{"id":364,"date":"2022-09-20T09:11:14","date_gmt":"2022-09-20T09:11:14","guid":{"rendered":"https:\/\/protegetuinformacion.com\/?p=364"},"modified":"2022-09-20T09:11:14","modified_gmt":"2022-09-20T09:11:14","slug":"consejos-para-afrontar-un-proceso-de-certificacion-con-exito-2","status":"publish","type":"post","link":"https:\/\/protegetuinformacion.com\/index.php\/2022\/09\/20\/consejos-para-afrontar-un-proceso-de-certificacion-con-exito-2\/","title":{"rendered":"Consejos para afrontar un proceso de certificaci\u00f3n con \u00e9xito&nbsp;"},"content":{"rendered":"\n<p class=\"has-black-color has-text-color has-medium-font-size\"><strong>\u00bfEs consciente de la importancia que tiene la informaci\u00f3n para su organizaci\u00f3n? \u00bfSe ha planteado si las medidas de seguridad con las que cuentan son suficientes para su protecci\u00f3n? La norma ISO\/IEC 27001 es un elemento sobre el que basar la gesti\u00f3n y protecci\u00f3n de la informaci\u00f3n de su empresa.\u00a0<\/strong><\/p>\n\n\n\n<p>La informaci\u00f3n de su negocio resulta cada d\u00eda m\u00e1s importante. Su tratamiento, a menudo hace que \u00e9sta sea expuesta a factores que pueden ponerla en peligro. Contar con un Sistema de Gesti\u00f3n de la Seguridad de la Informaci\u00f3n (SGSI) es sin duda la forma m\u00e1s pr\u00e1ctica de seguir un conjunto de buenas pr\u00e1cticas que garanticen que el tratamiento de la informaci\u00f3n de nuestra empresa es adecuado.&nbsp;<\/p>\n\n\n\n<p>La norma ISO 27001 define como implantar un Sistema de Gesti\u00f3n de Seguridad de la informaci\u00f3n que aporta a la Organizaci\u00f3n interesantes beneficios:&nbsp;<\/p>\n\n\n\n<ul><li>Ayuda al <strong>cumplimiento <\/strong>de leyes y normativas. En este sentido se incluyen, entre otras, la Ley Org\u00e1nica de Protecci\u00f3n de Datos de Car\u00e1cter Personal (LOPD), la Ley de Servicios de la Sociedad de la Informaci\u00f3n y Comercio Electr\u00f3nico (LSSICE), Propiedad Intelectual, etc.\u00a0<\/li><li>Aporta a la empresa un <strong>valor a\u00f1adido<\/strong>, dando a nuestros clientes una mayor credibilidad, ya que contar con esta certificaci\u00f3n, asegura que tenemos un proceso adecuado para la gesti\u00f3n de la informaci\u00f3n.\u00a0<\/li><li>Ofrece una <strong>metodolog\u00eda<\/strong> para llevar a cabo un An\u00e1lisis y Gesti\u00f3n de Riesgos.\u00a0<\/li><li>Garantiza la implantaci\u00f3n de medidas de <strong>seguridad <\/strong>consistentes, eficientes y apropiadas al valor de la informaci\u00f3n protegida.\u00a0<\/li><li>Contempla planes de contingencia ante cualquier tipo de <strong>incidencia <\/strong>(p\u00e9rdidas de datos, incendio, robo, terrorismo, etc.)\u00a0<\/li><li>Puede ser utilizada como herramienta de <strong>diferenciaci\u00f3n<\/strong> frente a la competencia.\u00a0<\/li><li>Mejora la <strong>concienciaci\u00f3n<\/strong> del personal en todo lo que se refiere a la seguridad y a sus responsabilidades dentro de la organizaci\u00f3n.\u00a0<\/li><\/ul>\n\n\n\n<p>El desarrollo de las nuevas tecnolog\u00edas hace que el tratamiento de la informaci\u00f3n haya dado un cambio importante en la cultura empresarial y obliga a extremar las precauciones para garantizar:&nbsp;<\/p>\n\n\n\n<ul><li>la confidencialidad: Evitar que la informaci\u00f3n est\u00e9 a disposici\u00f3n de individuos, entidades o procesos que no tienen autorizaci\u00f3n.\u00a0<\/li><li>la disponibilidad: Asegurar que la informaci\u00f3n sea accesible cuando sea necesario.\u00a0<\/li><li>la integridad: Mantener la informaci\u00f3n exacta y completa.\u00a0<\/li><\/ul>\n\n\n\n<p>Contar con un SGSI ayudar\u00e1 a la Direcci\u00f3n de nuestra empresa a decidir qu\u00e9 pol\u00edticas y objetivos de seguridad deben establecerse y nos permitir\u00e1 crear mecanismos que nos ayuden a proteger la informaci\u00f3n y los sistemas que los procesan.&nbsp;<\/p>\n\n\n\n<p>Para implementar un SGSI conforme a la norma ISO 27001 se deber\u00e1 establecer un ciclo continuo \u2018PDCA\u2019 como el utilizado en los sistemas de calidad:&nbsp;<\/p>\n\n\n\n<ul><li><strong>Planificar<\/strong>: Establecer el Sistema de Gesti\u00f3n, su alcance y objetivos. En esta fase deber\u00e1 definirse la pol\u00edtica de seguridad de la organizaci\u00f3n y la metodolog\u00eda para la evaluaci\u00f3n de los riesgos que utilizaremos en nuestro Sistema. Posteriormente, deber\u00e1n identificarse los riesgos que nuestros activos tienen, evaluando las amenazas y vulnerabilidades que estos pudieran tener y los impactos que tendr\u00eda el negocio ante una p\u00e9rdida de confidencialidad, integridad o disponibilidad.\u00a0<\/li><\/ul>\n\n\n\n<p>Una vez analizados los riesgos y determinadas qu\u00e9 situaciones no son aceptables para la empresa, se establecer\u00e1 un plan para tratar y mitigar los riesgos no aceptables. Para ello, se aplicar\u00e1n los controles oportunos. Deber\u00e1n seleccionarse los objetivos de control y controles del anexo A de la norma ISO 27001 que ser\u00e1n utilizados para el tratamiento de los riesgos y ser\u00e1n recogidos en una declaraci\u00f3n de aplicabilidad.&nbsp;<\/p>\n\n\n\n<ul><li><strong>Do<\/strong>: Hacer, implementar y utilizar el Sistema de Gesti\u00f3n, sus controles de seguridad y sus exigencias normativas.\u00a0<\/li><\/ul>\n\n\n\n<p>En esta fase deber\u00e1 establecerse un plan para la gesti\u00f3n de los riesgos que incluya su oportuna planificaci\u00f3n y desglose de responsabilidades y organizaci\u00f3n de los proyectos.&nbsp;<\/p>\n\n\n\n<p>Adem\u00e1s deber\u00e1n definirse los indicadores que ayuden a la organizaci\u00f3n a conocer la eficacia y eficiencia de las acciones llevadas a cabo para la mitigaci\u00f3n de los riesgos.&nbsp;<\/p>\n\n\n\n<p>Se concienciar\u00e1 y formar\u00e1 a todos las personas y se implantar\u00e1n los controles establecidos en la fase anterior.&nbsp;<\/p>\n\n\n\n<ul><li><strong>Check<\/strong>: Monitorizar y revisar el Sistema para evaluar si los controles son eficaces y cubren los objetivos deseados.\u00a0<\/li><\/ul>\n\n\n\n<p>En esta fase se deber\u00e1 revisar la efectividad del Sistema a tiempos planificados y se revisar\u00e1n los niveles de riesgo, siempre que existan cambios en la organizaci\u00f3n, la tecnolog\u00eda, los procesos, etc\u2026&nbsp;<\/p>\n\n\n\n<p>El sistema deber\u00e1 someterse a auditor\u00edas internas planificadas y el resultado de estas y de las actividades deber\u00e1 ser revisada por parte de la Direcci\u00f3n de la empresa.&nbsp;<\/p>\n\n\n\n<ul><li><strong>Act<\/strong>: Mantener y mejorar nuestro sistema en base a la eficacia de las medidas del mismo.\u00a0<\/li><\/ul>\n\n\n\n<p>Una vez superados los ciclos anteriores y, sobre la base de los resultados de los mismos, deber\u00e1n implantarse las acciones de mejora necesarias para afianzar el Sistema y para alcanzar los objetivos previstos.&nbsp;<\/p>\n\n\n\n<p class=\"has-medium-font-size\"><strong>ISO 27002\u00a0<\/strong><\/p>\n\n\n\n<p>La ISO 27002 es una gu\u00eda de buenas pr\u00e1cticas que expone recomendaciones a tener en cuenta para cada uno de los controles del anexo A de la ISO 27001.En la norma ISO 27001 se habla de estos controles en su anexo A, pero no forma parte del coraz\u00f3n de la norma ya que no olvidemos que la ISO 27001 define como gestionar la seguridad (como implementar un Sistema de Gesti\u00f3n de Seguridad de la Informaci\u00f3n).&nbsp;<\/p>\n\n\n\n<p>La ISO 27002 es, por lo tanto, una ayuda en la gesti\u00f3n de los riesgos que se organiza en los siguientes apartados:&nbsp;<\/p>\n\n\n\n<ul><li><strong>Apartado 5: Pol\u00edtica de Seguridad.<\/strong> El objetivo de este control es contar con una Pol\u00edtica de Seguridad documentada y revisada peri\u00f3dicamente.\u00a0<\/li><\/ul>\n\n\n\n<ul><li><strong>Apartado 6: Aspectos organizativos<\/strong>. Este control establece c\u00f3mo deber\u00eda estar compuesta la organizaci\u00f3n de la seguridad de la empresa, c\u00f3mo deben coordinarse las actividades y c\u00f3mo deben mantenerse activas las relaciones con los terceros que pudieran colaborar con nosotros.\u00a0<\/li><\/ul>\n\n\n\n<ul><li><strong>Apartado 7: Gesti\u00f3n de activos<\/strong>. Este apartado propone contar con un inventario detallado de activos que recoja sus funcionalidades. Adem\u00e1s, establece pautas para el uso responsable y adecuado de los mismos. Este apartado recoge adem\u00e1s la necesidad de contar con un procedimiento de tratamiento de la clasificaci\u00f3n, as\u00ed como las medidas de seguridad que deber\u00edan considerarse en funci\u00f3n de la clasificaci\u00f3n de estos.\u00a0<\/li><\/ul>\n\n\n\n<ul><li><strong>Apartado 8: Recursos humanos.<\/strong> Dividido en tres controles, establece las medidas de seguridad que deber\u00edan considerarse en cada una de las fases de desempe\u00f1o de trabajo (definici\u00f3n del puesto, desempe\u00f1o de las funciones y a la finalizaci\u00f3n o cambio del puesto de trabajo).\u00a0<\/li><\/ul>\n\n\n\n<ul><li><strong>Apartado 9: Seguridad f\u00edsica y ambiental.<\/strong> Las medidas de seguridad f\u00edsica y del entorno quedan recogidas en dos controles de este apartado. Por una parte, se establecen los requerimientos f\u00edsicos de los edificios, como el establecimiento de per\u00edmetros de seguridad, las zonas de carga o los controles f\u00edsicos de entrada y, por otra, la seguridad de los equipos, considerando el suministro, la seguridad del cableado o el mantenimiento de los mismos.\u00a0<\/li><\/ul>\n\n\n\n<ul><li><strong>Apartado 10: Seguridad comunicaciones y operaciones.<\/strong> La operaci\u00f3n de las comunicaciones deber\u00eda estar procedimentada adecuadamente, estableciendo de manera clara las responsabilidades que, en materia de operaci\u00f3n, deban considerarse. En este apartado se incluye tambi\u00e9n la supervisi\u00f3n de los servicios que son contratados a terceros y la planificaci\u00f3n de los requisitos y necesidades de seguridad de los sistemas.\u00a0<\/li><\/ul>\n\n\n\n<ul><li><strong>Apartado 11: Control de accesos. <\/strong>Este apartado presenta las pautas que deber\u00e1n tenerse en cuenta para el control de los accesos a las redes, a los sistemas operativos y a las aplicaciones corporativas. As\u00ed mismo, deber\u00e1n considerarse qu\u00e9 privilegios son los adecuados para cada usuario o cu\u00e1les son las responsabilidades que el usuario tiene para la protecci\u00f3n de su puesto de trabajo.\u00a0<\/li><\/ul>\n\n\n\n<ul><li><strong>Apartado 12: Adquisici\u00f3n, desarrollo y mantenimiento de sistemas<\/strong>. Este sistema propone que los sistemas debieran contar con unos requisitos de seguridad espec\u00edficos que abarcan desde la entrada de los datos hasta el control del software y las medidas de seguridad de los procesos de desarrollo de software. En este apartado se considera adem\u00e1s el control de las vulnerabilidades t\u00e9cnicas.\u00a0<\/li><\/ul>\n\n\n\n<ul><li><strong>Apartado 13: Gesti\u00f3n de incidentes. <\/strong>Deber\u00e1 establecerse cu\u00e1les son los canales de comunicaci\u00f3n de eventos y debilidades y c\u00f3mo ser\u00e1 el proceso de gesti\u00f3n de incidencias.\u00a0<\/li><\/ul>\n\n\n\n<ul><li><strong>Apartado 14: Gesti\u00f3n de continuidad del negocio<\/strong>. Este apartado establece los requisitos que deber\u00edan considerarse en relaci\u00f3n a garantizar la continuidad de los servicios cr\u00edticos del negocio.\u00a0<\/li><\/ul>\n\n\n\n<ul><li><strong>Apartado 15: Cumplimiento legal.<\/strong> Podemos considerar este apartado como garant\u00eda del cumplimiento de las exigencias legales que cada organizaci\u00f3n tiene. Adem\u00e1s, se incluyen en este apartado las consideraciones que deben tenerse en cuenta en la auditor\u00eda de los sistemas.\u00a0<\/li><\/ul>\n","protected":false},"excerpt":{"rendered":"<p>\u00bfEs consciente de la importancia que tiene la informaci\u00f3n para su organizaci\u00f3n? \u00bfSe ha planteado si las medidas de seguridad con las que cuentan son suficientes para su protecci\u00f3n? La &hellip; <a href=\"https:\/\/protegetuinformacion.com\/index.php\/2022\/09\/20\/consejos-para-afrontar-un-proceso-de-certificacion-con-exito-2\/\" class=\"more-link\">Leer m\u00e1s<\/a><\/p>\n","protected":false},"author":6,"featured_media":368,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[5,12],"tags":[58,91,115,17],"_links":{"self":[{"href":"https:\/\/protegetuinformacion.com\/index.php\/wp-json\/wp\/v2\/posts\/364"}],"collection":[{"href":"https:\/\/protegetuinformacion.com\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/protegetuinformacion.com\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/protegetuinformacion.com\/index.php\/wp-json\/wp\/v2\/users\/6"}],"replies":[{"embeddable":true,"href":"https:\/\/protegetuinformacion.com\/index.php\/wp-json\/wp\/v2\/comments?post=364"}],"version-history":[{"count":3,"href":"https:\/\/protegetuinformacion.com\/index.php\/wp-json\/wp\/v2\/posts\/364\/revisions"}],"predecessor-version":[{"id":367,"href":"https:\/\/protegetuinformacion.com\/index.php\/wp-json\/wp\/v2\/posts\/364\/revisions\/367"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/protegetuinformacion.com\/index.php\/wp-json\/wp\/v2\/media\/368"}],"wp:attachment":[{"href":"https:\/\/protegetuinformacion.com\/index.php\/wp-json\/wp\/v2\/media?parent=364"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/protegetuinformacion.com\/index.php\/wp-json\/wp\/v2\/categories?post=364"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/protegetuinformacion.com\/index.php\/wp-json\/wp\/v2\/tags?post=364"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}