Seguridad de la Información

ISO 27001: ¿Qué es la Seguridad de la Información? 

La norma ISO / IEC 27001 es la base para el desarrollo de un Sistema de Gestión de la Seguridad de la Información. Su objetivo es garantizar la integridad confidencial de la disponibilidad de información para salvaguardar los datos de las partes interesadas (organizaciones, clientes, empleados y socios comerciales).

Los sistemas informáticos no protegidos son vulnerables al acceso externo para el sabotaje por pirateo, infección de virus y venta de secretos industriales. Las deficiencias en el sistema de seguridad informática para la protección de datos pueden conducir a la pérdida de datos comerciales vitales para la estructura de la organización (partes interesadas).

Segurida de la Información

¿Tiene los controles y procedimientos apropiados para evitar este tipo de incidentes con la seguridad de la información? 

Una gestión de seguridad de la información alineada con ISO / IEC 27001 puede ayudarle a demostrar a sus socios comerciales y clientes que tiene en seria consideración la confidencialidad, integridad, disponibilidad y seguridad de la información que rige sus relaciones.

Beneficios de estar en posesión de ISO / IEC 27001 

Nuestros clientes han mencionado varias ventajas asociadas con la implementación de un Sistema de Gestión de la Seguridad de la Información y con la obtención de la certificación:

  • Aumento de la base de clientes potenciales y ventas a través de la satisfacción de solicitudes contractuales específicas.

  • Protección del valor de las inversiones en IT.

  • Reducción de los riesgos de pérdida de reputación.

  • Promoción de la recuperación de daños / continuidad del negocio.

  • Formalización del inventario de recursos.

  • Evasión de los incidentes de seguridad que permanecen ocultos y no son detectados por los sistemas de gestión y controles de seguridad informática.

  • Inclusión de mejoras continuas en los procesos de Seguridad de la Información sensible.

  • Asistencia a los auditores financieros externos y simplificación del proceso de auditoría.

Identifique sus metas ante el Sistema de Gestión de Seguridad de la Información

Considere cuidadosamente lo que el Sistema de Gestión de Seguridad de la información debe tener en cuenta y lo que espera de él. Es importante incluir todas las actividades que son parte del propósito del Sistema de Gestión de Seguridad de la Información.  

Características tomadas como punto de partida por su entidad de certificación 

Si busca una certificación formal eficaz para su política de seguridad y proteger la información, estas serán las características que su entidad de certificación considerará como punto de partida:

- Los potenciales clientes pueden solicitar ver sus certificaciones y los permisos necesarios para asegurarse de que su organización puede ofrecerles exactamente lo que necesitan. 

- Los objetivos deben ser tomados en consideración y documentados. Piénselo bien. Las normas ahora requieren un elemento de mejora continua que debe demostrarse. 

Identifique e involucre a las personas fundamentales y forme el equipo adecuado para el proyecto de seguridad de la información. La implementación de un Sistema de Gestión de Seguridad de la Información implica más recursos que los del sector IT, y es importante que toda organización vea los beneficios de la implementación y comprenda su impacto. El tamaño del equipo y el líder apropiado para el proyecto son específicos de cada organización. El equipo del proyecto debería ser capaz de dedicar suficiente tiempo a la implementación. Un pequeño grupo de personas muy involucradas suele ser más eficaz que un equipo grande con poco tiempo.  

Si ha contratado a un consultor, es importante que cuente con el respaldo de recursos internos: nadie entiende mejor a la organización que quienes trabajan en ella. Considere que cuando los consultores se van, incluso el conocimiento puede irse con ellos. 

- Al igual que con cualquier proyecto nuevo, se debe desarrollar un plan de seguridad de la información, que a su vez, debe ser realista. Si los fondos provienen de la matriz de la organización, es posible que quieran ver el proyecto, cuya complejidad puede depender del tamaño de la empresa y del objetivo del Sistema de Gestión de Seguridad de la Información. Podría incluso decidir el ámbito de aplicación del mismo y que, por ejemplo, sólo se aplique a algunas actividades dentro de la empresa. 

- Trate de mantener su plan de trabajo relativamente simple pero incluya en él suficientes detalles para mostrar los puntos importantes. Incluya la revisión de actividades en el plan de seguridad de la información, para que se pueda hacer seguimiento del progreso formalmente. Actualice el plan regularmente y asegúrese de informar la dirección de cada avance.