ISO 27001 es el estándar internacional para la gestión de la seguridad de la información. Las organizaciones que lo han implementado deben ahora emprender la transición a ISO 27001:2022 a raíz de la actualización de la norma, publicada por ISO al finalizar el año 2022.
Iniciar un nuevo rol como Director de Seguridad de la Información o CISO puede resultar desafiante, pero también representa una oportunidad para generar un impacto real en la gestión de la seguridad de los datos y la información de la organización.
Además de los objetivos de negocio que fijan cada año, las organizaciones también persiguen metas como obtener la certificación de una norma ISO, implementar Sistemas de Gestión y mejorar su capacidad de cumplimiento en diversas áreas, como calidad, medio ambiente, seguridad y salud en el trabajo o seguridad de la información.
Lograr la certificación de una norma ISO contribuye a alcanzar los objetivos comerciales. Pero también asegura la operabilidad de la organización en un marco de seguridad normativo y regulatorio en las áreas que aborda el estándar que se adopta.
Para aquellas organizaciones que ya han alcanzado cierto grado de madurez en su gestión, es habitual planificar la integración de sistemas ISO para aprovechar las sinergias que la gestión integrada ofrece. Las organizaciones que optan por iniciar su camino en la gestión estandarizada, también pueden acoger la integración, como una forma de aprovechar desde el origen los beneficios que el modelo propone.
Obtener la certificación de seguridad de la información ISO 27001 es un objetivo que algunas organizaciones necesitan alcanzar con más celeridad que otras.
Las razones son varias: operar en un mercado competitivo en el que la certificación represente un diferencial importante, que la certificación sea un requisito para participar en una licitación o firmar un contrato, o la necesidad de incursionar en un mercado con altas exigencias en el área de seguridad de la información.
La definición del alcance de ISO 27001 es uno de los primeros requisitos que establece la norma de seguridad de la información. En la cláusula 4.3 del estándar se requiere a las organizaciones “determinar los límites dentro de los cuales operará el sistema y tendrá aplicación”.
Para hacerlo – determinar el alcance de ISO/IEC 27001 – la norma aclara que es preciso tener en cuenta los requisitos previos de contexto de la organización (4.1) y necesidades de las partes interesadas (4.2).
La Escuela Europea de Excelencia acaba de lanzar el nuevo curso Transición a ISO/IEC 27001:2022, que está diseñado para ayudar a prepararse para la transición a la nueva versión de 2022 de ISO/IEC 27001.
En nuestro artículo previo acerca de los pasos a seguir para realizar la auditoría de un SGSI explicamos, por un lado, los factores a considerar para preparar la auditoría interna al Sistema de Gestión de Seguridad de la Información. Y, por otro, la secuencia de actividades a seguir para hacerla efectiva.
En esta ocasión, ampliamos esta información preliminar con recomendaciones útiles para optimizar el resultado de la auditoría de un SGSI en la práctica.
Así, se infiere que los controles del Anexo A de ISO 27001 no son todos de obligatorio uso. La norma ISO 27001 solo requiere que la organización implemente los que sean necesarios, de acuerdo con los riesgos que ha identificado, su gravedad y su probabilidad de ocurrencia.
NEWSLETTER
Suscríbete a la newsletter y recibe semanalmente, además de artículos de interés sobre los sistemas de gestión ISO y habilidades directivas, descuentos especiales en nuestros cursos.
* Todos los campos requeridos
