BLOG

Seguridad de la información

Definiciones de evento, incidencia o no conformidad en ISO 27001

La no conformidad en ISO 27001, así como el evento y el incidente en seguridad de la información, se definen en el Anexo A de la norma. El objetivo del mismo es garantizar un enfoque coherente y efectivo para el ciclo de vida de cada uno de estos hechos. Y, para ello, es importante y necesario conocer el alcance de los mismos y su definición exacta.

Si una no conformidad en ISO 27001 no es igual a una incidencia o a un evento, se deduce que cada uno de ellos requiere procedimientos de respuesta diferentes. Y tales procedimientos deben definirse antes de que se presenten, para actuar con efectividad.

Serie ISO 27000: la relación entre ISO 27701, ISO 27001 e ISO 27002

El Reglamento General de Protección de Datos –GDPR– abre un nuevo escenario para la protección y privacidad de la información a nivel mundial, al que no es ajeno a la serie ISO 27000. Aunque algunos profesionales del área se preguntan para qué implementar ISO 27001 si con ello no se alcanza la conformidad con el GPDR, lo cierto es que, cuando se comprende la serie ISO 27000, uno se da cuenta de la verdadera relevancia de esa norma para alcanzar el cumplimiento con este Reglamento General de Protección de Datos.

La serie ISO 27000, conformada en esencia por la ya conocida ISO 27001, su anexo de comprensión ISO 27002 y la menos conocida, hasta el momento, ISO 27701, definen una estructura normativa que protege a la organización de cualquier incumplimiento en materia de seguridad y privacidad de la información.

Términos y condiciones de seguridad para los empleados en ISO 27001

Lo primero y lo más importante que pueden hacer los departamentos de recursos humanos cuando se trata de seguridad de la información es ser proactivos en lugar de reactivos. Concretamente, los empleados en ISO 27001 son una preocupación para el sistema que involucra capacitación, definición de roles y establecimiento de protocolos entre otras consideraciones.

Por supuesto, es necesario redactar políticas y procedimientos para los empleados en ISO 27001 que cubran a los trabajadores actuales, pero también a los que nuevos empleados o, incluso, a los que cambien de posición dentro de la organización.

Experto ISO 27001: cómo convertirse en oficial de protección de datos GDPR

Como era de esperar, la entrada en vigor del GDPR – Reglamento General de Protección de Datos – ha creado la demanda de un puesto específico: el oficial de protección de datos GDPR, conocido también como DPO por sus siglas en inglés. Como también era de esperar, para cumplir sus funciones una de las opciones más habituales es recurrir al profesional en seguridad de la información.

Identificar requisitos de las partes interesadas en ISO 27001

Los requisitos de las partes interesadas en ISO 27001 aparecen en la cláusula 4.2 de la norma. En ella se señala que la organización debe identificar y comprender los requisitos de las partes interesadas en el sistema de gestión de seguridad de la información, tanto internas como externas, que puedan afectar la capacidad del sistema para alcanzar los resultados previstos, o aquellas que puedan influir en la dirección estratégica de la organización.

Además, la identificación de los requisitos de las partes interesadas en ISO 27001 está estrechamente vinculada a la definición del contexto interno y externo de la organización, tema abordado en la cláusula 4.1. de la norma. Sin embargo, tanto en un caso como en el otro, no se ofrece mucha orientación. Por ello, resulta de interés desglosar esta cuestión, para disponer de bases sólidas desde las que construir un SGSI que realmente satisfaga las necesidades de las partes interesadas en ISO 27001.

Cómo alinear la seguridad de la información con la dirección estratégica en ISO 27001

Alinear la seguridad de la información con la dirección estratégica en ISO 27001 es un requisito de la norma, y como tal, se debe alcanzar la conformidad con él. Y es así porque representa una gran oportunidad para alcanzar la sostenibilidad del sistema de gestión de la seguridad de la información en el tiempo. Sin embargo no se habla mucho de este requisito.

Análisis de riesgos en ISO 27001: evaluar consecuencias y probabilidades

Cuando se implementa el análisis de riesgos en ISO 27001, la identificación de activos, amenazas y vulnerabilidades que atañen a la seguridad de la información es tan solo la primera parte del trabajo. La segunda fase, tan importante como la primera y no menos difícil, implica evaluar las consecuencias y probabilidades de cada riesgo. En otras palabras, la probabilidad de que ocurra y el impacto negativo que supone su ocurrencia.

El tipo de análisis de riesgos en ISO 27001 no está prescrito dentro del cuerpo de la norma. ISO 27001 requiere que la organización evalúe las consecuencias y la probabilidad de cada riesgo, pero no dice cómo hacerlo. Depende de los encargados del sistema decidirlo.

Certificación ISO 27001 acreditada vs no acreditada

Implementar un Sistema de Gestión de Seguridad de la Información es una cosa. Obtener una certificación ISO 27001 acreditada, es otra, y otra muy diferente es obtener una certificación no acreditada.

Se trata de tres estados diferentes de un mismo proceso, pero que, en la práctica, presentan notables diferencias. ¿Qué diferencia la certificación ISO acreditada de las otras dos opciones? Lo analizamos a continuación.

Evaluación de riesgos ISO 27001: cómo combinar activos, amenazas y vulnerabilidades

La evaluación de riesgos ISO 27001 requiere identificar primero esos riesgos de la información. Para ello, la organización puede elegir uno cualquiera de los muchos métodos que existen, diseñados para tal labor. Por alguna razón, la metodología que se definía en la edición 2005 de la norma sigue siendo la más utilizada. Bajo dicha metodología, la evaluación de riesgos ISO 27001 requiere combinar activos, amenazas y vulnerabilidades en un mismo modelo de evaluación. A continuación conocemos mejor este proceso.

BLOG

Seguridad de la información

Categorías