Usamos cookies en nuestro sitio web para brindarte la experiencia más relevante recordando tus preferencias y visitas repetidas. Haz clic en "Aceptar todas las cookies" para disfrutar de esta web con todas las cookies, configura tus preferencias antes de aceptarlas o utiliza el botón "Rechazar todas las cookies" para continuar sin aceptar.

Gestión de Cookies
Zona Clientes
User
Password
Campus e-Learning
User
Password
  • Zona Clientes
  • Campus E-Learning
Consultoría  /  ISO/IEC 27001 - Sistemas de Gestión de Seguridad de la Información

ISO/IEC 27001 - Sistemas de Gestión de Seguridad de la Información

Descripción

 

Ya vivimos en la sociedad de la información, una gran parte de nuestras actividades diarias se valen del almacenamiento, la utilización y la transmisión de información.
La información en las organizaciones es un activo tangible o intangible que tiene un determinado valor para el desarrollo de sus procesos de negocio, por lo cual debe ser protegida de manera proporcional a ese valor.
La seguridad de la información debe ser aplicada a toda la información independientemente de cual sea su fuente, su tipo, su estado y su forma, sin equiparar los términos de seguridad de la información y de seguridad informática. Si bien la seguridad informática forma parte de la seguridad de la información, todos tenemos un expediente almacenado en papel.
La norma ISO/IEC 27001 define los mecanismos, controles y medidas necesarios para que las organizaciones puedan proteger sus activos y la información que estos gestionan en base a las dimensiones de seguridad de la información (Confidencialidad – Integridad – Disponibilidad).
Esta norma ISO/IEC 27001 basa su funcionamiento en la gestión de los riesgos de seguridad de la información asegurando que estos son identificados, evaluados y gestionados, adaptándose así a las características de cualquier tipo de organización.

Principales Requisitos

  • El LIDERAZGO imprescindible de la alta dirección;
  • La consideración del CONTEXTO como factor estratégico;
  • EVALUACIÓN, GESTIÓN y TRATAMIENTO del RIESGO, como elemento clave;
  • MEDIDAS ORGANIZATIVAS, TÉCNICAS y LEGALES, para lograr la protección de la información;
  • Establecimiento de MECANISMOS DE CONTROL de acceso físico, lógico, control de red y criptográficos;
  • Asegurar la seguridad de la información en el SERVICIO A TERCEROS y en el INTERCAMBIO de la información;
  • Disponer de CONTRATOS DE CONFIDENCIALIDAD con los empleados;
  • Formalización de ACUERDOS CON PROVEEDORES que incluyan requisitos de seguridad;
  • Cumplimiento con la LEGISLACIÓN APLICABLE en materia de protección de datos personales;
  • USO DE SOFTWARE con licencias;
  • GESTIÓN DE INCIDENCIAS relativas a la seguridad de la información;
  • La importancia de la gestión desde el punto de vista seguridad de la información debe comunicarse dentro de la organización, la TOMA DE CONCIENCIA Y EL COMPROMISO de todas las personas es imprescindible para que el sistema funcione;
  • Proporcionar la FORMACIÓN necesaria para garantizar la competencia de las personas que realizan tareas relacionadas con la seguridad de la información;
  • PRESERVACIÓN DE LA CONTINUIDAD de los recursos de formación, realización de pruebas.

EJEMPLOS de Acciones Prácticas a Implementar

  • Realización del análisis de riesgos de seguridad de la información.
  • Formalización de contratos de confidencialidad con los empleados y proveedores.
  • Formalización de acuerdos prestación de servicio.
  • Uso de credenciales de acceso a las instalaciones para visitantes.
  • Mecanismos que obstaculicen el acceso a las áreas seguras: dispositivos biométricos, etc.
  • Uso de dispositivos de alimentación interrumpida.
  • Uso de controladores de temperatura CPD.
  • Uso de licencias legales.
  • Realización de planes de continuidad
  • Planes de prueba: caída de suministro eléctrico, fallos en los servidores, fallo comunicaciones, incendio edificio, etc.
  • Política de gestión de contraseñas.
  • Limitar la utilización de usuarios genéricos y los permisos de administración.
  • Restringir los puertos USB a puestos determinados.
  • Implantar y configurar un antivirus para todos los equipos de la organización, incluyendo los dispositivos móviles
  • Instalación de Firewalls, VPN.
  • Controlar y prohibir el acceso remoto hacia la propia organización.
  • Limitar la navegación a páginas de ciertos contenidos y Sistemas de Detección de Intrusos.
  • Realización de copias de seguridad.
  • Segmentación de redes y conexiones seguras.
  • Proteger las claves de acceso a sistemas, datos y servicios, almacenándolas de forma cifrada.
  • Uso certificado digitales para el intercambio de información.

*Las acciones indicadas son sólo ejemplos, estás deberán ser adaptadas a la realidad y necesidades de cada organización

Ventajas para la ORGANIZACIÓN

 

 

 

Muchas organizaciones no conocen la información que gestionan o no conocen la importancia de la información que gestionan hasta que se produce una incidencia que les enfrenta a la dura realidad.

Las organizaciones están expuestas a múltiples amenazas (fallos energéticos, virus informáticos, fraude, error humano, fallo de elementos, accesos indebidos, desastres naturales, vandalismo, …) a las que son más o menos vulnerables y para cuya gestión deben estar preparadas.
La implantación en las organizaciones de un sistema de gestión de seguridad de la información bajo los requisitos de la norma ISO/IEC 27001 les permite minimizar la probabilidad de materialización de las amenazas y estar preparados para minimizar su impacto en caso de que se materialicen (pérdidas financieras, litigios laborales, multas, pérdida de clientes, daños de imagen, interrupción de las operaciones, costes de recuperación, …).
La norma ISO/IEC 27001 nos lleva a establecer diferentes políticas, procedimientos, aplicaciones informáticas o elementos físicos necesarios para definir la seguridad de nuestros activos de manera proporcionada.

Ventajas para los CLIENTES

Los clientes de una organización que implanta y mantiene un sistema de gestión de seguridad de la información bajo los requisitos de la norma ISO/IEC 27001 saben que la información gestionada por su proveedor para la prestación del servicio o para la generación del producto que reciben dispone de todos los controles necesarios para garantizar su protección y preservación.

Ventajas para el MERCADO

Empresas comprometidas con la seguridad de la información, que garantizan una adecuada gestión de la información con la que trabajan.

Sectores de APLICACIÓN

La norma ISO 27001 tiene vocación universal, aplicable a organizaciones de todos los sectores y tamaños, y que describe de qué debe constar un sistema de gestión de la seguridad de la información en cualquier tipo de organización.

La norma es especialmente útil cuando la protección de la información es crítica, como por ejemplo, en las áreas de gobierno, banca y finanzas, salud, empresas de servicios de tecnología de la información o comunicaciones, o cualquier otro ámbito donde los activos de información requieran de una adecuada protección.

Solicita más información

En cumplimiento de la normativa de protección de datos, en particular del Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, le informamos que los datos personales que usted nos facilita a través del presente formulario, serán utilizados por International Dynamics Advisors (INTEDYA), para tramitar su solicitud de información respecto al asunto indicado. .

Los datos personales marcados con (*) son imprescindibles para tramitar su solicitud, siendo el resto opcionales, y orientados a mejorar las vías de comunicación con los solicitantes. INTEDYA únicamente comunicará sus datos a las oficinas (pertenecientes a su red de oficinas) necesarias o relacionadas con el servicio solicitado, no realizando ninguna otra comunicación, más allá de las obligaciones legales que puedan derivarse del tratamiento. Asimismo, ni INTEDYA ni las oficinas de su red implicadas, utilizará sus datos con finalidades distintas a las indicadas, salvo autorización expresa y previa del titular de los mismos. Los datos personales serán tratados únicamente durante el tiempo necesario para tramitar su solicitud, tras lo cual se procederá a su supresión. Le informamos sobre la posibilidad de ejercer los derechos de acceso, rectificación, supresión, portabilidad y limitación del tratamiento, en los términos previstos en la ley, que podrá ejercitar dirigiéndose a International Dynamics Advisors, en Calle Secundino Roces Riera, nº 5, planta 2, oficina 7, Parque Empresarial de Asipo I. C.P. 33428 Cayés, Llanera (Asturias)., o a la dirección de correo electrónico info@intedya.com.

Además, en caso de que usted nos autorice expresamente, INTEDYA podrá utilizar sus datos de contacto para el envío de Newsletter, comunicaciones, notificaciones y, en general, información sobre nuestros productos y servicios que puedan resultar de su interés.

Para obtener más información sobre el uso de los datos de carácter personal, así como sobre el cumplimiento de los principios, requisitos y derechos recogidos de la normativa de protección de datos, INTEDYA pone a disposición de los interesados, a través de su página web, su Política de Privacidad.

Trabajamos formando un banco mundial de conocimiento, sumando la experiencia y capacidades de todos nuestros profesionales y colaboradores capaces de formar el mejor equipo internacional de conocimiento.

Reconocimientos y participación

INCIBECursos Universitarios de Especialización UEMCStaregisterUNE Normalización EspañolaOganización Asociada a la WORLD COMPLIANCE ASSOCIATIONStandards Boost BusinessMiembros de ANSI (American National Standards Institute)Miembros de la Green Industry PlatformMiembros de la Asociación Española de la CalidadAdheridos al Pacto de LuxemburgoMiembros de la European Association for International Education