Connect with us

Hi, what are you looking for?

BLOG

ISO 27001 es la norma de seguridad en el centro de datos

La ISO 27001 hace referencia a la norma del mismo nombre utilizada para el cumplimiento de la seguridad de la información en las empresas. El nombre ISO 27001 ya no es 100% correcto hoy en día, ya que la norma sufrió una revisión en 2013. Por lo tanto, la ortografía correcta de la norma activa hoy en día es ISO/IEC 27001:2013.

ISO 27001 Data Center

La norma en sí no está vinculada a las empresas, aunque en su mayor parte sólo se cumple allí (por ejemplo, en un centro de datos). En principio, sin embargo, no hay nada que decir en contra del cumplimiento de la norma ISO 27001 en el sector privado, en pequeñas y grandes empresas, en organizaciones del sector público, etc.

La norma fue redactada en 2005 por un grupo de destacados expertos en seguridad mundial que querían mejorar la seguridad de la información en las empresas. El núcleo de la ISO 27001 es principalmente la metodología responsable de la seguridad de la información.

Hosting

Hoy en día, la ISO 27001 es la norma más utilizada en el mundo para la seguridad de la información en los centros de datos. Las empresas pueden obtener el certificado haciendo que su propia seguridad sea examinada por auditores independientes y manteniendo esta seguridad durante años.

Cómo funciona la ISO 27001

La norma ISO 27001 se centra en tres aspectos fundamentales de la información, que deben garantizarse

  • Confidencialidad
  • Integridad
  • y Disponibilidad

de información dentro de una organización o en el centro de datos. Para lograr estos objetivos, un comité de auditoría lleva a cabo una evaluación de riesgos en las áreas mencionadas y así identifica los problemas potenciales. Posteriormente, el comité formula exactamente cómo se pueden eliminar o limitar los problemas identificados.

Las medidas de seguridad específicas que se aplican dependen de la naturaleza de los riesgos identificados en el centro de datos. Por lo general, en un centro de datos se establecen ciertas políticas y procedimientos que se aplican a la implementación técnica de la seguridad. En un centro de datos, estos incluyen, por ejemplo, el hardware y también el software utilizado.

Por lo general, tanto el hardware como el software ya están presentes en el centro de datos, pero la empresa los está utilizando de forma incorrecta según la norma ISO 27001. Por lo tanto, gran parte de la aplicación de la norma ISO 27001 en el centro de datos se reduce a seguir las normas de organización para minimizar las brechas de seguridad tanto para la propia empresa como para sus clientes.

En general, la ISO 27001 es, por tanto, una norma que no sólo cubre la seguridad informática general en forma de aplicaciones como cortafuegos y software antivirus en un centro de datos, sino que también incluye cuestiones de personal, asuntos legales y otras cosas.

Las ventajas de la ISO 27001

El cumplimiento de la norma ISO 27001 es una ventaja a varios niveles:

Costes: el cumplimiento de la ISO 27001 en el centro de datos también reduce la probabilidad de que se produzcan incidentes menores y mayores. Se incurrirá en costes significativamente menores por el certificado ISO 27001 que por un fallo de sistemas o procesos importantes. A largo plazo, la ISO 27001 ahorra dinero a las empresas.

Organización: Todos los procesos importantes de la empresa, así como su vinculación con los respectivos empleados, están definidos con precisión por la norma ISO 27001. En el centro de datos, todo el mundo sabe lo que hay que hacer y cuándo. Esto ahorra tiempo y garantiza que los empleados tengan menos tiempo de inactividad (también fuera de la seguridad informática real).

Ventaja competitiva: especialmente el manejo de los datos de los clientes es mucho más seguro gracias a la ISO 27001. Los clientes que puedan estar dudando entre su empresa y otro proveedor que no tenga la certificación ISO 27001 suelen confiar en usted.

Reglamentos: Las obligaciones contractuales, las leyes y los reglamentos hacen que sea complejo dirigir una empresa de forma legalmente segura. Las organizaciones que se basan en la norma ISO 27001 ya cumplen al cien por cien con la gran mayoría de las normativas dentro y fuera del centro de datos, lo que las mantiene legalmente seguras.

ISO 27001 en detalle

Actualmente (en junio de 2017), la norma ISO 27001 se divide en once secciones individuales, así como en un anexo. Las diferentes secciones describen tanto una introducción al tema en sí (estas secciones no tienen nada que ver con la posterior aplicación de la directriz en el centro de datos) como las secciones realmente relevantes.

Sin excepción, todas las secciones deben ser implementadas al 100% para que una empresa reciba el sello de aprobación en forma de ISO 27001. Las secciones 0 a 3 describen, entre otras cosas, la introducción al tema y el ámbito de aplicación (normalmente cualquier tipo de organización de cualquier tamaño imaginable). Además, aquí se puede encontrar la terminología y sus definiciones, que se aplicarán en las próximas secciones.

Las secciones 4 a 10 se refieren a la implementación exacta en el centro de datos. Estas secciones proporcionan directrices, por ejemplo, para la planificación, el apoyo, la implementación, la gestión o la mejora de los sistemas existentes en el centro de datos. El anexo A final de todo el documento vuelve a enumerar las 114 medidas de protección individuales definidas en la norma ISO 27001. Si se aplican y cumplen todas las secciones, el centro de datos respectivo recibe el certificado deseado.

Implantación de la ISO 27001 en el centro de datos

16 pasos individuales son responsables de que, en última instancia, se les permita implantar la ISO 27001 en el centro de datos. En primer lugar, hay que contar con el apoyo de la dirección y definir el alcance del sistema de gestión de la seguridad de la información.

Además, hay que crear una política de seguridad informática de alto nivel para el centro de datos. Las empresas deben, por definición, proporcionar un plan de tratamiento de riesgos y redactar una declaración de aplicabilidad final. Todas las medidas y procedimientos definidos en la norma ISO 27001 deben aplicarse en el centro de datos.

Además de las medidas técnicas, el personal del centro de datos también está incluido en la ISO 27001. Por lo tanto, los programas de formación también están en el calendario. Se deben realizar auditorías internas periódicas por parte de proveedores de servicios externos o internos, tanto en el centro de datos como en el exterior. Todos los pasos anteriores representan sólo una pequeña parte de la aplicación de la norma ISO 27001. Al final, un centro de datos puede tardar meses en recibir el certificado.

ISO 27001 para particulares y organizaciones

Actualmente existen dos certificados diferentes para la norma ISO 27001. Las organizaciones pueden solicitar ser auditadas posteriormente por auditores. Esto implica una revisión de los documentos, así como de la propia empresa.

Durante este tiempo, los auditores determinan si se cumplen todas las medidas definidas en la norma ISO 27001. A esto le sigue una fase de tres años en la que se realizan auditorías a intervalos irregulares para determinar si se cumple o no la norma ISO 27001.

Los particulares también pueden obtener el certificado a través de diversos cursos. El tema de estos cursos es, por ejemplo, la aplicación de la norma en las empresas o la realización de auditorías como auditor en las empresas. También hay cursos básicos para futuros auditores. Una vez completados con éxito estos cursos, los particulares también reciben un certificado de la norma ISO 27001.


Acceda a la publicación original desde Aquí, en alemán.


Click to comment

Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Vea también:

BLOG

Un sistema de punto de venta no solo es una parte esencial del funcionamiento de cualquier tienda exitosa en el mundo de hoy, sino...

BLOG

A medida que el negocio crece la carga de trabajo de los gerentes crece. En una pequeña empresa, los administradores pueden funcionar con hojas...

BLOG

¿Cuál es el corazón de un negocio minorista? El sistema de punto de venta, caja registradora o punto de venta (POS). Si bien muchos...

BLOG

La mala comunicación hace que las empresas estadounidenses pierdan 400.000 millones de dólares al año . El impacto de este problema se puede sentir de diferentes...

BLOG

La próxima década bien podría ver una revolución en el tratamiento y diagnóstico de las enfermedades. Aquí les presentamos algunos de los avances del...

BLOG

A continuación, les presento un listado de 299 nombres de empresas de Tecnologías de la Información que operan en Chile, una fracción de las...

BLOG

Un navegador web (comúnmente conocido como navegador) es una aplicación de software para recuperar, presentar y atravesar recursos de información en la World Wide...

Advertisement
https://edificioemprendedores.cl

Copyright © 2020 - 2021 Tienda.Digital | Derechos Reservados.