miércoles, 12 de abril de 2017

ISO 27001: NOVEDADES DE LA REVISIÓN

La Norma UNE-ISO/IEC 27001:2014 adopta una estructura de Alto Nivel, además de aportar una mayor relevancia al contexto de la organización así como a la definición y seguimiento de los objetivos de seguridad de la información, entre otros aspectos.
A lo largo de los artículos publicados en este blog hemos hablado ampliamente de la revisión de la Norma ISO 9001, Sistema de Gestión de la Calidad, y de la Norma ISO 14001, Sistema de Gestión Ambiental, pero no debemos olvidarnos de otra norma que también ha pasado por una fase de revisión y que resulta ser un aliado esencial para las empresas en la sociedad actual en la que una nueva revolución tecnológica está cambiando la forma de llevar a cabo muchos de los procesos: la norma ISO 27001, Sistema de Gestión de Seguridad de la Información.

En este post vamos a hablar de su relevancia y de las novedades que la revisión de la Norma ISO 27001 ha aportado para adaptarla a las nuevas necesidades de las empresas y para garantizar la seguridad de la información en la era marcada por la revolución de la tecnología SMAC.

La información y la tecnología SMAC.
De la misma forma que han crecido las posibilidades y las herramientas que están al alcance de las empresas, también han aumentado de forma exponencial los riesgos y los abusos.
 No hay duda de que la información es esencial para la empresa y su utilización eficaz es la clave para su crecimiento. De esta forma, nos encontramos con que las tecnologías de la información han potenciado la comprensión de su importancia y han crecido, tanto en número como en capacidad y utilidades, de una forma vertiginosa en muy poco tiempo. A los medios tradicionales de comunicación y de captación de información, se han unido las redes sociales y el uso de tecnología móvil que han abierto el panorama empresarial y han llevado a un despliegue de las tecnologías SMAC (nombre que viene del inglés de social, móvil, analíticas y la nube).

Pero de la misma forma que han crecido las posibilidades y las herramientas que están al alcance de las organizaciones, también nos encontramos que han aumentado de forma exponencial los riesgos, los abusos y las posibles negligencias. Y es que a nadie nos resulta desconocido la existencia de ciberataques y lo más seguro es que conozcamos a alquien, o quizá nos haya pasado a nosotros, que ha padecido algún caso de robo de identidad, o de intento por lo menos, así como fraudes utilizando estás nuevas tecnologías de la información.

Por esta razón, las empresas no pueden quedarse en ningún momento con sistemas de seguridad anticuados. Debemos pensar que las medidas que eran útiles hace un par de años pueden no serlo en su totalidad en la actualidad sino que hay que adaptarse a las nuevas necesidades. A nadie se nos ocurriría defender nuestro negocio construyendo alrededor de él una muralla de 3 metros de alto y medio metro de ancho para evitar los robos y, de la misma forma, no colocaríamos una zona acordonada con alambre de pincho alrededor del ordenador para evitar que un hacker entre en él y nos robe las claves de acceso o datos personales.

Algunos pueden pensar que estos ejemplos son exagerados, y los son, pero debemos hacernos una idea que de igual forma que no se nos ocurriría establecer las medidas anteriores para defendernos tampoco debemos quedarnos sin establecer un sistema de seguridad que tenga en cuenta la situación y la tecnología reciente y permita asegurar la confidencialidad, la integridad y la disponibilidad de la información que utiliza la empresa y que es vital para la realización de todos los procesos. Y una buena herramienta para alcanzar este importante objetivo es la Norma ISO 27001 que recientemente se ha revisado para aportar respuestas y soluciones al nuevo panorama al que se enfrentan las empresas.

Novedades de la revisión de la Norma ISO 27001.
Una de las principales novedades de la revisión de la Norma ISO 27001 se ha centrado en la adopción de una Estructura de Alto Nivel.
 Al igual que hemos podido observar con la revisión de la Norma ISO 9001 o la Norma ISO 14001, la revisión actual de las normas están adoptando una estructura de Alto Nivel para la formación y estructuración de todo el documento y esta Norma ISO 27001 no iba a ser menos.

Por esta razón, uno de los principales cambios que la revisión ha aportado es la adopción de esta estructura y las modificaciones que ha propiciado. Así se cumple el objetivo de la Organización Internacional de Normalización de conseguir una mayor integración entre los distintos sistemas de gestión para evitar duplicidades y facilitar la implantación de varias normas en las empresas para poder así disfrutar de las ventajas que contar con varios sistemas adaptados a las necesidades de las organizaciones pueden aportarles, evitando muchos de los problemas o dificultades que pueden provocar no contar con esta integración.

Pero las novedades de la nueva Norma ISO 27001 no se han quedado aquí, ya que además podemos observar a grandes rasgos los siguientes cambios:

  • Se busca que las organizaciones profundicen y amplíen el conocimiento de que disponen sobre el contexto en el que se sitúan y operan, y sobre las necesidades de las distintas partes interesadas.
  • Aumenta la importancia en la definición de los objetivos de seguridad de la información  y su seguimiento.
  • Se pone especial énfasis en la mejora continua.
  • La nueva y revisada Norma ISO 27001 adopta un proceso de análisis de riesgos más general, debiendo identificar los riesgos y las oportunidades para garantizar la seguridad de la información. No determina cuales son los pasos o el método para evaluar los riesgos y se alinea con la Norma ISO 31000.
  • A la figura del “dueño del riesgo” se le asigna la responsabilidad necesaria para poder aprobar el riesgo residual y el plan del tratamiento del riesgo.
  • Se produce una restructuración de los controles indicados en el Anexo A.
La utilización de la tecnología móvil hace que las empresas deban adaptarse con nuevos sistemas de seguridad de la información.
Si tu empresa ya dispone de la Norma ISO 27001, Sistema de Gestión de la Seguridad de la Información, y no sabe cómo adaptarla a estas novedades o por el contrario estás pensando en implantarla para beneficiarte de todas las ventajas que este sistema de gestión puede aportar a tu empresa, no dudes en ponerte en contacto con profesionales que, como SBQ Consultores, te ayuden, simplifiquen los pasos que tienes que dar y te asesoren para que contar con esta útil y eficaz herramienta no sea complicado, sino que se convierta en una herramienta esencial al servicio de tu negocio.

Tomado de: http://www.sbqconsultores.es/

No hay comentarios.: