ISO/IEC 27000: Riesgos de seguridad IT

Publicada el 10/01/2019

• La atracción de los delitos tecnológicos para los piratas cibernéticos es evidente: redes de interacciones enmarañadas, sanciones relativamente bajas, enfoques inconexos sobre el lavado de dinero y pagos potencialmente masivos. La clave es la preparación y la detección de vulnerabilidades, y la capacidad de recuperación, en términos de interacciones con los sistemas de gestión generales, y ahí es donde entra en juego el estándar de seguridad de la información (SGSI) ISO / IEC 27001.

• Este es el buque insignia de la familia de normas ISO / IEC 27000, que se publicó por primera vez hace más de 20 años. Desarrollado por ISO / IEC JTC 1, el comité técnico conjunto de ISO y la Comisión Electrotécnica Internacional (IEC) creado para proporcionar un punto de estandarización formal en tecnología de la información, se ha actualizado y ampliado constantemente para incluir más de 40 estándares internacionales que cubren todo desde la creación de un vocabulario compartido (ISO / IEC 27000), gestión de riesgos (ISO / IEC 27005), seguridad en la nube (ISO / IEC 27017 e ISO / IEC 27018) hasta las técnicas forenses utilizadas para analizar la evidencia digital e investigar incidentes (ISO / IEC 27042 e ISO / IEC 27043 respectivamente).

• Estas normas no solo tienen que ver con ayudar a administrar la seguridad de la información, sino que también ayudarán a identificar y llevar a los delincuentes ante la justicia. Por ejemplo, ISO / IEC 27043 ofrece pautas que describen procesos y principios aplicables a diversos tipos de investigaciones, que incluyen, entre otros, acceso no autorizado, corrupción de datos, fallas del sistema o violaciones corporativas de la seguridad de la información, así como cualquier otra información digital. investigación.

• El aspecto de mejora continua de ISO / IEC 27001 significa que una organización puede evaluar sus riesgos, implementar controles para mitigarlos y luego monitorear y revisar sus riesgos y controles, mejorando su protección según sea necesario. De esa manera, siempre está listo y preparado para los ataques. Si se usa correctamente, el SGSI permite a la organización mantenerse a la vanguardia del juego, respondiendo al entorno de riesgo en evolución que presenta Internet y el ciberespacio.
  
  
• Los SGSI se aplican a todos los tipos de organizaciones y a todos los tipos de actividades comerciales, incluidas las de las PYME. Muchas PYMES forman parte de las cadenas de suministro, por lo que es esencial que tengan el control y la administración de la seguridad de su información y los riesgos cibernéticos para protegerse a sí mismos y a los demás.
  
  
• Cuando la privacidad, las finanzas, la reputación individual o corporativa se ven amenazadas, socava la confianza y afecta nuestro comportamiento, tanto en línea como en la vida real. El papel de la familia ISO / IEC 27000 en permitirnos continuar avanzando es primordial. Con muchas razones para sentirnos ansiosos, ya que casi todos los aspectos de nuestras vidas se digitalizan, es reconfortante saber que hay una familia de estándares con los que contar para los sistemas de administración de seguridad de la información.
  
  

NOTA INFORMATIVA ACTUALIZADA: El pasado 16 de octubre de 2019, el BOE publicó la resolución donde se informa que el nuevo teléfono de contacto del servicio de Línea de Ayuda en Ciberseguridad es el 017 que sustituye al 900 116 117. INCIBE