ISO / IEC 27001:2013

Introducción a ISO IEC 27001 Administración de Seguridad de la Información

El creciente valor de la información para las organizaciones combinado con las brechas recientes en la seguridad de la información de alto perfil resalta el requisito siempre progresivo de que las organizaciones protejan su información. Con el fin de garantizar la continuidad de sus operaciones y la seguridad de sus datos y sistemas, la seguridad de los sistemas de información y la información empresarial crítica debe ser administrada de manera constante y activa.

Los sistemas no protegidos son vulnerables a muchas amenazas, incluido el fraude asistido por computadora, el sabotaje y los virus. Estas amenazas pueden ser internas o externas, accidentales o maliciosas. Las violaciones en la seguridad de la información pueden permitir acceder, robar, corromper o perder información vital. Es crucial que cada compañía establezca controles y procedimientos apropiados para evitar tales incidentes.

El sistema de gestión de seguridad de la información reconocido internacionalmente ISO 27001 (conocido como ISO / IEC 27001) es adecuado para cualquier organización, grande o pequeña, en cualquier sector o parte del mundo donde gestionar información sensible de la empresa y mantenerla segura de terceros es importante. La norma es particularmente adecuada cuando la protección de la información es crítica, como en los sectores financiero, de salud, público y de TI.

Fondo

La norma de 2013 pone más énfasis en medir y evaluar qué tan bien está funcionando el ISMS de una organización y hay una nueva sección sobre tercerización, que refleja el hecho de que muchas organizaciones dependen de terceros para proporcionar algunos aspectos de TI. Se presta más atención al contexto organizacional de la seguridad de la información y la evaluación de riesgos ha cambiado. En general, 27001: 2013 está diseñado para ajustarse mejor a otros estándares de gestión como ISO 9001, ISO 14001 e ISO / IEC 20000 y la estructura tiene más en común con otros estándares.

El departamento de TI es el enfoque principal de la implementación de ISO 27001, pero el estándar también involucra áreas en toda la compañía. El principal impulsor, patrocinador y promotor del cambio debe ser la administración de la compañía, mientras que su TI es principalmente responsable de su ejecución. Además de administración e informática, los departamentos que deben participar incluyen recursos humanos, capacitación y educación, seguridad de edificios, mantenimiento de edificios, departamento legal, así como proveedores, subcontratación y, por último, pero no menos importante, empleados.

ISO 27001 también es altamente efectivo para organizaciones que administran información en nombre de otros, como empresas de externalización de TI. Este estándar requiere que una organización asegure a los clientes que su información está protegida.

ISO 27001:2013 se ve muy diferente a ISO 27001:2005. No hay requisitos duplicados, y los requisitos están redactados de una manera que permitan una mayor libertad de elección sobre cómo implementarlos. Un buen ejemplo de esto es que la identificación de activos, amenazas y vulnerabilidades ya no es un requisito previo para la identificación de riesgos de seguridad de la información. La norma ahora deja en claro que los controles no se deben seleccionar del Anexo A, sino que se determinan a través del proceso de tratamiento de riesgos. Sin embargo, el Anexo A continúa sirviendo como una verificación cruzada para ayudar a garantizar que no se hayan pasado por alto los controles necesarios.

ISO 27001 ayuda a la organización a:

  • Analizar los riesgos relacionados con la seguridad de la información
  • Definir objetivos de seguridad específicos y óptimos (el estándar requiere que una empresa especifique sus propios objetivos de seguridad los cuales son verificados por un auditor)
  • Definir métodos definidos y documentados que todas las actividades deben seguir
  • Documentar todos los riesgos, metas y métodos
  • Implementar medidas para mitigar y administrar riesgos
  • Asignar responsabilidad por la gestión del riesgo
  • Medir la seguridad de la información
  • Incrustar el enfoque de mejora continua

Qué hace la certificación

  • Demuestra la integridad de sus datos y sistemas y su compromiso con la seguridad de la información
  • Transforma la cultura de la organización tanto interna como externamente
  • Permite hacer cumplir la seguridad de la información y reducir el posible riesgo de fraude, pérdida de información y divulgación
  • Demuestra la seguridad independiente de sus controles internos
  • Cumple con los requisitos de gobierno corporativo y continuidad del negocio
  • Demuestra de forma independiente que se respetan las leyes y normativas aplicables
  • Proporciona una ventaja competitiva
  • Cumple con los requisitos contractuales
  • Demuestra a sus clientes que la seguridad de su información es primordial
  • Verifica que los riesgos de su organización se identifiquen, evalúen y administren adecuadamente, al tiempo que formaliza procesos, procedimientos y documentación de seguridad de la información

Beneficios

  • Mejora la credibilidad de su organización
  • Abre nuevas oportunidades de negocios con clientes conscientes de la seguridad
  • Mejora la ética de los empleados
  • Fortalece el clima de confidencialidad en todo el lugar de trabajo
  • Proporciona una ventaja competitiva sobre las empresas que no están certificadas según ISO / IEC 27001:2005
  • Reduce los riesgos asociados con datos e información no segura
  • Formaliza la estructura de su sistema de información corporativa (infraestructura, edificios, cableado, medio ambiente, alarmas, prevención de incendios e inundaciones, control de acceso, etc.)
  • Organiza eficazmente todos los procesos de seguridad de TI de la empresa existentes y necesarios
  • Protege activos comerciales vitales con copias de seguridad regulares
  • Ofrece diseño de optimización continua del sistema
  • Potencialmente reduce las primas de seguro con cumplimiento comprobado
  • Reduce el potencial de demandas

Servicios de QMS Global

  • Certificación – Proporcionamos evaluación y certificación a ISO 27001.
  • Análisis de brechas – Ofrecemos análisis de deficiencias y evaluaciones preliminares para prepararlo para la certificación.
  • Capacitación – Lo ayudaremos a interpretar los nuevos conceptos y entender los cambios. QMS Global brinda capacitación de introducción en el sitio y auditoría interna que lo preparará a usted y a su personal antes y después del proceso de certificación ISO 27001.

Estamos Para Servirle...

QMS Global, Inc.
129 NW 13th Street, Suite 22
Boca Raton, FL 33432
PHONE: +1 561-883-9200

Privacy Policy

Quality Management Systems

¿Necesita Asistencia o Tiene Preguntas?

Contáctenos