Sistema de gestión de la seguridad de la información: Introducción a la norma ISO 27001

Escenario actual: Las organizaciones de hoy en día utilizan mucho los sistemas de información para administrar negocios y entregar productos/servicios dependientes. Confían en TI para el desarrollo, la producción y la entrega en muchas aplicaciones internas. La aplicación incluye bases de datos financieras, programación de citas de empleados, servicio de asistencia técnica y otros servicios, acceso remoto a clientes/empleados, acceso remoto a sistemas de clientes, interacciones con el mundo exterior a través de correo electrónico, Internet, de terceros y proveedores de terceros.

requisitos comerciales: La seguridad de la información se requiere como parte de un contrato entre cliente y cliente. El marketing quiere una ventaja competitiva y puede dar confianza al cliente. La alta dirección desea conocer el estado de las interrupciones de la infraestructura de TI o las filtraciones de información o los incidentes de información dentro de la organización. Los requisitos legales como la Ley de Protección de Datos, los derechos de autor, el diseño y la regulación de patentes y los requisitos reglamentarios de una organización deben cumplirse y protegerse bien. La protección de la información y los sistemas de información para cumplir con los requisitos legales y comerciales al proporcionar y demostrar un entorno seguro a los clientes, administrar la seguridad entre proyectos de clientes que compiten y evitar fugas de información confidencial son los mayores desafíos del sistema de información.

Definición de información: La información es un activo que, al igual que otros activos comerciales importantes, tiene valor para una organización y, por lo tanto, debe protegerse adecuadamente. Independientemente de la forma que adopte la información o los medios por los que se comparta o almacene, siempre debe protegerse adecuadamente.

Formularios de información: La información se puede almacenar electrónicamente. Se puede transmitir a través de la red. Se puede mostrar en videos y puede ser verbal.

Amenazas de información: Ciberdelincuentes, Hackers, Malware, Troyanos, Phishes, Spammers son las principales amenazas a nuestro sistema de información. El estudio encontró que la mayoría de las personas que cometieron el sabotaje eran trabajadores de TI que mostraban características tales como discutir con compañeros de trabajo, estar paranoicos y descontentos, llegar tarde al trabajo y exhibir un desempeño general deficiente en el trabajo. De los ciberdelincuentes, el 86% ocupaba puestos técnicos y el 90% tenía acceso de administrador o privilegiado a los sistemas de la empresa. La mayoría cometió los delitos después de que finalizó su contrato de trabajo, pero el 41% saboteó los sistemas cuando aún eran empleados de la empresa. Calamidades naturales como tormentas, tornados, inundaciones pueden causar grandes daños a nuestro sistema de información.

Incidentes de Seguridad de la Información: Los incidentes de seguridad de la información pueden causar la interrupción de las rutinas y los procesos organizacionales, la disminución del valor para los accionistas, la pérdida de privacidad, la pérdida de la ventaja competitiva, el daño a la reputación que causa la devaluación de la marca, la pérdida de confianza en TI, el gasto en activos de seguridad de la información de los datos dañados. , robados, dañados o perdidos en incidentes, rentabilidad reducida, lesiones o pérdida de vidas si fallan los sistemas de seguridad críticos.

Algunas preguntas básicas:

• ¿Tenemos una política de seguridad informática?

• ¿Hemos analizado las amenazas/riesgos para nuestra infraestructura y actividades de TI?

LEER  Actividades del Comité de Convivencia Laboral: Mejores prácticas para promover un ambiente de trabajo saludable

• ¿Estamos preparados para calamidades naturales como inundaciones, terremotos, etc.?

• ¿Todos nuestros activos están garantizados?

• ¿Confiamos en que nuestra red/infraestructura de TI es segura?

• ¿Están seguros nuestros datos comerciales?

• ¿Es segura la red telefónica IP?

• ¿Configuramos o mantenemos las características de seguridad de la aplicación?

• ¿Tenemos un entorno de red segregado para el servidor de producción, pruebas y desarrollo de aplicaciones?

• ¿Están capacitados los coordinadores de oficina para cualquier brote de seguridad física?

• ¿Tenemos control sobre la distribución de software/información?

Introducción a la norma ISO 27001:En los negocios, tener la información correcta para la persona correcta en el momento correcto puede marcar la diferencia entre ganancias y pérdidas, éxito y fracaso.

Hay tres aspectos de la seguridad de la información:

confidencialidad: Proteja la información de la divulgación no autorizada, tal vez a un competidor oa la prensa.

integridad: Proteja la información de modificaciones no autorizadas y asegúrese de que la información, como la lista de precios, sea precisa y completa

Disponibilidad: Garantizar que la información esté disponible cuando la necesite. Garantizar la confidencialidad, integridad y disponibilidad de la información es fundamental para mantener la ventaja competitiva, el flujo de caja, la rentabilidad, el cumplimiento legal y la imagen y marca comercial.

Sistema de Gestión de Seguridad de la Información (SGSI): Esta es la parte del sistema de gestión general basado en un enfoque de riesgo comercial para establecer, implementar, operar, monitorear, revisar, mantener y mejorar la seguridad de la información. El sistema de gestión incluye la estructura organizativa, las políticas, las actividades de planificación, las responsabilidades, las prácticas, los procedimientos, los procesos y los recursos.

Acerca de ISO 27001: – Un estándar internacional líder para la gestión de la seguridad de la información. Más de 12.000 organizaciones en todo el mundo están certificadas con este estándar. Su propósito es proteger la confidencialidad, integridad y disponibilidad de la información. Los controles técnicos de seguridad como antivirus y firewalls normalmente no son auditados en las auditorías de certificación ISO/IEC 27001: se asume esencialmente que la organización ha adoptado todos los controles de seguridad de la información necesaria . No solo se enfoca en la tecnología de la información, sino también en otros activos importantes de la organización. Se centra en todos los procesos comerciales y activos comerciales. La información puede o no estar relacionada con la tecnología de la información y puede o no estar en formato digital. Se publica por primera vez como el Código de prácticas del Departamento de Comercio e Industria (DTI) en el Reino Unido conocido como BS 7799.ISO 27001 tiene 2 partes ISO/IEC 27002 e ISO/IEC 27001

ISO/IEC 27002: 2005: Es un código de práctica para la Gestión de la Seguridad de la Información. Proporciona orientación sobre las mejores prácticas. Se puede utilizar según sea necesario dentro de su negocio. No es para la certificación.

ISO/CEI 27001:2005:Se utiliza como base para la certificación. Es algo Programa de Gestión + Gestión de Riesgos. Tiene 11 Dominios de Seguridad, 39 Objetivos de Seguridad y 133 Controles.

ISO/CEI 27001: La norma contiene las siguientes secciones principales:

  • Evaluación de riesgos
  • política de seguridad
  • gestión de activos
  • Seguridad de Recursos Humanos
  • Seguridad Física y Ambiental
  • Gestión de Comunicaciones y Operaciones
  • Controle de acceso
  • Adquisición, desarrollo y mantenimiento de Sistemas de Información
  • Gestión de incidentes de seguridad de la información
  • Gestión de la Continuidad del Negocio
  • Conformidad

Beneficios de los Sistemas de Gestión de Seguridad de la Información (SGSI):Ventajas competitivas: Los socios comerciales y los clientes responden favorablemente a las empresas de confianza. Tener ISMS demostrará madurez y confiabilidad. Algunas empresas solo se asociarán con aquellas que tengan SGSI. La implementación de ISMS puede generar eficiencias en las operaciones, lo que lleva a la reducción de los costos de hacer negocios. Las empresas con SGSI también pueden competir en precio.

LEER  Descubre los consejos y recursos profesionales en seguridad y salud en el trabajo para garantizar una protección total

Razones para ISO 27001: Hay razones obvias para implementar un Sistema de Gestión de Seguridad de la Información (ISO 27001). El estándar ISO 27001 cumple con los requisitos legales o reglamentarios. Los activos de información son muy importantes y valiosos para cualquier organización. La confianza de los accionistas, socios comerciales, clientes debe desarrollarse en la Tecnología de la Información de la organización para aprovechar los negocios. La certificación ISO 27001 muestra que los activos de información están bien gestionados teniendo en cuenta los aspectos de seguridad, confidencialidad y disponibilidad de los activos de información.

Instituir el SGSI: Seguridad de la información: ¿desafío de gestión o problema técnico? La seguridad de la información debe ser vista como un desafío de gestión y de negocios, y no simplemente como un tema técnico para dejarlo en manos de especialistas. Para mantener su negocio seguro, debe comprender los problemas y las soluciones. Para instituir la gestión del SGSI, juega el 80% del rol y el 20% de la responsabilidad del sistema tecnológico.

Comienzo: – Antes de comenzar a instituir el SGSI, debe obtener la aprobación de la Gerencia/los Interesados. Tienes que ver si estás tratando de hacer esto para toda la organización o solo para una parte. Debe reunir un equipo de profesionales interesados ​​y calificados. Puede optar por complementar el equipo con consultores con experiencia en implementación.

Certificación SGSI (ISO 27001): Una verificación de terceros independientes de la garantía de seguridad de la información de la organización basada en las normas ISO 27001:2005.

Precertificación: Paso 1 – Auditoría de documentación

Paso 2 – Auditoría de implementación

Post-certificación: Vigilancia Continua por 2 años Reevaluación/Recertificación del 3er Año

Conclusión: Antes de implementar el sistema de gestión para los controles de Seguridad de la Información, la organización tiene varios controles de seguridad sobre el sistema de información, estos controles de seguridad tienden a ser algo desorganizados y desarticulados. La información, al ser un activo muy crítico para cualquier organización, debe estar bien protegida contra filtraciones o ataques. ISO/IEC 27001 es un estándar del sistema de gestión de seguridad de la información (SGSI) que garantiza que los procesos bien gestionados se adapten a la seguridad de la información. La implementación de ISMS conduce a la eficiencia en las operaciones, lo que lleva a la reducción de los costos de hacer negocios.

Temas relacionadas de interés

Todo lo que necesitas saber sobre funciones del comité de convivencia laboral según la Ley 1010

Tabla de contenido Funciones del Comité de Convivencia Laboral Ley 1010 Tabla de Contenido Introducción Funciones del Comité de Convivencia Laboral Implementación de la Ley 1010 Importancia de la Ley 1010 en Colombia Conclusión Introducción La Ley 1010, también conocida como la Ley de Convivencia Laboral, es una normativa que busca prevenir, corregir y sancionar el acoso laboral y otros comportamientos violentos en el ámbito laboral en Colombia. Esta ley

LEER  ¿Qué es una brigada de emergencia y por qué debe existir una en tu empresa?
Leer Más »

Actividades del Comité de Convivencia Laboral: Mejores prácticas para promover un ambiente de trabajo saludable

Tabla de contenido Actividades del Comité de Convivencia Laboral en Colombia Tabla de Contenido 1. Introducción 2. Importancia del Comité de Convivencia Laboral 3. Funciones del Comité de Convivencia Laboral 4. Elaboración de un Cronograma de Actividades 5. Monitoreo y Evaluación de las Actividades 6. Capacitación del Personal 7. Factores a Considerar en las Actividades 8. Resolución de Conflictos 9. Normativa Legal en Colombia 10. Sanciones por Incumplimiento 11. Creando

Leer Más »

¡Todo lo que necesitas saber sobre las reuniones del comité de convivencia laboral! Guía completa y práctica para una gestión efectiva

Tabla de contenido Reuniones del Comité de Convivencia Laboral Introducción Importancia del Comité de Convivencia Laboral Normatividad en Colombia Funciones del Comité de Convivencia Laboral Realización de Reuniones Preparación de una Reunión Desarrollo de una Reunión Elaboración de Actas Implementación de Acuerdos Seguimiento a los Acuerdos Evaluación del Comité Conclusión Preguntas Frecuentes Introducción A medida que las empresas buscan promover un ambiente de trabajo saludable y seguro, el Comité de

Leer Más »

Descubre el plan de trabajo perfecto para tu comité de convivencia laboral

Tabla de contenido Plan de Trabajo Comité de Convivencia Laboral Tabla de Contenido Introducción Importancia de un Comité de Convivencia Laboral Normatividad en Colombia Funciones del Comité de Convivencia Laboral Pasos para Implementar un Plan de Trabajo Conclusión Preguntas frecuentes Introducción En el entorno laboral, es fundamental asegurar que exista un ambiente armonioso y respetuoso para todos los empleados. Para lograr esto, es importante contar con un Comité de Convivencia

Leer Más »

Todo lo que necesitas saber sobre el acuerdo de confidencialidad en el comité de convivencia laboral: guía completa y requisitos

Tabla de contenido Tabla de Contenido Introducción Importancia del acuerdo de confidencialidad Contenido del acuerdo de confidencialidad Normatividad en Colombia sobre seguridad y salud en el trabajo Preguntas frecuentes sobre acuerdos de confidencialidad Introducción En el entorno laboral, es fundamental garantizar la privacidad y confidencialidad de ciertos procesos internos. Uno de los mecanismos para salvaguardar esta información sensible es mediante la implementación de acuerdos de confidencialidad. En este artículo, exploraremos

Leer Más »

La guía definitiva del procedimiento del comité de convivencia laboral: cómo garantizar un ambiente de trabajo armonioso

Tabla de contenido     Procedimiento Comité de Convivencia Laboral en Colombia Tabla de Contenido 1. Introducción 2. Definición del Comité de Convivencia Laboral 3. Objetivos del Comité de Convivencia Laboral 4. Integrantes del Comité de Convivencia Laboral 5. Funciones del Comité de Convivencia Laboral 6. Realización de Reuniones 7. Procedimiento para el Tratamiento de Quejas y Denuncias 8. Confidencialidad y Protección de Datos 9. Sanciones por Incumplimiento 10. Legislación

Leer Más »
Abrir chat
1
Bienvenido 🤝💭¿Cómo podemos ayudarte?
Bienvenido 🤝
¿Cómo podemos ayudarte? ¡hablemos!