Un blog editado por ISOTools Excellence
Blog especializado en Sistemas de Gestión
de Seguridad de la Información
Síguenos
Hace mucho tiempo el control que realizaban los empresarios era el de controlar que los trabajadores no perdieran el tiempo en la organización dedicando tiempo a otros quehaceres que no fueran los estrictamente laborales. Hoy en día, esto ha cambiado, se presenta un gran abanico de riesgos que pueden afectar a la seguridad informática de la organización, y que hace que ésta se vea forzada a establecer una serie de protocolos que deben seguir los trabajadores.
Realizar una valoración de los riesgos de la seguridad de la información, es una de las principales actividades que se debe realizar al implementar la norma ISO 27001 en nuestra empresa. Al realizar la valoración de los riesgos se determinarán: los controles que se deben aplicar, las acciones y tratamientos a realizar, los objetivos a cumplir, etc. Y, por lo tanto, es crítico, para que el Sistema de Gestión de Seguridad de la Información sea realmente útil, y no una carga extra de trabajo para la empresa.
Uno de los cambios más significativos de la norma ISO 27001, un estándar mundial para Sistemas de Gestión de Seguridad de la Información, es que no prescribe ningún enfoque en la evaluación del riesgo. A pesar de que aún requiere la adopción de un enfoque de evaluación de riesgos basado en procesos, tiene la obligación de usar un modelo activo-amenaza-vulnerabilidad en la identificación de los riesgos existentes.
Existe un ambiente dinámico de los riesgos en seguridad, ya que muestra continuos cambios, nuevas amenazas se desarrollan, se descubren vulnerabilidades e incidentes de seguridad que tienen grandes repercusiones. Es cuestión de tiempo que las organizaciones padezcan las consecuencias de dichas amenazas, por eso deben protegerse con la norma ISO 27001.
La norma ISO 27001 establece que una fuente de vulnerabilidad se encuentra asociada al fallo en la seguridad del entorno no impendo que se encuentre sin autorización, lo que puede generar daños en las instalaciones de la organización y la información sensible de ésta.
