Cuando pensamos en llevar a cabo la implementación de un Sistema de Gestión de Seguridad de la Información en base a la norma ISO 27001 2013 podemos preguntarnos acerca de quién puede liderar un proyecto tan complejo.
Llegado el momento de llevar a cabo la implementación de la norma ISO 27001 pueden surgir dos cuestiones o preocupaciones:
Para las organizaciones que ya gozan de un Sistema de Gestión de Seguridad de la Información basado en la norma ISO 27001, la cita para la auditoría de certificación ya se conoce. El auditor llega, lleva a cabo la apertura de la auditoría, desarrolla una evaluación de los procesos y los registros, elabora un informe y cierra la fase del proceso de auditoría.
Toda aquella información y activos que se localizan en mitad de la nada requieren de un techo, paredes y condiciones de funcionamiento adecuadas. Un software posee puertas traseras, del mismo modo que cualquier edificio y estas deben ser controladas igualmente. Muchas de las funciones de seguridad de la Tecnología de la Información están basadas en principios físicos de seguridad ya obsoletos. En cuanto a la norma que regula y vigila por la seguridad, independientemente de los riesgos de seguridad física que puedan atentar contra nuestros activos, encontramos a la ISO 27001 2013.
Parece que el futuro de la norma ISO 27017 como el de la norma ISO 27018 está bastante claro; estos se encargan de definir cada uno de los estándares de seguridad de mayor crecimiento en la industria actualmente, es decir, la computación en la nube. Se trata de una cuestión tan profunda y extensa que ambas normas mencionadas pueden llegar a lograr el mismo nivel de éxito que obtuvo la ISO 27001 y la ISO 27002.
La mayor parte de los auditores no suelen llevar consigo un listado de posibles preguntas que realizar en la auditoría de certificación de la norma ISO 27001, puesto que cada empresa es diferente, así que deben improvisar dentro de unos criterios previamente establecidos.
Cuando una organización proporciona servicios en la nube es frecuente recibir constantemente preguntas por parte de los clientes acerca de cómo proteger sus datos personales. Para esto contamos con la norma ISO 27001 junto a la ISO 27018, norma dirigida a la protección de datos personales en la nube.
La gestión de incidencias es uno de los procesos clave para garantizar la eficiencia de cualquier operación comercial que debemos agradecer a la ISO 27001.
La norma ISO 27001 controla el rendimiento y la medición de las acciones clave para el mantenimiento y la mejora de cualquier Sistema de Gestión. Además contempla la relevancia del apartado 9.1, es decir, la definición de requisitos que tienen que analizarse en la aplicación de este tipo de prácticas.
El control del rendimiento y la medición son las actividades clave a la hora de mantener y mejorar de manera continua el Sistema de Gestión de Seguridad de la Información según la norma ISO 27001.
