14/10/13

Análisis detallado de la nueva ISO 27001:2013

Tras unos días de vigencia de la nueva ISO 27001:20013 y tras haber realizado ya una lectura más reposada y meditada del nuevo estándar y los cambios introducidos solo puedo decir que esta me gusta mucho el texto de esta versión y que ahora está “mejor enfocada” hacia la valoración del funcionamiento del SGSI por los resultados operativos relacionados con el cumplimiento de los objetivos de seguridad. 

En un mundo donde cada vez más la gestión TI es externalizada o delegadas ciertas partes a sistemas que no son propiedad de la organización, es necesario al menos tener identificados los riesgos y garantizar sobre todo que a pesar de eso, podemos proporcionar protección de información a “nuestras partes interesadas” (clientes y los propios departamentos de la Organización).

Como esta revisión ha sido exhaustiva y completa he preferido crear un documento completo con los comentarios sobre la nueva norma para que sea descargable y más manejable que el texto incrustado en el blog.



Podéis proceder a la descarga del documento con licencia Creative Common en este enlace:
La nueva norma va a tener como consecuencia que empecemos todos a hablar del ansiado "cuadro de mando" de la seguridad de la información. Algo en lo que ya he empezado a investigar y cuyo origen parte de las reflexiones colgadas en el post Ciberdefensa: taxonomía de eventos de seguridad.

5 comentarios:

Anónimo dijo...

BUeno su Análisis Javier. Aunque es bueno ampliar el concepto de que ésta norma, puede ser certificable para todo tipo de empresa.
Saludos,

Ross Qelar

Unknown dijo...

buen dia, todo esto me parece sumamente interesante, y tomandome atrevimientos me encantaria obtener y me seria muy util, un documento o manual donde se detalle todo lo que las empresas deben de hacer y cumplir para la implementacion y certificacion de la ISO 27000, ya uqe estoy haciendo un trabajo en la universidad sobre esta norma y es lo que me esta haciendo falta y no encuentro, por su respuesta gracias

D Castañeda dijo...

Y que hay de los controles del anexo A (27002) hay cambios en estos, se agregan o se quitan controles?

Tulio Arias dijo...

Por experiencia les puedo decir que es absolutamente fundamental crear una estrategia de seguridad de la información para sus empresas. Lo más apropiado es un servicio de auditoria que se pueda crear un plan de seguridad en la información que cubra confidencialidad, disponibilidad, integridad, entre otros. Así se podrán identificar causas de errores en sus procesos de negocio que afectan la seguridad de la información de la empresa. Aunque no parezca necesario, es mejor prevenir que lamentar.

ISO 27001:2013 dijo...

I am so glad I found your post. I really need to find a company that does ISO 27001 training in my area. Please let me know if you have any recommendations. Thanks.