ISO 27001

El 28 de enero  se celebra el día internacional de la privacidad. Durante ese día se realizan actividades para que las organizaciones se conciencien en cuanto a la protección de su información, una forma de conseguirlo es mediante le implementación de la norma ISO 27001.

Diez consejos en política de privacidad:

Cada día podemos ver nuevas noticias respecto a violaciones en la seguridad de alguna organización y la pérdida que ha supuesto este ataque en cuanto a los datos de carácter personal. Todo esto puede desanimar a muchas personas al pensar que si una gran organización no se puede proteger menos se podrá proteger una pequeña o mediana empresa. Aunque se pueden seguir una serie de consejos para disminuir de forma drástica los riesgos:

1. Revisar la política de seguridad de la organización: de forma habitual la política de privacidad es algo que se redacta de forma mecánica y se deja abandonada sin actualizar durante muchos años. Todo esto puede generar ciertos problemas, ya sea por los cambios que se generen en la ley vigente o por cambios en la actividad que realiza el negocio. Para no tener problemas en este tema será necesario revisar la política dos veces al año y estar siempre atento a los cambios que se produzcan en legislación.
2. Cumplir con lo que dice la política de seguridad: de forma corriente las organizaciones reflejan en sus políticas de seguridad ciertas medidas que después no se llevan a cabo. Esto puede provocar que se generen problemas legales y de imagen con respecto a los clientes.
3. Estar seguros de que se actualiza el Safe Habour con Estados Unidos: en el pasado año muchas organizaciones importantes de Estados Unidos estuvieron en el punto de mira de las acciones legales que tomaron por parte del Departamento de Comercio por no haber renovado su licencia y seguir poniendo en su política de seguridad que contaban con ella. Esto puede generar ciertos problemas a las organizaciones que tengan negocios con ellas, por lo que es necesario estudiar el estado actual en el que se encuentra.
4. Analizar sus riesgos internos: de forma general se teme que se produzca una ataque externo, pero un 30% de los ataques de seguridad suelen provenir de accidentes o negligencias de los mismo empleados de la organización. Es por esto, que se debe realizar un análisis de los posibles riegos internos y realizan un plan de prevención para evitarlos o reducirlos, en la medida de lo posible.
5. Instruir nuestros equipos de trabajo: cada cierto tiempo los trabajadores, por desconocimiento o negligencia, comenten errores que pueden ser comprometidos para la seguridad de la organización. Gracias a un estudio realizado hace muy poco se determinó que las contraseñas más populares son “123456” y “password”. Si no se controlan de forma correcta todos estos riesgos, se pueden llevar a cabo prácticas con las que  no se conseguirán alcanzar los objetivos planteados.
6. Estar informado de forma correcta de todos los requisitos: para evitar conflictos con la normativa o evitar incumplir las normas por defecto o exceso, es muy conveniente  fijar  las necesidades a la hora de cumplir con la política de seguridad.
7. Realizar un plan de acción en caso de que se produzca un ataque en la protección de los datos: se debe definir un plan de prevención, para prevenir que se generen problemas en los departamentos o en los trabajadores de la organización. De esta forma se reducirá el tiempo de reacción y el daño que se provoque en consecuencia será menor.
8. Estudiar las obligaciones contractuales: se tiene que realizar un estudio en profundidad de los efectos de acuerdo con otra organización que tenga interacción con datos personales. Se tiene que estudiar si la política de seguridad del acuerdo es correcto respecto la legalidad vigente y que se cumplan los requisitos de la norma ISO 27001, con un elevado cuidado.
9. Revisión de las medidas de protección: aunque las organizaciones pequeñas se crean a salvo de ataque mediante la norma ISO 27001, lo cierto es que los Sistemas de Gestión de Seguridad de la Información tienden a ser mucho más vulnerables y mucho más sensibles. Por esto será necesario revisar los Sistemas de Seguridad independientemente del tamaño de la organización.
10. Sentido común: este puede ser el consejo más sabio y es que las sanciones por incumplir la legislación puede proceder de actos sin sentido, como puede ser dejar documentos personales en una papelera o enviar información personal sin encriptar. Es por esto que aplicar el sentido común puede salvarnos de grandes fallos.

Todos estos consejos pueden ayudar a establecer de forma sólida la base de la implantación de un Sistema de Gestión de Seguridad de la Información basado en ISO 27001 en nuestra organización, pero siempre debemos acordarnos de cumplir con la legislación vigente. Además tenemos que recomendar la implantación de la norma ISO 27001, ya que facilita la tarea de proteger los datos y hará mucho más difícil que se llegue a producir un ataque en los activos de información sensibles de la organización.

Software para ISO 27001

El Software ISOTools Excellence para la norma ISO 27001 se encuentra formada por diferentes aplicaciones que trabajan para que la información sensible que maneja tu organización no se pierda ni sea atacada.