Publicado el 6 de diciembre de 2016 por Karen Walsh • 2 minutos de lectura
El marco ISO es uno de los fundamentos de la seguridad de la información y sus controles. Si bien muchos gerentes se enfocan en las computadoras y sus controles, los principios de administración de riesgos en ISO 27001 están cambiando la forma en que necesita abordar el cumplimiento. Este enfoque en el lado de la tecnología a menudo puede conducir a una brecha de cumplimiento. ¿Nuevo en la tarea de administrar software de cumplimiento ISO? A continuación se muestra una comprensión básica de ISO 27001 y algunos consejos para lograr el cumplimiento.
¿Qué es ISO 27001?
Los ISO son estándares acordados internacionalmente para la seguridad de la información. ISO 27001 crea un conjunto de reglas que dan a los gerentes pasos discretos a seguir. Estos pasos organizan sus sistemas de información y garantizan el cumplimiento continuo de la seguridad. Dado que las ISO no están reguladas por una sola entidad gubernamental, las empresas eligen específicamente participar en el cumplimiento y la certificación para fortalecer sus estándares de seguridad. Estas acciones son importantes porque ayudan a aumentar la confianza del cliente.
La Organización Internacional de Estándares (o «ISO») desarrolló el / y lo define como una «familia de estándares que ayudará a su organización a administrar la seguridad de activos tales como información financiera, propiedad intelectual, detalles de los empleados o información que le hayan confiado terceros «. En otras palabras, ISO 27001 no solo cubre la información interna de una empresa, también cubre a los proveedores externos. Dado que ISO 27001 es un documento vivo, evoluciona continuamente para abordar nuevas necesidades de información. Estas actualizaciones brindan una guía continua para satisfacer las inquietudes de seguridad continuas.
¿Por qué ISO 27001?
La mayoría de las empresas utilizan procesos y procedimientos para crear consistencia y contrarrestar los cambios de administración y personal. Sin embargo, con esta definición amplia, muchas organizaciones pueden sentirse abrumadas ante la idea de embarcarse en el proceso de certificación. Anthony Jones de IS Partners, LLC señala que solo alrededor de un tercio de las empresas que conocen el estándar eligen adoptarlo. La certificación ISO es un proceso largo y detallado. Sin embargo, el costo del proceso de certificación en términos de tiempo y energía en curso es igual o menor que no cumplir.
Para los CISO, una certificación ISO proporciona principalmente un beneficio de monitoreo actualizado continuamente. En lugar de tener que buscar la información por sí mismos, los CISO obtienen notificaciones actualizadas de los cambios de su organismo de certificación. Además, los pasos para la certificación, así como las revisiones de las auditorías de cumplimiento, requieren evaluaciones de riesgos. Estos enfocan la gestión en el tratamiento del riesgo documentado en lugar del riesgo percibido.
¿Por qué no ISO 270001?
Una certificación ISO 27001 requiere mucha información, tiempo, esfuerzo y mano de obra. Muchos CISO temen que fallar en una auditoría ISO 27001 resulte en la pérdida de la confianza del cliente. Sin embargo, independientemente de si una empresa solicita formalmente la certificación ISO, a menudo utiliza muchos de los mismos procesos y procedimientos. Las empresas siguen estos protocolos porque la industria los reconoce como estándares.
¿A ISO o no a ISO? Esa es la pregunta
Muchos gerentes de cumplimiento relacionan el cumplimiento de ISO 27001 con la apariencia de nariz arrugada que a menudo acompaña a un viejo sándwich de atún. Esto se debe a que estos gerentes tienen una forma obsoleta y obsoleta de administrar una auditoría ISO. Afortunadamente para los equipos de cumplimiento, ahora es el momento de repensar cómo se hace esto. Obtener una certificación ISO no tiene por qué ser doloroso. Con el software y el proceso de auditoría ISO adecuados, los equipos de cumplimiento ahora pueden obtener una certificación ISO y proteger tanto a la empresa como al cliente a largo plazo.