ISO 14001:2004

OHSAS 18001:2007

INTEGRAR:Fusionar N partes, obteniendo un todo, que incluyepartes comunes y partes específicas de cada norma.

SGI

SGI - Sistema de Gestión de la Calidad

Nuestra Estrategia, EL DESARROLLO COMPETITIVO.

www.intedya.com

ISO 27001:2013Gestión de la Seguridad de la Información

(Rev.00 Julio 2016)

Intedya es una entidad internacional presente en más de 16 países de 3 continentes competente en

la consultoría, auditoría y formación en el ámbito de la gestión de la Calidad, el Medio Ambiente, la

Seguridad e Inocuidad Alimentaria, Laboral y de la Información, en organizaciones públicas y privadas

de cualquier tipo de actividad y dimensión.

Nuestra estrategia del “Desarrollo Competitivo” se basa en nuestra experiencia y capacidad para

ayudar a los clientes a rendir al máximo nivel y, de esta forma, crear valor sostenible para sus

clientes, proveedores, accionistas y la sociedad de la que forman parte.

DIMENSIÓN Y PRESENCIA

Con presencia directa en 16 países de 3 continentes, disponemos de la capacidad para dar servicio en cualquier

país de la Unión Europea, América y África, formando una de las mayores redes internacionales en nuestra

especialidad.

DESARROLLO COMPETITIVO

ESTADOS UNIDOS

MÉXICO

REPÚBLICA DOMINICANA

GUATEMALA

COLOMBIA

PERÚ

ECUADOR

BOLIVIA

BRASIL

PARAGUAY

ARGENTINA

URUGUAY

CHILE

ESPAÑA

ANDORRA

PORTUGAL

ANGOLA

Áreas de conocimiento

Calidad y Excelencia

ISO 9001 - Sistemas de Gestión de la Calidad

ISO 9001. Sistemas de Gestión de la Calidad

Transición ISO 9001:2015

ISO/TS 16949. Sistemas de Gestión de la Calidad en el Sector de la

Automoción

EN 9100. Sistemas de Gestión de la Calidad en el Sector Aeroespacial

ISO 13485. Sistemas de Gestión de la Calidad para Productos

Sanitarios

ISO 18091. Directrices para la aplicación de la Norma ISO 9001:2008

en el Gobierno Local

RtQ . Road to Quality

EFQM. Modelo de Excelencia y Calidad

ISO 9004. Sistemas de Gestión Avanzada

Metodología 5´s Lean Manufacturing

ISO 15189. Sistemas de Gestión de la Calidad en Laboratorios Clínicos

ISO/IEC 17025. Laboratorios de ensayo y de calibración

ISO 22716. Guía de Buenas Prácticas de Fabricación de Cosméticos

ISO/IEC 20000-1. Gestión del Servicio

UNE 166002. Sistemas de Gestión de la I+D+i

Normas de Calidad Sectoriales

Sostenibilidad

ISO 14001. Sistemas de Gestión Ambiental

Transición ISO 14001:2015

ISO 50001. Sistemas de Gestión Energética

Verificación EMAS

ISO 14006. Gestión del Ecodiseño

ISO 14067. Huella de Carbono de Productos

ISO 14064. Huella de Carbono de Organizaciones

ISO 14046. Huella de Agua

PEFC y FSC. Cadena de Custodia de Productos Forestales

RSPO. Cadena de Custodia del Aceite de Palma

LEED. Estándar de Edificación Sostenible

Industria Limpia, Calidad Ambiental y Calidad Ambiental Turística

ISO 26000. Guía sobre Responsabilidad Social

SGE21. Gestión Ética y Responsabilidad Empresarial

SA 8000. Responsabilidad Social Internacional

Sistemas de Gestión de Igualdad de Género

Distintivo ESR

Salud y Seguridad

OHSAS 18001 - Sistema de Gestión de Seguridad y Salud en el

Trabajo

ISO 22320 - Gestión de Emergencias

ISO 39001 - Seguridad Vial

Asesoramiento en Cumplimiento de Leyes Nacionales en materia de

Riesgos Laborales y Salud Ocupacional

Servicios de Coordinación de Seguridad y Salud

Asistencia Técnica Integral en PRL

Coordinación de Actividades Empresariales

Estudios de Seguridad y Salud

Elaboración e Implantación de Planes de Seguridad y Salud

Elaboración e Implantación de Planes Específicos de Seguridad

Elaboración de Planes de Trabajo para Empresas con Riesgo de

Exposición al Amianto

Elaboración y Mantenimiento del Documento de Protección contra

Explosiones (ATEX)

Informes Técnicos Especializados

Planes de Autoprotección

Estudios Específicos. Mediciones de contaminación física, química y

biológica

Informes Periciales para Juicios, relacionados con la Prevención de

Riesgos Laborales

Directivas Europeas

Directiva Baja Tensión 2014/35/UE. Material Eléctrico

Directiva 2014/30/UE. Compatibilidad Electromagnética (CEM)

Directiva 2014/68/UE. Equipos a Presión

Directiva 2010/35/UE. Equipos a Presión transportables

Directiva 2009/142/CE. Aparatos de Gas

Directiva 2000/1/CE. Instalaciones de transporte de personas por cable

Directiva 89/686/CEE. Equipos de Protección Individual

Directiva 2006/42/CE. Máquinas

Directiva 2014/33/UE. Ascensores

Directiva 2009/48/CE. Juguetes

Directiva 93/42/CEE. Productos Sanitarios

Seguridad Alimentaria

ISO 22000 - Sistemas de Gestión de la Inocuidad Alimentaria

Protocolos BRC y BRC-IOP

Protocolo IFS

Protocolo Global GAP

Esquema FSSC 22000 - Sistemas de Gestión de la Inocuidad

Alimentaria

HACCP Análisis de Peligros y Puntos Críticos de Control

Producción Controlada de Frutas y Hortalizas

EN 15593 - Gestión de Higiene en la Producción de Envases

Buenas Prácticas de Manufactura (BPM)

Buenas Prácticas de Almacenamiento (BPA)

Distintivo H (México)

Industria Limpia (México)

NOM 251 (México)

México GAP (México)

Riesgos y Seguridad

ISO 31000. Gestión del Riesgo

ISO/IEC 27001. Sistemas de Gestión de la Seguridad de la Información

ISO 22301. Sistemas de Continuidad del Negocio

ISO 14298. Gestión de Procesos de Impresión de Seguridad

ISO 28000. Especificación para Sistemas de Gestión de la Cadena de

Suministro

ISO 28001. Sistemas de Gestión de la Cadena de Suministro

Estándares Nacionales de la Cadena de Suministro

BASC. Comercio Seguro

ISO 19600. Sistemas de Gestión de Compliance

ISO 37001. Sistemas de Gestión Antisoborno

Leyes Nacionales en Materia de Protección de Datos Plan de Prevención de Delitos Penales

*Normas y referenciales más relevantes consulte a su asesor o en www.intedya.com el catálogo completo de soluciones

Las Información se han convertido en un elemento trascendental en nuestra forma de trabajar, y es imposible pensar el trabajo de un profesional o el desempeño de una compañía sin ellas.

La importancia y la necesidad de proteger la información

ISO 27001:2013

La seguridad de la información no sólo es una cuestión de las organizaciones TIC, sino también

de los entornos industriales cada vez más

interconectados.

La Información el mayor activo para cualquier organización

La importancia y la necesidad de proteger la información

En un mundo en el que se mueven millones de datos, la continua aparición de vulnerabilidades en los sistemas, las noticias de accesos no deseados, ….hacen de la seguridadun área de especial interés para el correcto desarrollo de los negocios en esta era digital.

Sony. Robo de datos de más de 77 millonesde usuarios de PlayStation.

Amazon. Bloqueo en sus servicios quesupuso una destrucción involuntaria de losdatos de sus clientes.

Stuxnet. Software de espionaje industrial.

La seguridad absoluta no es posible, no existe un sistema 100% seguro, de forma que el elemento de riesgo está siempre presente, independiente de las medidas que tomemos, por lo que se debe hablar de niveles de seguridad.

La Seguridad de la Información tiene como fin la protección de la información y de los sistemas de la información del acceso, uso, divulgación, interrupción o destrucción no autorizada.

ISO 27001:2013

¿A qué nos enfrentamos?

Password cracking

Man in the middle

Exploits

Denegación de servicio

Escalamiento de privilegios

Hacking de Centrales Telefónicas

Keylogging

Port scanning

Instalaciones default

Puertos vulnerables abiertos

Servicios de log inexistentes o que no son chequeados

Desactualización

Backups inexistentes

Últimos parches no instalados

Violación de la privacidad de los empleados

Fraudes informáticos

Destrucción de equipamiento

Captura de PC desde el exterior

Violación de contraseñasIntercepción y modificación y violación de e-mails

Virus Incumplimiento de leyes y regulaciones

empleados deshonestosSpamming

Ingeniería social Robo de información

Interrupción de los servicios

ISO 27001:2013

Las nuevas tecnologías nos permiten estar conectados en todo momento, pero también abren la puerta a nuevas amenazas a nuestra privacidad, a la gestión de nuestros datos, información,….

ISO 27001:2013

¿Cómo afrontar esta situación?

Sólo hay una forma de gestionar de forma adecuada la seguridad:

Identificar, analizar, evaluar, y gestionar los riesgos de

seguridad de la información a los que se enfrenta mi

organización, y tomar las medidas técnicas, organizativas y

legales necesarias.

En INTEDYA tenemos la solución para,

Gestionar de forma adecuada sus riesgos. Gestionar las incidencias de seguridad que pudieran darse. Asegurar la continuidad de su negocio. Asesorarle sobre la implementación de las medidas necesarias.

La seguridad no es un proyecto, es una actividad continua y la protección de la información requiere el soporte de la organización para tener éxito.

ISO 27001:2013

¿Cómo gestionar todo ello?

El propósito de la norma ISO/IEC 27001 es, garantizar que los riesgos de la seguridad de lainformación sean gestionado adecuadamente por la organización.

La norma ISO/IEC 27001 especifica las medidas y controles de seguridad, con el fin de protegertodo aquello que es importante para la organización, sus activos y la información que estos manejan.

¿A quién va dirigida?

Cualquier organización maneja y trabaja con información, y por lo tanto puede

implementar y certificar esta norma.

Siendo especialmente útil en organizaciones del sector de la Salud, Despachos de abogados, Call center, Edición y artes gráficas,

gobierno, banca y finanzas, salud, empresas de servicios de

tecnología de la información o comunicaciones, o cualquier

otro ámbito donde los activos de información requieran de una adecuada protección.

Los perjuicios que ocasionan los incidentes de seguridad son, cuando menos, incómodos y

en muchos casos económicamente gravosos: paradas de producción, pérdidas de clientes,pérdida de reputación, etc.

ISO 27001:2013

ISO 27001

Reforzar el uso de enfoque basado en procesos

APRECIACIÓN DE RIESGOS. Gestión de los riesgos de seguridad de la información

Gestión y mantenimiento de la confidencialidad, integridad y disponibilidad de la información

ISO 27001:2013

MECANISMOS DE PROTECCIÓN .Controles organizativos, técnicos y legales de preservación de la información

Consideración de las partes interesadas y el contexto de la organización en la seguridad de la información

¿Qué es?

La serie de normas ISO 27001 constan de:

• ISO 27000: Fundamentos y vocabulario: presenta al usuariolos conceptos. No certificable.

• ISO 27001: Requisitos para un Sistema de Gestión de laInformación (SGSI). NORMA CERTIFICABLE.

• ISO 27002: Guía de Buenas prácticas. No certificable.

• ISO 27003: Guía de Implementación. No certificable.

• ISO 27004: Guía para Medición de la Idoneidad de laimplantación. No certificable.

• ISO 27005: Guía para el Análisis de Riesgos. No certificable

ISO 27001:2013

El ISO27000 es un conjunto de estándares desarrollados por OrganizaciónInternacional de Normalización (ISO), que proporcionan un marco de gestión de laseguridad de la información alineados con los objetivos de negocio, y optimizando lasinversiones realizadas en controles o salvaguardas que protejan los activos.

Familia

Antecedentes

BS 7799:1995 de BSI, surge con objeto de proporcionar a cualquier organización, británica o no, un conjunto de buenas prácticas para la gestión de la seguridad de su información.

BS 7799-2:1998 estableció los requisitos de un sistema de seguridad de la información (SGSI) para ser certificable por una entidad independiente.

Las dos partes de la norma BS 7799 se revisaron en 1999 y la primera parte se adoptó por ISO, sin cambios sustanciales, como ISO 17799 en el año 2000.

Aparición BS77991995

Aparición

BS7799-2 1999 ISO

1779920001ª

Revisión BS7799

2002Aparició

n ISO 27001

2005

1ª Revisión

ISO 27001

2013

La serie de Normas ISO 27000 apareció en 2005, tomando como base la norma británica BS 7799-2 de 2002 y dando lugar al estándar ISO/IEC 27001:2005.

Actualmente la versión del estándar certificable es ISO 27001:2013.

ISO 27001:2013

El OBJETIVO PRINCIPAL DE LA NORMA ISO 27001 es ayudar a las organizaciones a proteger losactivos de la organización, garantizando su confidencialidad, integridad y disponibilidad, yreducir riesgos e incidencias.

Otro de los principales objetivos de la norma, es el ENFOQUE DEL SISTEMA DE GESTIÓN DEMANERA ALINEADA CON LA ESTRATEGIA DE NEGOCIO DE LA ORGANIZACIÓN.

Por otro lado, ISO 27001 BUSCA LA INTEGRACIÓN DE ESTA NORMA CON LOS DEMÁS SISTEMASDE GESTIÓN para que sean más accesibles a todo tipo de organizaciones. Esto lo consigue conuna ESTRUCTURA DE ALTO NIVEL, común a todas las normas de gestión.

Objetivo

ISO 27001:2013

Gracias a esta estructura de alto nivel, es de fácil integración con otros sistemas de gestión como ISO 9001, ISO 14001, ISO 45001, ISO 22000, ISO 26000, ISO 20000-1, ISO 31000,…. lo

cual facilita y simplifica ENORMEMENTE su gestión e integración real en la organización y su APLICACIÓN

EFECTIVA.

Integración con otros Sistemas

ISO 27001:2013

¿Por qué es importante?

Certificado ISO 27001La importancia y la necesidad de proteger la información

La información es un activo vital para la continuidad y desarrollo de cualquier organización, su adecuada protección se ha vuelto esencial para mantener la confianza de los clientes, para proteger la reputación de una organización, y para protegerse contra la responsabilidad legal.

ISO 27001 se ha convertido en la principal norma a nivel mundial para la seguridad de la información y muchas organizaciones han certificado su cumplimiento.

ISO 27001:2013

“Porque el negocio se sustenta a partir de la

información que maneja...”

Las organizaciones que implementan un Sistema de Gestión de la Seguridad de la Información basado en la ISO 27001:2013, disponen de una gran flexibilidad a la hora de documentar la información, y como no, notan su impacto en los clientes y en la gestión de la organización:

LOGRAN EFICIENCIA EN SUS PROCESOS, gracias a la sistematización, aplicación de mejora continua, evaluaciones, apreciación y tratamiento del riesgo, aplicación de controles–administrativos, técnicos, y organizativos-, necesarios para minimizar los riesgos asociados a la gestión de la información.

SOLVENCIA EMPRESARIAL, por disponer de un sistema que garantiza la confidencialidad, integridad y disponibilidad de la información.

CONTINUIDAD, como consecuencia de la implantación de planes de continuidad de negocio que evitan paradas no deseadas de la actividad empresarial.

MEJORA DE LA IMAGEN DE LA ORGANIZACIÓN, al evidenciar su compromiso con la seguridad de la información propia y de clientes.

CONSOLIDAN SU CARTERA DE CLIENTES, los clientes ven que su información es protegida y manejada de forma segura.

AUMENTAN EL NÚMERO DE CLIENTES NUEVOS; el efecto “llamada” del cliente satisfecho unido a la mejora de la imagen de la organización que el certificado de seguridad de la información proporciona.

Beneficios para la organización

ISO 27001:2013

Los clientes (y otras partes interesadas como PROVEEDORES O PERSONAL INTERNO) se benefician claramente de la implementación de esta norma en una compañía:

Los clientes perciben una mejor gestión de la información, realizada por la organización. Los proveedores trabajan más cómodamente con la compañía y en mejores condiciones. El personal interno trabaja de forma más eficaz y con una mayor motivación debido a la

comprensión de la importancia de su contribución individual.

... y es que la norma ISO 27001:2013, “amplía su preocupación”, más allá de los clientes; concepto de “otras partes interesadas”.

Ventajas para los grupos de interés

ISO 27001:2013

Requisitos de la norma

ISO 27001:2013Estructurada en 10 puntos que sirven de base para otros sistemas de gestión y en el AnexoA, que recoge los controles a ser implementados en la organización:

Objeto y campo de aplicación Referencias normativas Términos y definiciones Contexto de la organización Liderazgo Planificación

Soporte Operación Evaluación del desempeño Mejora Anexo A

ISO 27001:2013

Requisitos de la norma

Anexo A - ISO 27001:2013 Objetivos de control y controles de referencia

A.5 Política de seguridad de la

información

A.6 Organización de la seguridad

de la información

A.7 Seguridad relativa a los

recursos humanos

A.8 Gestión de activos

A.9 Control de acceso

A.10 Criptografía

A.11 Seguridad física y del entorno

A.12 Seguridad de las

operaciones

A.13 Seguridad de las

comunicaciones

A.14 Adquisición, desarrollo y

mantenimiento de los sistemas de información

A.15 Relación con proveedores

A.16 Gestión de incidentes de

seguridad de la información

A.17 Aspectos de seguridad de la información para la gestión de la

continuidad del negocio

A.18 Cumplimiento

ISO 27001:2013

Requisitos de la norma

ISO 27001:2013

LIDERAZGO

APOYO Y OPERACIÓN

EVALUACIÓN DEL

DESEMPEÑO

MEJORA

PLANIFICACIÓN

Planificar Hacer

ActuarVerificar

Organización y su contexto

Apreciación y tratamiento de Riesgos

Necesidades y expectativas de

las partes interesadas pertinentes

Resultados del SGSI

Controles de referencia.

Medidas técnicas, organizativas, y

legales

Seguridad de la información

Requisitos Clave

El LIDERAZGO imprescindible de la alta dirección;

La consideración del CONTEXTO como factor estratégico;

EVALUACIÓN, GESTIÓN y TRATAMIENTO del RIESGO, como elemento clave,

MEDIDAS ORGANIZATIVAS, TÉCNICAS y LEGALES, para lograr la protección de la información;

Establecimiento de MECANISMOS DE CONTROL de acceso físico, lógico, controle de red y criptográficos;

Asegurar la seguridad de la información en el SERVICIO A TERCEROS y en el INTERCAMBIO de la información.

Disponer de CONTRATOS DE CONFIABLIDAD con los empleados;

Formalización de ACUERDOS CON PROVEEDORES que incluyan requisitos de seguridad;

Cumplimiento con la LEGISLACIÓN APLICABLE en materia de protección de datos personales;

USO DE SOFTWARE con licencias;

GESTIÓN DE INCIDENCIAS relativas a la seguridad de la información;

ISO 27001:2013

Requisitos Clave

ISO 27001:2013

La importancia de la gestión desde el punto de vista seguridad de la información debe comunicarse dentro de la organización, la TOMA DE CONCIENCIA Y EL COMPROMISO de todas las personas es imprescindible para que el sistema funcione;

Proporcionar la FORMACIÓN necesaria para garantizar la competencia de las personas que realizan tareas relacionadas con la seguridad de la información;

PRESERVACIÓN DE LA CONTINUIDAD de los recursos de formación, realización de pruebas.

La norma

Cláusula 4 - ISO 27001:2013

Contexto de la organización Conocimiento de la organización y su contexto:

La organización debe estudiar y analizar su entorno:Externo: aspectos de mercado, tecnológicos, políticos, económicos, sociales,..Interno: aspectos culturales, económicos, operativos, de desempeño,…

¿Quiénes son sus partes interesadas? ¿Cuáles son sus necesidades y expectativas?

Se ha de definir el ALCANCE de la certificación teniendo en cuenta el contexto, y de forma más detallada.

La organización debe establecer, documentar, implementar y mantener un sistema de gestión de seguridad de la información.

ISO 27001:2013

La norma

Cláusula 5 - ISO 27001:2013LiderazgoLa Alta Dirección de la compañía debe demostrar liderazgo y compromiso a través de las siguientes acciones:

Asegurándose de la integración de los requisitos del sistema de gestión de seguridad de la información en los procesos de negocio de la Organización.

Definiendo la Política de Seguridad de la información.

Estableciendo roles, responsabilidades y autoridades.

Promoviendo el uso del enfoque a procesos y la gestión y tratamiento de los riesgos.

ISO 27001:2013

La norma

Cláusula 6 - ISO 27001:2013

PlanificaciónLa planificación es la etapa más importante, pues de ella depende el éxito de la implementación del sistema.

Algunos de los hitos críticos son:

Apreciación de riesgo y oportunidades de mejora. Acciones a llevar a cabo.

Tratamiento de los riesgos de seguridad de la información.

Establecimiento de objetivos de seguridad de la información y planificación para su consecución

Planificación de los cambios. Los cambios se deben llevar a cabo de manera planificada y sistemática.

ISO 27001:2013

La norma

Cláusula 7 - ISO 27001:2013SoporteEl Sistema de Gestión se fundamenta en el uso eficiente de los recursos:

Recursos: Humanos, Infraestructuras y Ambiente para la operación de los procesos, de seguimiento y medición, conocimientos organizativos,…

Competencia. Se ha de determinar la competencia necesaria de las personas que realizan un trabajo que afecta al desempeño y eficacia del sistema, SUBCONTRATACIÓN INCLUIDA.

Toma de Conciencia de política, objetivos pertinentes, su contribución al éxito y las implicaciones de desviarse de lo previsto.

Comunicación interna y externa.

Información documentada (Mayor flexibilidad).

ISO 27001:2013

La norma

Cláusula 8 - ISO 27001:2013

Operación

Aquí se encuentran algunas de las cláusulas más importantes dela norma:

Apreciación de riesgos de la seguridad de la información a intervalos planificados o cuando se propongan o sucedan cambios relevantes o significativos, y siempre teniendo en cuenta los criterios definidos en la metodología de apreciación de riesgos.

Tratamiento de los riesgos de seguridad de la información

ISO 27001:2013

Evaluación del desempeño

Una vez implementado el sistema de gestión deseguridad de la información, la norma exige unseguimiento permanente y revisiones periódicaspara mejorar su desempeño:

Seguimiento, medición, análisis y evaluación.

Auditorías internas a intervalos planificados.

Revisión del Sistema por la Dirección. Se hande definir las entradas y salidas de la revisión.

La norma

Cláusula 9 - ISO 27001:2013

ISO 27001:2013

Mejora

La compañía debe asegurarse de mejorar continuamente la eficacia y la eficiencia de los procesos

No Conformidades y Acciones CorrectivasYa no aparecen como tal, las Acciones Preventivas

Mejora continua

La norma

Cláusula 10 - ISO 27001:2013

ISO 27001:2013

Información

PERSONAS

CUMPLIMIENTO

SEGURIDAD EN EL PUESTO DE TRABAJO

SEGURIDAD EN LOS SISTEMAS

SEGURIDAD EN LA RED

SEGURIDAD FÍSICA

ISO 27001:2013

SEGURIDAD EN LAS APLICACIONES Y DATOSPROVEEDORES

SEGURIDAD EN EL DESARROLLO

Aspectos a tener en cuenta

Ejemplos de acciones a realizar en aplicación de esta norma*

ISO 27001:2013

Realización del análisis de riesgos Formalización de contratos de confidencialidad con los empleados y

proveedores. Formalización de acuerdos prestación de servicio Uso de credenciales de acceso a las instalaciones para visitantes Mecanismos que obstaculicen el acceso a las áreas seguras: dispositivos

biométricos,… Uso de dispositivos de alimentación interrumpida. Uso de controladores de temperatura CPD. Uso de licencias legales. Realización de planes de continuidad Planes de prueba: caída de suministro eléctrico, fallos en los servidores,

fallo comunicaciones, incendio edificio, ….

La seguridad debe ser inherente a los procesos de información y del negocio.

*Las acciones indicadas son sólo ejemplos, estás deberán ser adaptadas a la realidad y necesidades de cada organización

ISO 27001:2013

Política de gestión de contraseñas Limitar la utilización de usuarios genéricos y los permisos de administración Restringir los puertos USB a puestos determinados Implantar y configurar un antivirus para todos los equipos de la organización, incluyendo los

dispositivos móviles Instalación de Firewalls, VPN Controlar y prohibir el acceso remoto hacia la propia organización. Limitar la navegación a páginas de ciertos contenidos. Sistemas de Detección de Intrusos. Realización de copias de seguridad. Segmentación de redes. Conexiones seguras. Proteger las claves de acceso a sistemas, datos y servicios, almacenándolas de forma cifrada. Uso certificado digitales para el intercambio de información. Etc.

La seguridad debe ser inherente a los procesos de información y del negocio.

Ejemplos de acciones a realizar en aplicación de esta norma*

*Las acciones indicadas son sólo ejemplos, estás deberán ser adaptadas a la realidad y necesidades de cada organización

Mitos y Leyendas

Esto no es para mi …

Uno de los grandes “peros” que las organizaciones ponen a la implementación de la norma ISO 27001 es que ellos no son una organización de informática y que no les afecta.

ISO 27001:2013

No es una norma destinada a proteger exclusivamente al área informática.

Nada más alejado de la realidad. TODAS las organizaciones sin excepciónmanejan información. Ninguna organización puede darse el lujo de ignorar suimportancia ya que la mayor parte del éxito depende de ella.

La norma no sólo busca controlar el área informática, y a los desplieguestecnológicos o de Infraestructura (si son necesarios), sino que, sobre todo, estádestinada a gestionar los aspectos organizativos.

Mitos y Leyendas

Es para grandes organizaciones…

Las grandes organizaciones cuentan con recursos humanos, técnicos y económicos, suficientes que les permiten afrontar el mantenimiento de la seguridad en sus sistemas de información. Las pequeñas y medianas organizaciones a falta de esos recursos, necesita de una herramienta sencilla y de bajo coste que dé respuesta a los riesgos existentes y permita gestionar de forma eficaz y eficiente su información.

En la actualidad, son miles las organizaciones certificadas en todo el mundo y miles de estudios sobre los beneficios económicos que supone la implementación del sistema para las mismas.

ISO 27001:2013

Se trata de una oportunidad muy buena para equipararse al nivel de otras organizaciones demayor tamaño, la adopción de este tipo de sistemas es una alternativa adecuada para laspequeñas y medianas empresa. Pues permite establecer una metodología y una serie decontroles con las que preservar la seguridad de la información.

Mitos y Leyendas

¿Puede una organización permitirse no proteger su información?

Los motivos por los que la seguridad debe formar parte de cualquier organización,independientemente de su sector económico o de su tamaño, son muchos y variados, algunos delos cuales aparecen con mucha frecuencia en los medios de comunicación: fraudes electrónicos,casos de phishing en la banca, filtraciones no deseadas de información o de datos personales,cortes en las comunicaciones, etc.

ISO 27001:2013

Los perjuicios que ocasionan los incidentes de seguridad son, cuando menos, incómodos y enmuchos casos económicamente gravosos: paradas de producción, pérdidas de clientes, pérdida dereputación, etc.

¿Qué puedo esperar de ISO 27001?

ISO 27001:2013

Ayuda a conocer y gestionar de forma adecuada la información crítica de la organización.

Reducción de la probabilidad de riesgos por robo, fraude, error humano (intencionado o no), mal uso de instalaciones y equipo a los cuales está expuesto el manejo de información.

Garantiza que la información está protegida, disponible, y accesible.

Proporcionará mecanismos y controles para la protección de los activos de la organización.

Decisiones basadas en indicadores.

Claridad en la identificación de funciones y responsabilidades.

Gestión eficaz de las incidentes.

Estrategias de continuidad.

¿Qué puedo esperar de ISO 27001?

ISO 27001:2013

Preservación adecuada de la información de nuestros proveedores, y de la propia organización.

Ayuda a gestionar de forma segura la información crítica y sensible de nuestro clientes, garantizado que se establecen todos los controles necesarios para su preservación.

Control de los accesos a la información.

Conformidad con la legislación y reglamentación.

Mejora en la percepción interna y externa de la organización.

Control de los proveedores.

Reducción de fallos y errores al integrar el riesgo en la gestión preventiva y de mejora.

Y mucho más…

Contáctenos ahora y apueste por el

“DESARROLLO COMPETITIVO”

info@intedya.com | www.intedya.com

www.intedya.com

Nuestra Estrategia, EL DESARROLLO COMPETITIVO.