×
×

Error de autenticación

Ha habido un problema a la hora de conectarse a la red social. Por favor intentalo de nuevo

Si el problema persiste, nos lo puedes decir AQUÍ

×

Alicia CamanchezMiembro desde: 09/08/16

Alicia Camanchez
444
Posición en el Ranking
0
Usuarios seguidores
Sus noticias
RSS
  • Visitas
    217.551
  • Publicadas
    163
  • Puntos
    50
Veces compartidas
2
¡Consigue las insignias!
Trimestrales
Recientes
Visitas a noticias
03/12/2019

La documentación para ISO 27001 desglosa las mejores prácticas en 14 controles separados. Las auditorías de certificación cubrirán los controles de cada uno durante las verificaciones de cumplimiento

Aquí hay un breve resumen de cada parte de la norma y cómo se traducirá en una auditoría de la vida real.

Un error que cometen muchas organizaciones es colocar todas las responsabilidades de la certificación ISO en el equipo local de TI. Aunque la tecnología de la información es el núcleo de ISO 27001, los procesos y procedimientos deben ser compartidos por todas las partes de la organización. 

Al prepararse para una auditoría de certificación ISO 27001, se recomienda que busque ayuda de un grupo externo con experiencia en cumplimiento. Por ejemplo, la Certificación ISO 27001 puede ayudar a los candidatos a preparar la evidencia requerida para ser utilizada durante las auditorías. También ofrece soluciones de software como para ayudar a poner en práctica la Seguridad de la Información de una organización. 

1-Políticas de seguridad de la información: cubre cómo deben escribirse las políticas en el SGSI y revisarse para su cumplimiento. Los auditores buscarán ver cómo se documentan y revisan sus procedimientos de manera regular. 

2-Organización de la seguridad de la información: La Certificación ISO 27001 describe qué partes de una organización deben ser responsables de qué tareas y acciones. Los auditores esperarán ver un organigrama claro con responsabilidades de alto nivel basadas en el rol. 

3-Seguridad de recursos humanos: cubre cómo se debe informar a los empleados sobre la ciberseguridad al comenzar, salir o cambiar de puesto. Los auditores querrán ver procedimientos claramente definidos para la incorporación y la exclusión cuando se trata de seguridad de la información. 

4-Gestión de activos: describe los procesos involucrados en la gestión de activos de datos y cómo deben protegerse. La Certificación ISO 27001 prepara y ordena la información quelos auditores verificarán para ver cómo su organización realiza un seguimiento del hardware, el software y las bases de datos. La evidencia debe incluir cualquier herramienta o método común que utilice para garantizar la integridad de los datos.

5-Control de acceso: proporciona orientación sobre cómo el acceso de los empleados debe limitarse a diferentes tipos de datos. Los auditores deberán recibir una explicación detallada de cómo se establecen los privilegios de acceso y quién es responsable de mantenerlos. Para esto existe la figura de la Certificación ISO 27001.

6-Criptografía: cubre las mejores prácticas en encriptación. Los auditores buscarán partes de su sistema que manejen datos confidenciales y el tipo de cifrado utilizado, como DES, RSA o AES.

7-Seguridad física y ambiental: describe los procesos para asegurar edificios y equipos internos. Los auditores verificarán cualquier vulnerabilidad en el sitio físico, incluida la forma en que se permite el acceso a oficinas y centros de datos.

Más sobre

8-Seguridad de operaciones: proporciona orientación sobre cómo recopilar y almacenar datos de forma segura, un proceso que ha adquirido una nueva urgencia gracias a la aprobación del Reglamento General de Protección de Datos (GDPR) en 2018. Los auditores pedirán ver evidencia de flujos de datos y explicaciones para donde se almacena la información. 

9-Seguridad de comunicaciones: cubre la seguridad de todas las transmisiones dentro de la red de una organización. Los auditores esperarán ver una descripción general de qué sistemas de comunicación se utilizan, como correo electrónico o videoconferencia, y cómo se mantienen seguros sus datos.

10-Adquisición, desarrollo y mantenimiento del sistema: detalla los procesos para administrar sistemas en un entorno seguro. Los auditores querrán evidencia de que cualquier nuevo sistema introducido en la organización se mantenga con altos estándares de seguridad.

11-Relaciones con proveedores: cubre cómo una organización debe interactuar con terceros al tiempo que garantiza la seguridad. Los auditores revisarán cualquier contrato con entidades externas que puedan tener acceso a datos confidenciales, incluida la Certificación ISO 27001.

12-Gestión de incidentes de seguridad de la información: describe las mejores prácticas sobre cómo responder a los problemas de seguridad. Los auditores pueden solicitar realizar un simulacro de incendio para ver cómo se maneja la gestión de incidentes dentro de la organización. Aquí es donde tener un software como SIEM para detectar y clasificar el comportamiento anormal del sistema es útil.

13-Aspectos de seguridad de la información de la gestión de la continuidad del negocio: cubre cómo se deben manejar las interrupciones del negocio y los cambios importantes. Los auditores pueden presentar una serie de interrupciones teóricas y esperarán que el SGSI cubra los pasos necesarios para recuperarse de ellos.

14-Cumplimiento: identifica qué regulaciones gubernamentales o de la industria son relevantes para la organización, como ITAR. Los auditores querrán ver evidencia de cumplimiento total para cualquier área donde esté operando el negocio.

Las empresas de todos los tamaños deben reconocer la importancia de la ciberseguridad, pero simplemente establecer un grupo de seguridad de TI dentro de la organización no es suficiente para garantizar la integridad de los datos. Un SGSI es una herramienta crítica, especialmente para grupos que se distribuyen en múltiples ubicaciones o países, ya que cubre todos los procesos de extremo a extremo relacionados con la seguridad.

Más información: www.exevi.com

Más recientes de Alicia Camanchez

Sillones relax masaje eléctricos

Sillones relax masaje eléctricos

Muchas veces nos hemos preguntado cómo surgió el sillón de masaje, y no es una respuesta fácil. La terapia de masaje en sí se remonta a miles de años. Se pueden encontrar referencias en varios escritos antiguos en todo el mundo, incluidos lugares como China, Japón, India, Egipto, Grecia y Roma 03/12/2019

Carretillas elevadoras Barcelona

Carretillas elevadoras Barcelona

La carretilla elevadora es un pequeño vehículo industrial, que tiene una plataforma bifurcada de accionamiento eléctrico o hidráulico unida en la parte delantera que se puede subir y bajar para insertarla debajo de una carga para levantarla o moverla 29/11/2019

Mejor Máster de Ciberseguridad en Madrid

Mejor Máster de Ciberseguridad en Madrid

Los ciberatacantes no siempre buscan dinero. Hoy, el delito cibernético ha evolucionado desde el robo de fondos digitales hasta los datos, por ejemplo, cuando se atacaron los sistemas del Banco Nacional de Qatar y se robaron los datos personales de los empleados 29/11/2019

Programación Java

Programación Java

Steve Jobs dijo una vez: "Todos en este país deberían aprender a programar un ordenador ... porque les enseña a pensar". Olvida el país, sigue al resto 08/11/2019

Mejor tratamiento alcoholismo en Madrid

Mejor tratamiento alcoholismo en Madrid

El alcoholismo, el término médico para el alcoholismo y el abuso del alcohol, involucra a un individuo que carece de control sobre el manejo de sus hábitos de bebida. Aquellos que luchan contra el alcoholismo comúnmente sienten que no pueden funcionar sin alcohol 07/11/2019

Mostrando: 1-5 de 162