Saltar al contenido principal

Controles Seguridad de la Información

Con los controles no es suficiente. Sigue necesitando la ISO 27001

Portada » Blog Calidad y Excelencia » Con los controles no es suficiente. Sigue necesitando la ISO 27001

Controles ISO 27001

La información es uno de los activos más importantes. Otras personas, empresas y países están dispuestos a pagar cualquier precio por la información que necesitan para obtener beneficios.

Ya hemos visto a través de la historia de cómo países han perdido guerras por la infiltración de la información y quedan vulnerables frente al “enemigo”, pero también podemos ver como el manejo de esa información de forma adecuada puede fortalecer nuestro sistema.

En seguridad de la información, cuando hablamos de controles, en seguida recurrimos al anexo A el cual es un guía, un documento el cual nos sirve para implementar controles enfocados específicamente a la norma ISO 27001 de Sistema de Gestión de Seguridad de la Información los cuales nos van a permitir mejorar las condiciones de riesgos eminentes dentro de la organización.

Controles de Seguridad de la Información

El anexo A data, en su versión actual, de 114 controles, los cuales en la norma de seguridad de la información ISO 27001 son obligatorios en su aplicación, sin embargo, se puede encontrar con excepciones, estas se presentan cuando aplica no apuntan a algún riesgo valorado.

Con la aplicación de estos controles lo primero que se puede entender es que estos controles no apuntan al área informática de la organización, sino a todos los elementos que hacen parte de la organización, como por ejemplo el recurso humano o infraestructura, entre otros elementos. Y los grupos que podemos encontrar son 14 descritos de la siguiente manera: Políticas de seguridad de la información, Organización de seguridad de la información, seguridad de los recursos humanos, gestión de recursos, control de acceso, criptografía, seguridad física y ambiental, seguridad operacional, seguridad de las comunicaciones, adquisición, desarrollo y mantenimiento de sistemas, relaciones con los proveedores, gestión de incidentes en seguridad de la información, aspectos en seguridad de la información de la gestión de continuidad de negocio, y cumplimiento.

Sin embargo, lo que debemos tener en cuenta es que así, como hay controles que aplican a los diferentes riesgos, podemos encontrar aquellos controles que no aplican, pero también aquellos que no se encuentran y que por tal motivo no se pueden aplicar, ni crear a manera de imposición en sí mismo.

CTA botón fundamentos de la gestión de seguridad de la información

Descargue el e-book fundamentos de gestión de Seguridad de la Información

No son suficientes

Es por esto que los controles no se consideran suficientes para cumplir con los principios de la norma ISO 27001, los cuales corresponden a la Confiabilidad, Integridad y Disponibilidad de la información, además de los ítems que permiten generar documentos como políticas, liderazgo, etc., en general los ítems que la conforman.

Es por esto que se cuenta con todo un paquete de normas y guías ISO que permiten que el sistema sea robusto adicional de sus controles, como por ejemplo la Norma ISO 9001 de calidad que permite que la implementación de un sistema de seguridad de la información en principio sea más fácil de implementar, esto debido a que ya hay una madurez en el manejo de los procesos y en general de todo el sistema dentro de la organización, se cuenta con guías como la ISO/IEC 27002 encargada de las buenas prácticas de la gestión de la seguridad de la información con la ayuda de sus 93 dominios, entre otras como la ISO 27301 de continuidad de negocio y así aproximadamente unas 20 guías que nos van a permitir potenciar no solo los controles sino nuestro SGSI.

Para el manejo de estos sistemas, la tecnología, hoy en día, cuenta con software configurables acuerdo a las necesidades de la organización, que permiten realizar una gestión óptima del sistema en ejecución, control, análisis y toma de decisiones que permiten a las organizaciones cumplir con sus objetivos.

Software Seguridad de la Información ISOTools

Para una gestión eficaz de los controles de Seguridad de la Información se hace imprescindible mantener bajo control las vulnerabilidades y amenazas de cada proceso, ya tengan que ver o no con activos de la organización. Para ello se ha de contar con las metodologías que sean necesarias como ISO 27001, cuyos controles se detallen en la ISO 27002 y han sido modificados recientemente en 2022.

Todos estos controles de Seguridad de la Información, así como las mejores prácticas para su gestión automatizada, se encuentran recogidos en el Software de Gestión de Seguridad de la Información ISOTools. Gracias a ISOTools consigue una gestión eficiente de la Seguridad de la Información, desde la implementación hasta la certificación. Para conocer como hacemos más eficiente la gestión de la Seguridad de la Información en las organizaciones puede inscribirse en la demostración gratuita que celebramos semanalmente, haciendo clic aquí.

CTA tira fundamentos de seguridad de la información

Fundamentos de gestión de Seguridad de la Información

 

¿Desea saber más?

Entradas relacionadas

Cómo Operar En El Día A Día Con Un Sistema De Gestión De Riesgos
Cómo operar en el día a día con un sistema de gestión de riesgos

Sistema de Gestión de Riesgos Uno de los conflictos que tenemos cuando pensamos en riesgos es que creemos…

Ver más
Control De Seguridad De La Información
Control de Seguridad de la información en la nube de la nueva ISO 27002

El control de seguridad de la información y su acceso es un elemento esencial de la seguridad que…

Ver más
Control Interno
Elementos del Control Interno en la organización

Control Interno El sistema de Control Interno de la organización establece los medios necesarios para garantizar que la…

Ver más
Liderazgo Visible 45001
¿Qué dice ISO 45001 sobre liderazgo visible?

La norma ISO 45001. La norma ISO 45001 es un estándar internacional de gestión de seguridad y salud…

Ver más