Clasificar la información según ISO 27001 es una de las tareas más interesantes en el área de Gestión de Seguridad de la Información. La clasificación, no obstante, implica algunas dificultades debido a la cantidad de fuentes de las que proviene la información y la diversidad de formatos en que se encuentra disponible.
Los cursos cortos en cualquier área de Gestión ISO, han sido diseñados para cumplir un propósito definido: aportar conocimientos, habilidades y competencias inmediatas, para resolver necesidades de formación igualmente urgentes en todo tipo de organizaciones.
Los cursos cortos, además, abordan temas y campos de trabajo muy definidos y específicos. Tan concretos son los contenidos, que no existe un programa formal, universitario o que ofrezca un título que subsane estas necesidades de formación.
La Directiva NIS 2 es un paso más en el camino que ha emprendido la Unión Europea para contar con regulaciones más estrictas para proteger la información y los datos de los consumidores y usuarios.
La Directiva NIS 2 es, como lo sugiere su nomenclatura, una edición revisada de la Directiva sobre Seguridad de Redes y Sistemas Informáticos, publicada en agosto del año 2017.
La política de escritorio limpio y pantalla despejada encaja dentro de los controles del Anexo A que forman parte de la norma ISO 27001. Esta política es un elemento clave para la Seguridad de la Información, impresa o digital, en cualquier organización.
Muchos empleados gestionan información sensible, confidencial o privilegiada. Y son conscientes de que lo hacen. Por eso toman precauciones e implementan los respectivos controles propuestos por el estándar ISO 27001. Pero siempre existen momentos en los que la cotidianidad y la familiaridad llevan a olvidar de forma momentánea las preocupaciones.
La política de gestión de activos es un documento esencial en un Sistema de Gestión de Seguridad de la Información basado en el estándar ISO 27001. Lo es porque los activos de información, que pueden ser financieros, humanos, tangibles e intangibles, son el objeto de varios controles incluidos en el Anexo A de la norma.
La política de cumplimiento de TI es ante todo un documento hecho para promover, impulsar y expresar la importancia de respetar y acatar las exigencias regulatorias sobre protección de datos e información de clientes, proveedores u otros terceros de la organización.
El incumplimiento de las diversas regulaciones sobre protección de datos y de información privada, cada vez más estrictas, impacta a las organizaciones en sus finanzas. Multas y sanciones se producen en todas las industrias a diario. En Europa, muchas organizaciones aún encuentran dificultades para cumplir con las regulaciones contenidas en el Reglamento General de Protección de Datos.
El Cumplimiento de Seguridad de la Información se revisa cada año. Periodos de tiempo más extensos supone permitir que problemas susceptibles de ser corregidos a tiempo avancen hasta convertirse en graves afectaciones. Revisar el Cumplimiento de Seguridad de la Información dos o tres veces en el año implica un desgaste innecesario para las personas encargadas y para los propietarios de procesos que deben enfrentar la revisión.
La revisión, por otra parte, no sustituye la auditoría. Por el contrario, se hace porque es un requisito de ISO 27001 y el auditor verificará la conformidad. Con un año para preparar el examen no deberían existir dudas sobre lo que se pretende revisar.
Las acciones correctivas se toman para solucionar un problema que ya se ha presentado. Las preventivas, por el contrario, trabajan para evitar que el problema ocurra y tenga consecuencias.
Por otra parte, es un hecho que las recientes publicaciones ISO, y las actualizaciones, tienen un elemento en común: el Pensamiento Basado en el Riesgo. Una de las consecuencias de la adopción generalizada en todas las áreas de Gestión de este enfoque, es la confusión entre lo que son acciones correctivas y acciones preventivas, y el momento propicio para el uso de cada una.
Hablar de seguridad de la información para proveedores es ahora tan común en el ámbito de la Alta Dirección de una organización, como hablar de la posibilidad de incursionar en un mercado en ultramar o sobre el riesgo que representa un determinado competidor en el mercado local.
La razón es clara y contundente: en un mundo globalizado, en el que la especialización es una oportunidad y una gran ventaja comparativa, los proveedores se convierten en aliados estratégicos de alto valor para cualquier negocio.
NEWSLETTER
Suscríbete a la newsletter y recibe semanalmente, además de artículos de interés sobre los sistemas de gestión ISO y habilidades directivas, descuentos especiales en nuestros cursos.
* Todos los campos requeridos
