Muchas personas piensan que la evaluación de riesgos es una parte muy difícil de la implantación de la norma ISO 27001, la evaluación del riesgo es mucho más compleja, pero el tratamiento del riesgo es mucho más estratégico y costoso.
La norma ISO 27001 es un estándar de Seguridad de la Información, que establece todos los requisitos necesarios para el Sistema de Gestión de Seguridad de la Información de una empresa. Se trata de un estándar internacional y una gestión efectiva de los riesgos para la seguridad de la información confidencial de una organización. Además, promueve la gestión eficaz de la información corporativa sensible y destaca todas las vulnerabilidades para asegurarse de que se encuentra bien protegido contra las amenazas potenciales e incluye a las personas, procesos y sistemas de TI.
El estándar internacional ISO 27001 nos ofrece un modelo para crear, implantar, supervisar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información. Para ellos debemos tener ciertas cosas claras antes de tomar la decisión de implementar la norma ISO 27001, estas son:
En un artículo anterior ya comentamos la protección física de los equipos, el post es el siguiente ¿Cómo podemos poner en práctica la protección física de un equipo según la norma ISO 27001?, en el que dijimos que la norma ISO 27001 ofrece una buena solución para proteger la seguridad de la información en la organización, además dijimos que es necesario configurar una serie de controles de seguridad física para proteger el equipo. Se discutieron todas las medidas de seguridad que se deben utilizar para proteger de forma indirecta los equipos de su organización.
La gestión de los flujos informativos que se producen dentro de una empresa es un factor determinante para el desarrollo de la misma. Es el elemento que permite saber hasta dónde se conocen las organizaciones a sí mismas y cómo pueden aplicar dicho conocimiento para mejorar sus procesos internos gracias a la norma ISO 27001.
La mayoría de las organizaciones de hoy en día cuentan con controles para protegerse de software maliciosos, para evitar que los trabajadores tengan acceso a lugares maliciosos o para cifrar la información cuando es enviado o recibido mediante un correo electrónico. La forma más sencilla de tener todo esto controlado es con la implementación del Sistema de Gestión de Seguridad de la Información basado en el estándar internacional ISO 27001. Sin embargo, a menudo se encuentran empresas que descuidan la protección física de los equipos, tal vez debido a que muchas organizaciones piensan que los problemas de seguridad se manejan si compran un buen antivirus o cualquier otra solución que ofrezca un buen software.
Desde el año 2013 se encuentra disponible la nueva versión de la norma ISO 27001. Dicha norma ya se está elaborada bajo la estructura que determina el Anexo SL.
Si en su organización se están planteando la posibilidad de implementar el Sistema de Gestión de Seguridad de la Información basado en ISO 27001, es probable que se encuentre abrumado con todos los enfoques que existen sobre la iniciación y la finalización del proyecto con éxito.
Para obtener el certificado en la norma ISO 27001 no es suficiente con llegar a la entidad de certificación y pedirlo, sino que se deben realizar una serie de acciones para conseguir dicho certificado.
Hace un tiempo existía el temor de realizar pagos con tarjeta online, podía ser infundado, pero nos encontramos de nuevo con la importancia que tiene realizar una revisión de la seguridad relativa a los pagos que se llevan a cabo como en algo tan cotidiano como puede ser las webs de hoteles. La norma ISO 27001 junto a PCI DSS nos ayuda a mejorar la seguridad y evitar estos casos.
