información.

Muchos elementos de la norma ISO 27001 son considerados con diferentes perspectivas: acciones y controles de seguridad que son aplicadas de forma previa a los incidentes, elementos proactivos como planes en caso de contingencia, seguridad ofensiva y enfoques reactivos.

El contenido que presenta la norma ISO 27001 tiene la intención de gestionar la seguridad, es decir, tomar decisiones que conduzcan hacía el propósito básico de proteger la información más importante de las empresas, al tiempo que conseguir los beneficios de alinearse a los demás estándares ISO.

Sistema de Gestión de Seguridad de la Información

El Software ISOTools Excellence para ISO 27001 para la Seguridad de la Información se encuentra compuesta por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las empresas no pierda ninguna de sus propiedades más importantes. Facilita el cumplimiento de las diferentes fases del ciclo de mejora continua.

The post ¿Por qué aplicar la norma ISO 27001? appeared first on PMG SSI - ISO 27001.

Sistema de Gestión de Seguridad de la Información

La norma ISO 27001 sobre la Seguridad de la Información, conseguir tener seguridad cuesta tiempo, dinero y esfuerzo. Es posible que se obtengan diferentes niveles mínimos de seguridad sin gastar de forma considerable.

Conseguir una protección adicional requiere de incrementar los niveles de gastos, obteniendo retribuciones menores. La economía es muy necesaria y es importante para asegurarse que existe una relación coste/beneficio razonable con respecto a las medidas de seguridad.

Para conseguir todo eso es necesario establecer ciertas prioridades. Éstas serían:

• ¿Qué se desea proteger?

Es importante conocer el valor de hardware y las tareas que lleva a cabo. La valoración tiene que realizarse de forma individual, por lo que es muy valioso para algunas organizaciones, lo que no conlleva que para otras lo sea.

• ¿De quién se quiere proteger?

Para que no se produzcan gastos innecesarios, es muy importante conocer los tipos de riesgos a los que se encuentra expuesta nuestra información. La seguridad efectiva tiene que garantizar la prevención y detectar los accidentes, ataques, daños, además deben existir diferentes medidas definidas para afrontar los desastres y conseguir establecer las actividades.

• ¿Qué cantidad de tiempo, esfuerzo y dinero está dispuesto a invertir?

La organización debe conocer la cantidad de recursos de los que dispone a la hora de invertir en la empresa, o establecer las instancias que se deben llevar a cabo.

Los recursos son:

• Tiempo: establece un nivel de seguridad alto resulta necesario para quien dedica su tiempo a configurar parámetros de seguridad en el Sistema de Gestión de Seguridad de la Información, el ambiente de trabajo de los usuarios, revisión y fijación de los permisos de acceso a los archivos, ejecución de programas para el monitoreo de seguridad, etc.
• Esfuerzo: establece y mantiene un nivel adecuado de seguridad para que el esfuerzo sea por parte del encargado, sobre todo si suceden problemas de seguridad.
• Dinero: los responsables de los Sistemas de Gestión de Seguridad de la Información cuesta el dinero. De igual manera que cuesta el dinero la adquisición de los productos de seguridad que se utilicen, bien sean programas o equipos completos.

Resulta muy importante analizar los costos que tendrán, las pérdidas o los accesos no autorizados a la información. Dependiendo de esto, y en el que caso de que se realice un acceso no autorizado, el efecto que se genera en pérdidas económicas puede poner en peligro la consecución del Sistema de Gestión de Seguridad de la Información ISO 27001.

Teniendo en cuenta lo que acabamos de decir se deben considerar ciertos planes de seguridad, como pueden ser:

• Formular medidas suficientes para conseguir un nivel de seguridad adecuado, obteniendo un equilibrio en torno a los niveles de riesgo.
• Justificar las medidas de seguridad en cuanto al costo que pueden suponer.

Se tiene que contar con que es prácticamente imposible conseguir que un Sistema de Gestión de Seguridad de la Información ISO 27001 sea completamente seguro, ya que se debe a que no pueden prever las amenazas aunque la seguridad se incremente a niveles muy elevados, ya que siempre hay alguna de acceder sin autorización.

Determinar de forma correcta la seguridad que debe tener se estudian dos puntos de vista diferentes: el primero constará de elementos administrativos desarrollados para obtener un buen control de la organización y el segundo está compuesto de los elementos que integran la seguridad física.

Normas obligatorias

El objetivo que persigue la Gestión de la Seguridad de la Información según ISO 27001 es realizar de forma efectiva las actividades por parte de la organización.

La Seguridad de la Información es el resultado de unir política de seguridad y procedimientos en los que se identifican, controlan y protege la información y cualquier equipamiento utilizado para almacena, transmitir y procesar la información.

Alguna persona de la dirección de la organización que tenga la autoridad apropiada debe aprobar la política de Seguridad de la Información que debe ser comunicada a todas las personas que forman parte de la organización y a los clientes que sea necesario.

Controles adecuados de seguridad deben funcionar para:

• Implantar los requisitos de la política de seguridad de la información.
• Gestionar los riesgos asociados al acceso del servicio o de los sistemas.

Los controles de seguridad tienen que encontrarse perfectamente documentados. Esta documentación tiene que describir los riesgos a los que se encuentren asociados los controles, y la forma de usarlos, además del manteamiento de éstos. El impacto de los cambios sobre los controles tiene que estar valorado antes de que los cambios se implementen. Los acuerdos que implican el acceso de terceras personas en el Sistema de Información y en los servicios que ofrece se debe basar en un acuerdo formal en el que se incluyan todos los requisitos de seguridad necesarios.

Los incidentes producidos en seguridad deben ser comunicados y registrados de acuerdo a los procedimientos de gestión de incidencias tan pronto como sea posible. Se deben utilizar procedimientos que aseguren que las incidencias de seguridad son investigadas, y se toman las medidas oportunas para esto.

Se deben establecer ciertos mecanismos que faciliten la cuantificación y monitorización de las incidencias, además del mal funcionamiento de la seguridad, y ofrecer entradas del plan de mejoras.

El personal que provee el servicio debe contar con roles de especialista en Seguridad de la Información, y debe estar familiarizado con la norma ISO 27001.

El proveedor del servicio debe:

• Mantener actualizado el inventario de activos de información, ya que son necesarios para prestar los servicios necesarios.
• Clasificar los activos según la criticidad para el servicio y el nivel de protección que se requieran, además de nombrar a un responsable de la protección.
• Clasificar cada activo según la criticidad de éste y el nivel de protección que requiera.
• Los responsables de la protección de los activos debe ser del propietario de los activos.

Software para ISO 27001

El estándar internacional ISO 27001, junto con todas las normas que componen su familia, generan todos los requisitos necesarios para poder implementar un Sistema de Gestión de Seguridad de la Información de una forma rápida y sencilla, además el Software ISOTools Excellence para ISO 27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa.

The post ISO 27001: Las consideraciones en Seguridad de la Información appeared first on PMG SSI - ISO 27001.

ISO 27001

Según la norma ISO 27001 la seguridad de TI comprende a todos los activos de información y como hoy en día casi todo se encuentra informatizado se extiende a casi toda la organización.

En el momento que se abra una cuenta bancaria, se efectúa el registro en un hotel, se obtiene una tarjeta de crédito, se asocia a un club, se registra en internet, etc. se obtienen datos que pueden ser mal utilizados dando lugar a ciertas vulnerabilidades.

Violar la confidencialidad de la información, por considerar sólo un aspecto, puede suponer una infracción de las obligaciones legales, como puede ser la Ley de Protección de Datos o el mantenimiento en reserva de la identidad de los donantes y receptores de órganos que establece el reglamento de Ley 24193 en Argentina.

Un ejemplo de lo que hemos hablado es la confidencialidad de las historia clínicas y los datos clínicos de los pacientes, que exponemos en el siguiente caso:

Es un recurso de amparo constitucional contra la sentencia que se dictó en la Salda de los Social del Tribunal Superior de Justicia de Cataluña.

Según los hechos declarados, la entidad demandada dispone de unos locales de empresa en los que se realizan las visitas de sus empleados facultativos de la Seguridad Social y donde se encuentran ubicados, además de todos los servicios médicos de la organización. Los servicios son prestados por cuatro médicos, tres de ellos son facultativos de un centro de salud a la misma vez que trabajadores de la entidad.

La organización cuenta con un sistema informático, con una sola base de datos, en la que existen los ficheros médicos en los que constan con los resultados de la revisiones periódicas que se realizan por los servicios médicos de la organización y las empresas médicas subcontratadas, además  como los diagnósticos médicos de todas las bajas por incapacidad temporal de los trabajadores recetadas por los facultativos de la Seguridad Social.

El fichero médico, que se encuentra individualizado, no está dado de alta como tal en la Agencia de Protección de Datos y de forma única tienen acceso a éste los facultativos y un empelado del banco, en su calidad de administrador único de informática, que se encuentra en la Jefatura de Personal, en RRHH que facilita la clave de acceso.

El empleado se dirigió de forma escrita a la entidad de crédito en la que presta sus servicios, solicitando una relación de todos los datos relativos a la salud de los trabajadores en los ficheros informáticos que posee el banco. En respuesta de dicha solicitud, el director de servicios médicos de la organización remitió al interesado los datos médicos que se referían a él y que existía en el fichero informatizado que se ha utilizado por el servicio, siendo todos las bajas temporales causadas por el trabajo, con las fechas correspondientes de alta, baja y diagnóstico, como establecen los impresos oficiales.

El empleado sigue pensando que el archivo no se encuentra dado de alta en la Agencia de Protección de Datos, por lo que no existe ningún responsable oficial del mismo y a él tiene acceso los cuatro médicos contratados por la entidad, además el trabajador del banco adscrito al área de personal que no ostenta la condición de facultativo y facilite la clave de acceso al sistema, lo que sería un atentado contra la confidencialidad de los datos.

Existe un artículo que determina que se debe dar el consentimiento del afecto para que se trate de forma automatizada de datos personales, solo que por ley se disponga lo contrario, o cuando una relación contractual dichos datos sean precisos para mantener o cumplimentar el contrato. Y ni la Ley General de Sanidad, ni las normas reglamentarias reguladores de todos los servicios médicos de la empresa y de la colaboración de las organización la Seguridad Social autorizan las creación de este tipo de fichero sin mediar el consentimiento de los afectados.

De forma única, la seguridad social puede crear este tipo de ficheros, pero cuenta con muchas limitaciones. No existe habilitación legal para crearlo, ya que solo se encuentra disponible los datos imprescindibles para cumplir con el contrato o mediante el consentimiento expreso del afectado, en este caso no fue así.

Uno de los fundamentos del fallo se indica porque la ley limita la utilización de la información con la que garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos. Agrega que la llamada “libertada informáticas” es el derecho a poder controlar la utilizar de los mismos datos que se encuentran en un programa informático y comprende la oposición del ciudadano a que determinado datos personales se utilizan para fine diferentes de aquél que justificó su obtención.

El tribunal constitucional le dio la razón al trabajador y declaró que existían diagnósticos médicos en la base de datos “absentismo con baja médica”, cuya titularidad era de la entidad. Se decidió restablecer el derecho vulnerado, y ordenó la inmediata supresión de las referencias existentes a los diagnósticos médicos contenida en la citada base de datos.

Como conclusión, podemos decir que resulta imprescindible que exista una clasificación de la información que facilita la protección de los datos personales y que sólo prevé el acceso a los datos y el tratamiento de éstos por las personas que necesitan cumplir dicha función.

Sistema de Gestión de Seguridad de la Información

El Software ISOTools Excellence para ISO 27001 se encuentra diseñado para implantar un Sistema de Gestión de Seguridad de la Información en cualquier tipo de organizaciones y, entre otros aspectos, trabajar para que la comunicación de la información sea lo más segura posible.

The post ISO 27001: ¿Cómo evitar la vulnerabilidad en la información? appeared first on PMG SSI - ISO 27001.

Sistema de Gestión de Seguridad de la Información

La norma ISO 27001 establece que una fuente de vulnerabilidad se encuentra asociada al fallo en la seguridad  del entorno no impendo que se encuentre sin autorización, lo que puede generar daños en las instalaciones de la organización y la información sensible de ésta.

Lo que puede venir dado por una falta de protección física en el edifico, puertas de entrada o ventanas, un mal uso del control en el acceso al edificio y a los despachos, una mala ubicación de los activos de información, etc.

Se pueden dar casos que pongan en evidencia la vulnerabilidad de la organización, ya que la vulnerabilidad no es un concepto estático por lo que nuevas amenazas pueden emerger con el tiempo.

Otro aspecto a tener en cuenta es considerar la necesidad de contratar un seguro que se haga cargo si llegase a suceder un incidente de seguridad. La norma ISO 27001 sugiere que no solo se contemplen las protecciones individuales, sino también las sugeridas por una repentina interrupción del servicio debido a desastres incontrolados. Las coberturas deberán amparar diferentes riesgos como pueden ser:

• Pérdidas causadas por la interrupción
• Costos adicionales por utilizar un lugar alternativo

Las vulnerabilidades pueden provenir de amenazas internas, lo que obliga a las organizaciones a realizar cambios en sus sistemas de control internos.

La norma ISO 27001 nos puede ayudar a mejorar la Seguridad de la Información en nuestras organizaciones, pero las medidas de seguridad relativas a la empresa y las de TI no son del todo nítidas. La seguridad en las organizaciones es un todo, por lo que debe existir consistencia entre los objetivos de la empresa, contando con un plan estratégico de Sistemas de Información, hasta conseguir la estructuración de todos los recursos, los flujos de información y los controles que faciliten la consecución de las metas.

Se puede identificar como vulnerabilidad la falta de una política de seguridad que facilite a la dirección de la empresa el apoyo que necesita para establecer el Sistema de Gestión de Seguridad de la Información. También podemos decir que existe cuando ésta no se encuentra plasmada en un plan que no tengan la correspondiente asignación de recursos necesarios para llevarlo a cabo o que los plazos fijados no se correspondan con la realidad.

La vulnerabilidad de algunos tipos de organizaciones es una preocupación de los organismos reguladores.

En algunas partes de la organización, de forma especial, en los departamentos de informática es necesario que las funciones se encuentren perfectamente descritas y la responsabilidad esté claramente delimitada y documentada. Es necesario que los miembros tengan conocimiento de las funciones que realizan y sus responsabilidades.

Durante los últimos años ha crecido en todas las empresas la importancia que se ha asignado al control del cumplimiento de las reglas:

• Externas: leyes, decretos, ordenanzas, etc.
• Internas: políticas, planes, prácticas y procedimientos.

La forma de implementar la norma ISO 27001 es mediante la posición del cumplimiento, como una función de dependencia del primer nivel de la empresa.

La función que realiza el responsable se encuentra ligada al ámbito de la seguridad de la información. En muchos casos se lleva a cabo un entrenamiento del personal con el fin de contribuir a concienciarlos en seguridad de la información.

Un defecto en los procedimientos durante la implantación del Sistema de Gestión de Seguridad de la Información ISO 27001 puede generar vulnerabilidades.

Una forma de proteger la información es la de utilizar una clave que cumpla cierto requisitos, para que no se pueda poner una clave demasiado sencilla para dificultar la entrada de personas no autorizadas. Además, cada cierto tiempo se debe revisar la contraseña y debe ser cambiada por otra. Todo esto irá dirigido por el responsable del SGSI.

Se ha probado la eficacia de este enfoque, ya que nadie mejor el dueño del activo para evaluarlo y tomar las medidas de seguridad necesarias.

El personal de la empresa es considerado como uno de los activos más débiles desde el punto de vista de seguridad.

La calidad de los recursos humanos influye  en la calidad de los procesos de la organización  la gestión de cada uno de los elementos fundamentales.

La vulnerabilidad inherente al personal se dará cuando:

• La selección de recursos humanos no se haga sobre elementos objetivos y no considere la formación, experiencia y niveles de responsabilidad anteriores.
• No se realicen evaluaciones periódicas comparando con otras normas y responsabilidades del puesto.
• No se identifiquen necesidades de formación al comprar experiencia contra las responsabilidades y necesidades de desarrollo personal y tecnológico de la empresa.
• No se satisfacen las necesidades de capacitar al personal.
• No existen controles que eviten cambiar la posición.
• No existen pautas para promocionar al personal en su desempeño profesional.
• Existe una alta rotación de personal y un alto índice de absentismo.
• No existen procedimientos definidos.
• Cuando se existan seguros que cubran la infidelidad del personal.

El Software ISOTools Excellence cuenta con diferentes aplicaciones que trabajan para que la Seguridad de la Información con las que cuentan las organizaciones no pierda ninguna de sus propiedades más importantes, como puede ser la integridad, la confidencialidad, etc. Además, permite implementar, mantener y mejorar el SGSI basado en la norma ISO 27001.

The post ISO 27001: ¿Cómo detectar los diferentes tipos de vulnerabilidades? appeared first on PMG SSI - ISO 27001.