Take the ISO 27001 course exam and get the EU GDPR course exam for free
LIMITED-TIME OFFER – VALID UNTIL SEPTEMBER 30, 2021
  • (0)
    ISO-27001-ISO-22301-blog

    Blog de ISO 27001 e ISO 22301

    Los 5 grandes mitos sobre ISO 27001


    Con mucha frecuencia escucho comentarios sobre la norma ISO 27001 y no sé si ponerme a reír o a llorar. De hecho, es gracioso cómo la gente tiende a tomar decisiones sobre algo acerca de lo que saben muy poco. Estos son los errores conceptuales más comunes:

    “La norma requiere…”

    “La norma requiere que se cambien las claves cada 3 meses”. “La norma requiere que se contraten a diversos proveedores”. «La norma requiere que la ubicación alternativa de recuperación ante desastres se encuentre, como mínimo, a 50km de distancia de la ubicación principal». ¿Es así? La norma no dice nada de todo esto. Desgraciadamente, esta es la clase de información falsa que escucho habitualmente. Muchas veces, la gente confunde mejores prácticas con requerimientos de la norma, pero el problema es que no todas las reglas de seguridad son aplicables para todos los tipos de organizaciones. Y quienes sostienen que esto está establecido en la norma, difícilmente la hayan leído alguna vez.

    “Dejaremos que el departamento de TI lo maneje”

    Esta es la preferida de la dirección: “La seguridad de la información tiene que ver con tecnología de la información, ¿no?” Bueno, no exactamente. Los aspectos más importantes de la seguridad de la información no sólo incluyen medidas de TI, sino también temas organizacionales y gestión de recursos humanos, que, en general, se encuentran fuera del ámbito del departamento de TI. Ver también Seguridad de la información o seguridad de TI.

    “Lo implementaremos en unos pocos meses”

    Podría ser posible que usted implemente la norma ISO 27001 en dos o tres meses, pero no funcionará; solamente obtendrá un montón de políticas y procedimientos que nadie tendrá en cuenta. La implementación de la seguridad de la información quiere decir que tiene que implementar cambios, y esto lleva tiempo.

    Ni qué decir que usted debe implementar solamente los controles de seguridad que realmente necesita, y el análisis de qué es necesario lleva tiempo; se llama evaluación y tratamiento de riesgos.

    “Esta norma no es nada más que documentación”

    La documentación es una parte importante en la implementación de ISO 27001, pero no es un fin en sí misma. Lo más importante es que usted realice sus actividades de forma segura, y la documentación está allí precisamente para ayudarle. Además, los registros que genere le ayudarán a medir si alcanzó sus objetivos de seguridad de la información y le permitirán corregir aquellas actividades que no lo han logrado.

    “El único beneficio de la norma es obtener una ventaja de comercialización”

    “Estamos haciendo esto solamente para obtener el certificado, ¿no es cierto?” Bueno, esta es (desafortunadamente) la forma en la que piensa el 80 por ciento de las empresas. No estoy intentando discutir aquí si se debe, o no, utilizar a la norma ISO 27001 con fines de promoción y ventas, pero también puede obtener otros beneficios muy importantes; como evitar que le ocurra lo de WikiLeaks. Ver también Cuatro beneficios clave de la implementación de la norma ISO 27001 y Lecciones aprendidas a partir de WikiLeaks: ¿Qué es exactamente la seguridad de la información?.

    Lo importante aquí es que primero hay que leer la norma ISO 27001 para poder dar una opinión sobre la misma, o, si le resulta demasiado aburrida (admito que lo es) como para leerla, consulte a alguien que la conozca de verdad. Y trate de ver otras ventajas, además de la publicidad. Es decir, aumente sus posibilidades de realizar una inversión rentable en seguridad de la información.

    Para implementar y mantener más fácilmente ISO 27001, consulte el Software de Cumplimiento de Conformio.

    Advisera Dejan Kosutic
    Autor
    Dejan Kosutic
    Dejan tiene varias certificaciones, entre las que se incluyen la de Consultor certificado en gestión, Auditor principal para ISO 27001, Auditor principal para ISO 9001 y Profesional asociado en gestión de la continuidad del negocio. Dejan lidera nuestro equipo a través de la gestión de varios sitios web especializados que brindan apoyo a profesionales de TI y de ISO para comprender e implementar con éxito las principales normas internacionales. Dejan cuenta con un Máster de Gestión Empresarial (MBA) de Henley Management College y posee amplia experiencia en inversiones, seguros y bancos. Es conocido por su experiencia en normas internacionales para continuidad del negocio y seguridad de la información (ISO 22301 e ISO 27001) y por la creación de diversos tutoriales Web, paquetes de documentación y libros sobre los mismos temas.
    Etiquetas: #ISO 27001