Certificación ISO/IEC 27001

Sistema de gestión ISO/IEC 27001 de la Seguridad de la Información

La nueva versión de la norma ISO 27001:2013 ha sido publicada

La IAF ha emitido la resolución que concierne a la transición de la norma: “La Asamblea General, actuando por recomendación del Comité Técnico, aprobó resolver la ISO/IEC 27001:2013 Tecnologías de la Información - Técnicas de Seguridad – Sistemas de Gestión de la Seguridad de la Información – Requisitos, como un documento normativo. La Asamblea General además de esto acordó que la fecha límite para la conformidad de la ISO/IEC 27001:2013 será dentro de 2 años desde la fecha de su publicación. Un año después de su publicación, todas las certificaciones acreditadas emitidas deberán ser ISO 27001:2013. Nota: Como la fecha de publicación fue el 1 de Octubre de 2013, la fecha límite para la conformidad de los Organismos de Certificación será el 1 de Octubre de 2015.” LL-C (Certification) ya ha sido confirmada manteniendo su acreditación para la nueva norma ISO/IEC 27001:2013.

Risks identification

La obtención de datos secretos de los competidores

Hoy en día la información es uno de los bienes más preciados para una firma. ¿Qué puede significar una pérdida de datos, revelación de secretos comerciales o tan sólo una avería en el sistema de información de su empresa? Si estos riesgos son realmente importantes para su actividad, considerándolos como una amenaza del funcionamiento y desarrollo de su compañía, busque una solución a través de la implementación de un sistema de gestión de la seguridad de la información. Con su certificación además podrá demostrar confianza a sus socios para el acceso de sus sistemas de información o para el intercambio mutuo de datos e información. No podemos dejar de tener en cuenta que sus competidores pueden usar bases de datos de sus clientes, llegando a obtener información sobre sus precios, la tecnología de producción secreta o instrucciones, y también información sobre sus empleados clave.

Pérdida de datos

La pérdida de la base de datos puede significar una amenaza o aminoración en la actividad de su compañía, gastos considerables para la posterior reconstrucción y grandes pérdidas en pedidos y quejas por parte de sus clientes. En el caso de una amenaza a cuentas o base de datos secretas pueden llegar a haber sanciones provenientes del Estado.

Interrupción en la actividad de su compañía

Un mantenimiento extraordinario frecuente del Sistema, eliminación de fallos y deficiencias, incompatibilidad; todo esto significa que los empleados de la compañía dedican su tiempo a actividades diferentes de las que deberían ser directas hacia la empresa. Los clientes entienden ciertos problemas temporales sólo si estos no ocurren de manera frecuente o repetida, especialmente cuando se están dando en los puntos de venta o almacenes.

Amenazas (selección)

• El mal uso de los derechos de administrador
• Negligencia en la gestión de datos y laxitud
• La eliminación de datos
• Al tocar a las negociaciones importantes
• Piratería del sistema
• Hostilidad y adversidad en la instalación del SW
• No funcionamiento del Sistema
• El robo de datos
• Errores y omisión de usuarios
• Enrutamiento incorrecto
• Accidentes del Sistema
• Desastres naturales
• Indemnizaciones a los clientes

Identificación de Riesgos

Obteniendo información secreta de la competencia

La competencia puede usar bases de datos de contactos de sus clientes, puede obtener información subre sus precios, producción tecnológica secreta o instrucciones, y además información sobre sus empleados clave.

Pérdida de Información

La perdida de bases de datos puede significar una amenaza o un retraso en las actividades de la compañia, gastos considerables para su recosntrucción y una gran pérdida de ordenes de compra o reclamos de clientes. En caso de presentarse una amenaza en cuentas o bases de datos personales secretas, podría incluso llevar a una sanción del estado.

Interrupción en el funcionamiento de la compañia

Un mantenimiento poco frecuente del sistema, la eliminación de fallas y problemas técnicos, una incompatibilidad, todas estas situaciones pueden significar en una compañia que sus empleados avoquen su tiempo a diferentes actividades en vez de dirirgir sus actividades hacia el crecimiento de la compañia. Los clientes pueden comprender problemas temporales solo si no ocurren frecuentemente y de manera repetida, especialmente cuando se trata de venta de retail.

¿De donde pueden provenir los riesgos?

Los riesgos provienen de donde sea que los sistemas de información sean administrados externamente. Sin embargo, aunque la solución técnica sea buena, no puede prevenir la intención o negligencia de una persona con poderes de administración o incluso de usuario. ISO 27001 introduce un sistema de participación de manejo, a través del chequeo del manejo de los sistemas de información. Al mismo tiempo, ayuda a que la participación de los miembros de una administración no sea sobrecargada o requiera una demanda de especialización en los sistemas de información regionales.

Ubicación de los servidores y otros portadores de información

Es conocido que la información segura se encuentra en equipos que no estan conectados via cable. Uno se olvida que alguien puede simplemente conectarlo o llevarse el equipo. ISO 27001 introduce medidas por lo cual tal equipo no se encuentra físicamente accesible a personal no autorizado y además es protegido contra daños o incluso destrucción.

Mantenimiento

Los sistemas de información requieren chequeos regulares, mantenimiento y actualización de softwares con el fin de que en caso de mal funcionamiento, los sistemas no se vean afectados. Introduciendo un control de sistemas al mentenimiento, usted bajara el riesgo de malfuncionamientos repentinos y bajar los costos en concepto de hardware o softwares ya que no se veran afectados en caso de efectos fortuitos.

QUIZ DE ADMINISTRACIÓN ( Diga Si o No)

1. El administrador tiene poderes limitados y el acceso al sistema de control, permite sólo la funcionalidad mínima para la eficacia de manejo.2. La base de datos está protegida contra accesos no autorizados, los derechos de acceso administrados y los datos de seguridad estan respaldados regularmente a una zona segura. 3. La Política de contraseñas se se encuentra formulada y monitoreada. 4. ¿Existen controles periódicos sobre el acceso no autorizado, del fracaso del sistema, actualizaciones de programas antivirus y otros programas?. El sistema sólo permite la conexión de los equipos aprobados. 5. Las Competencias, facultades y responsabilidades del personal están claramente definidas y delegadas. Sus datos personales están protegidos. 6. Las habitaciones y los espacios están protegidos contra la entrada de personas no autorizadas, especialmente en la sala de servidores y otros activos de información sensible. 7. El acceso remoto al sistema de información se halla suficientemente asegurado, la posibilidad de acceso inalámbricos no autorizados se encuentran controlados. 8. Los riesgos de cooperación con terceros (subcontratistas) son analizados, y el acceso de terceros a la información se encuentra controlada y gestionada. 9. La Compra de software y hardware se planifica y no es accidental. Los componentes básicos individuales de los sistemas de información se implementan despue de un análisis de riesgo. 10. Las Actividades de los trabajadores en la gestión de datos e información de los clientes son monitoreados y evaluados. Si su respuesta es ¨Si¨ en 8 de 10 preguntas, No nos llame.

Data carriers

When applying the standard ISO 27001, it is necessary to keep in mind that data carriers we wish to protect are not IT systems and local computers only, but also printed documents and the information shared by people over the phone or in person. This matter is often neglected in today’s contemporary time.