Consultoría ISO 27001 en Madrid
La documentación para ISO 27001 desglosa las mejores prácticas en 14 controles separados. Las auditorías de certificación cubrirán los controles de cada uno durante las verificaciones de cumplimiento. Aquí hay un breve resumen de cada parte de la norma y cómo se traducirá en una auditoría de la vida real.
Un error que cometen muchas organizaciones es colocar todas las responsabilidades de la certificación ISO en el equipo local de TI. Aunque la tecnología de la información es el núcleo de ISO 27001, los procesos y procedimientos deben ser compartidos por todas las partes de la organización.
Al prepararse para una auditoría de certificación ISO 27001, se recomienda que busque ayuda de un grupo externo con experiencia en cumplimiento. Por ejemplo, la Consultoría ISO 27001 puede ayudar a los candidatos a preparar la evidencia requerida para ser utilizada durante las auditorías. También ofrece soluciones de software como para ayudar a poner en práctica la Seguridad de la Información de una organización.
1-Políticas de seguridad de la información: cubre cómo deben escribirse las políticas en el SGSI y revisarse para su cumplimiento. Los auditores buscarán ver cómo se documentan y revisan sus procedimientos de manera regular.
2-Organización de la seguridad de la información: La Consultoría ISO 27001 describe qué partes de una organización deben ser responsables de qué tareas y acciones. Los auditores esperarán ver un organigrama claro con responsabilidades de alto nivel basadas en el rol.
3-Seguridad de recursos humanos: cubre cómo se debe informar a los empleados sobre la ciberseguridad al comenzar, salir o cambiar de puesto. Los auditores querrán ver procedimientos claramente definidos para la incorporación y la exclusión cuando se trata de seguridad de la información.
4-Gestión de activos: describe los procesos involucrados en la gestión de activos de datos y cómo deben protegerse. La Consultoría ISO 27001 prepara y ordena la información que los auditores verificarán para ver cómo su organización realiza un seguimiento del hardware, el software y las bases de datos. La evidencia debe incluir cualquier herramienta o método común que utilice para garantizar la integridad de los datos.
5-Control de acceso: proporciona orientación sobre cómo el acceso de los empleados debe limitarse a diferentes tipos de datos. Los auditores deberán recibir una explicación detallada de cómo se establecen los privilegios de acceso y quién es responsable de mantenerlos. Para esto existe la figura de la Consultoría ISO 27001.
6-Criptografía: cubre las mejores prácticas en encriptación. Los auditores buscarán partes de su sistema que manejen datos confidenciales y el tipo de cifrado utilizado, como DES, RSA o AES.
7-Seguridad física y ambiental: describe los procesos para asegurar edificios y equipos internos. Los auditores verificarán cualquier vulnerabilidad en el sitio físico, incluida la forma en que se permite el acceso a oficinas y centros de datos.
8-Seguridad de operaciones: proporciona orientación sobre cómo recopilar y almacenar datos de forma segura, un proceso que ha adquirido una nueva urgencia gracias a la aprobación del Reglamento General de Protección de Datos (GDPR) en 2018. Los auditores pedirán ver evidencia de flujos de datos y explicaciones para donde se almacena la información.
9-Seguridad de comunicaciones: cubre la seguridad de todas las transmisiones dentro de la red de una organización. Los auditores esperarán ver una descripción general de qué sistemas de comunicación se utilizan, como correo electrónico o videoconferencia, y cómo se mantienen seguros sus datos.
10-Adquisición, desarrollo y mantenimiento del sistema: detalla los procesos para administrar sistemas en un entorno seguro. Los auditores querrán evidencia de que cualquier nuevo sistema introducido en la organización se mantenga con altos estándares de seguridad.
11-Relaciones con proveedores: cubre cómo una organización debe interactuar con terceros al tiempo que garantiza la seguridad. Los auditores revisarán cualquier contrato con entidades externas que puedan tener acceso a datos confidenciales, incluida la Consultoría ISO 27001.
12-Gestión de incidentes de seguridad de la información: describe las mejores prácticas sobre cómo responder a los problemas de seguridad. Los auditores pueden solicitar realizar un simulacro de incendio para ver cómo se maneja la gestión de incidentes dentro de la organización. Aquí es donde tener un software como SIEM para detectar y clasificar el comportamiento anormal del sistema es útil.
13-Aspectos de seguridad de la información de la gestión de la continuidad del negocio: cubre cómo se deben manejar las interrupciones del negocio y los cambios importantes. Los auditores pueden presentar una serie de interrupciones teóricas y esperarán que el SGSI cubra los pasos necesarios para recuperarse de ellos.
14-Cumplimiento: identifica qué regulaciones gubernamentales o de la industria son relevantes para la organización, como ITAR. Los auditores querrán ver evidencia de cumplimiento total para cualquier área donde esté operando el negocio.
Las empresas de todos los tamaños deben reconocer la importancia de la ciberseguridad, pero simplemente establecer un grupo de seguridad de TI dentro de la organización no es suficiente para garantizar la integridad de los datos. Un SGSI es una herramienta crítica, especialmente para grupos que se distribuyen en múltiples ubicaciones o países, ya que cubre todos los procesos de extremo a extremo relacionados con la seguridad.Más información: www.exevi.com
