Seguridad de la Información

Servicios en Derecho Tecnológico

Servicios

Protección de Datos

Propiedad Industrial

Propiedad Intelectual

Compliance Tecnológico

Comercio Electrónico

Contratación Informática

Contratación Electrónica

¿Conoces los riesgos que tiene la información de tu organización?

El incremento del teletrabajo y la aceleración de la digitalización de las organizaciones y sus actividades no ha venido acompañada, en muchas ocasiones, de la implementación de medidas de control sobre la seguridad de la información, lo que ha provocado un considerable aumento de los riesgos y las incidencias sobre procesos críticos de las organizaciones, que en algunos casos puede generar algún tipo de responsabilidades legal.

Marcos de referencia para el control del riesgo y la seguridad de la información

Para la implantación de un sistema que ayude a controlar y disminuir los riesgos sobre la información se puede acudir a diferentes marcos de referencia, con amplio reconocimiento internacional y aceptación por todos los sectores de la actividad económica. Todos ellos tienen como objetivo identificar y analizar los riesgos asociados a los activos de información, valorarlos y aplicar medidas que permitan su gestión.

Proponemos principalmente dos normas, una técnica y otra que viene prevista en nuestro marco jurídico. Se trata de la ISO 27001 y el Esquema Nacional de Seguridad.

ISO 27001

Sistema de Gestión de Seguridad de la Información o SGSI. Es la norma más completa que contempla toda una serie de controles, métricas e indicadores que ayudan a la implantación de un sistema de seguridad altamente eficiente en la organización. Pone el foco sobre tres dimensiones de análisis del riesgo: la confidencialidad, la integridad y la disponibilidad de la información. Su adopción es voluntaria y es la que goza de mayor reconocimiento internacional.

Esquema Nacional de Seguridad

Es la norma española de obligado cumplimiento por todas las Administraciones Públicas, regulada por el Real Decreto 3/2010. Tiene un elevado prestigio entre los especialistas, por añadir a las dimensiones antes mencionadas de la ISO la trazabilidad y la autenticidad. Es una norma fundamental para todo tipo de organización que preste servicios al sector público.

Pasos a seguir : Definir un alcance

En primer lugar hay que definir un alcance. No es necesario ni aconsejable que este sea toda la organización.

Debemos elegir los procesos críticos en la captación y gestión de información, desde el punto de vista del tipo de datos que tratan, su naturaleza y su grado de sensibilidad para la actividad de la organización.

A continuación, hay que elegir la norma técnica que servirá de marco de referencia en la implementación y sobre la cual nos queremos certificar. Esta decisión debe ser adoptada en función del tipo de organización que somos, nuestra estrategia corporativa y la actividad que llevamos a cabo.

En todo caso es importante definir unas políticas y plan de acción cuyos objetivos sean, la corrección puntual de posibles riesgos o infracciones, el desarrollo de una cultura de protección de la privacidad proactiva, y la implementación de un sistema de cumplimiento.

En cohaerentis apostamos por esta fórmula diseñando e implementando métodos, tecnologías e instrumentos para gobernar la seguridad de su empresa desde el punto de vista del cumplimiento legal y técnico.

Implantación

Elegida una norma para implementar el sistema de seguridad en nuestra organización, los pasos a seguir a grandes rasgos son los siguientes:

Llevar a cabo una auditoría para conocer el estado en que se encuentra la organización en estos momentos, en concreto, respecto a los riesgos sobre los activos de información que necesita en su actividad y el impacto que tendría un daño sobre los mismos.
Decidir cómo se tratarán los diferentes riesgos, adoptando las medidas de seguridad necesarias.
Definir un plan de implantación a partir de los puntos de control, métricas e indicadores propios de la norma elegida.
Adoptar y generar evidencias de las medidas propuestas.

Estas actividades son llevadas a cabo por uno de nuestros consultores (Implantador) en compañía del cliente, siempre tomando como referencia la norma técnica o legal seleccionada.

Como resultado de esta fase obtenemos un informe que da luz verde al siguiente paso: la certificación.

Certificación

Una vez tenemos luz verde por parte de nuestro implementador, debemos acudir a alguna de las certificadoras para que puedan revisar el sistema implementado y emitir el correspondiente certificado. Entre las certificadoras con mayor reconocimiento se encuentran:

Aenor: Asociación Española de Normalización y Certificación. Entidad dedicada a la normalización y certificación en los distintos sectores industriales y de servicios.

Applus: empresa líder mundial en el sector de la inspección, los ensayos y la certificación.

🗓️

Plazo: El tiempo que demore en llevarse a cabo todo el proceso de implementación y certificación dependerá del alcance elegido, así como del tipo de organización (tamaño, actividad, estructura, etc.)

Gestión de Seguridad de la Información

Esquema Nacional de Seguridad

ISO 27017 e ISO 27018

¿Alguna duda? Te podemos ayudar

Déjanos tus datos y nos pondremos en contacto contigo

Tu nombre *

Número de teléfono

Tu correo electrónico *

Tu empresa

Asunto *

Tu pregunta o solicitud *

Aceptas el tratamiento de tus datos *

Para atender tu solicitud, de acuerdo a nuestra Política de Privacidad

Enviar