Hoy en día, en nuestro mundo híper conectado e impulsado por la tecnología, las brechas de seguridad y los ciberataques, siguen siendo una amenaza para las organizaciones.
Además de eso, el desconocimiento de los riesgos suele ser el culpable de estos problemas. Es por eso que, la norma ISO/IEC 27005:2018 ha sido revisada con el fin de actualizarla ante las necesidades de la sociedad actual.
La protección de la seguridad de la información de una empresa, ya sea confidencial por su carácter comercial o por los detalles de los clientes, nunca antes había estado tan en el punto de mira.
¿Qué es la ISO 27001?
Sistemas de Gestión la Seguridad de la Información
ISO 27001 es una norma internacional que permite el aseguramiento, la confidencialidad e integridad de los datos y de la información, así como de los sistemas que la procesan.
El estándar ISO 27001:2013 para los Sistemas Gestión de la Seguridad de la Información permite a las organizaciones la evaluación del riesgo y la aplicación de los controles necesarios para mitigarlos o eliminarlos.
La aplicación de ISO-27001 significa una diferenciación respecto al resto, que mejora la competitividad y la imagen de una organización.
La Gestión de la Seguridad de la Información se complementa con las buenas prácticas o controles establecidos en la norma ISO 27002.
Estructura de la norma ISO 27001
Objeto y campo de aplicación: La norma comienza aportando unas orientaciones sobre el uso, finalidad y modo de aplicación de este estándar.
Referencias Normativas: Recomienda la consulta de ciertos documentos indispensables para la aplicación de ISO27001.
Términos y Definiciones: Describe la terminología aplicable a este estándar.
Contexto de la Organización: Este es el primer requisito de la norma, el cual recoge indicaciones sobre el conocimiento de la organización y su contexto, la comprensión de las necesidades y expectativas de las partes interesadas y la determinación del alcance del SGSI.
Liderazgo: Este apartado destaca la necesidad de que todos los empleados de la organización han de contribuir al establecimiento de la norma. Para ello la alta dirección ha de demostrar su liderazgo y compromiso, ha de elaborar una política de seguridad que conozca toda la organización y ha de asignar roles, responsabilidades y autoridades dentro de la misma.
Planificación: Esta es una sección que pone de manifiesto la importancia de la determinación de riesgos y oportunidades a la hora de planificar un Sistema de Gestión de Seguridad de la Información, así como de establecer objetivos de Seguridad de la Información y el modo de lograrlos.
Soporte: En esta cláusula la norma señala que para el buen funcionamiento del SGSI la organización debe contar con los recursos, competencias, conciencia, comunicación e información documentada pertinente en cada caso.
Operación: Para cumplir con los requisitos de Seguridad de la Información, esta parte de la norma indica que se debe planificar, implementar y controlar los procesos de la organización, hacer una valoración de los riesgos de la Seguridad de la Información y un tratamiento de ellos.
Evaluación del Desempeño: En este punto se establece la necesidad y forma de llevar a cabo el seguimiento, la medición, el análisis, la evaluación, la auditoría interna y la revisión por la dirección del Sistema de Gestión de Seguridad de la Información, para asegurar que funciona según lo planificado.
Mejora: Por último, en la sección décima vamos a encontrar las obligaciones que tendrá una organización cuando encuentre una no conformidad y la importancia de mejorar continuamente la conveniencia, adecuación y eficacia del SGSI.
Reglamento General de Protección de Datos - RGPD
A todo esto, se le suma la publicación del RGPD, que unifica las políticas de tratamiento de datos de los países afectados al mismo tiempo que indica cómo deben ser tratados los datos de las personas.
Este reglamento implica que las organizaciones sufran más presión que antes para garantizar que su información es segura. Es por eso que, disponer de las últimas tecnologías y procesos puedan ser a la vez un campo de minas.
¿Para qué sirve ISO/IEC 27005:2018?
La nueva ISO/IEC 27001:2018 sobre Tecnologías de la Información, Técnicas de Seguridad y Gestión de la seguridad de la información, proporciona una guía para las empresas sobre cómo sortear estas exigencias al mismo tiempo que proporciona un marco de trabajo para gestionar de forma efectiva los riesgos relacionados con la seguridad de la información.
De forma complementaria a ISO/IEC 27001:2013, que proporciona los requisitos de los sistemas de gestión de seguridad, se ha actualizado recientemente la nueva versión de ISO/IEC 27005 para estar en sintonía con ISO/IEC 27001 y de este modo asegurar que aquel que disponga de esta certificación cumple las exigencias de las organizaciones más exigentes de hoy en día.
Esta norma, proporciona una guía detallada sobre la gestión de riesgos para ayudar a cumplir con los requisitos específicos de ISO/IEC 27001.
Declaraciones de Edward Humphreys
Edward Humphreys, coordinador del grupo de trabajo ISO/IEC que desarrolló tanto ISO/IEC 27001 como ISO/IEC 27005, dijo que la actualización del estándar representa una pieza clave en la lucha contra los riesgos cibernéticos a los que se enfrente ISO/IEC.
También dijo que ISO/IEC 27005:2018 nos presenta el porqué, el qué y el cómo para que las empresas sean capaces de gestionar sus riesgos sobre seguridad de la información de forma efectiva según los requisitos de ISO/IEC 27001. Al mismo tiempo, ayuda a demostrar a los clientes, accionistas o partes interesadas de una empresa la exigencia de los procesos sobre gestión de riesgos que tienen lugar. Dándoles así confianza y probando que son la empresa con la que deberían trabajar.
ISO/IEC 27005:2018 forma parte de una docena de estándares de la serie ISO/IEC 27000 que componen el conjunto de herramientas sobre ciber riesgos. Están encabezadas por su buque insignia, ISO/IEC 27001, Información de la tecnología, Técnicas de Seguridad y Gestión de la seguridad de la información. Otras de las normas de la serie incluyen directrices para proteger la información en la nube, seguridad de la información en los sectores de telecomunicaciones y servicios públicos, ciberseguridad, auditoría de Sistemas de Gestión de la Seguridad e Información y mucho más.
Tomado de: https://www.isotools.org/
1 comentario:
Las empresas tienden a centrar más su atención en el cumplimiento de las normas de protección de datos pertinentes, que en la evaluación real del riesgo para su organización, lo cual, para ser justos, es comprensible. Sin embargo, la desventaja de este enfoque es que la normativa de protección de datos no es una solución global, por lo que limitarse a marcar casillas para no tener problemas con las autoridades podría crear agujeros en su postura de seguridad ciberseguridad.
Publicar un comentario