ISO 27001 Procedimientos y responsabilidades para la gestión del tratamiento de los recursos de la información

Inicio / ISO 27001 Procedimientos y responsabilidades para la gestión del tratamiento de los recursos de la información

Norma ISO 27001

ISO 27001 hace que la seguridad sea un componente primordial en la información y en los activos de una organización.

Tanto a la hora de designar responsabilidades, como en cualquier procedimiento útil para la gestión de los recursos destinados al tratamiento de la información, la seguridad debe ser un elemento presente y notable.

Descarga gratis e-book: La norma ISO 27001

Pero ocurre que ésta se hace vulnerable ante cualquier red de comunicación, es decir es un medio por el que se puede acceder a la información pero también es un medio que puede dañarla.

Ante esto, se hace necesario crear procedimientos documentados para la gestión de los recursos dedicados al tratamiento y comunicación de la información. Esto facilitará el cumplimiento y respeto de los requisitos de seguridad definidos.

Estos documentos son aprobados por la dirección y se difundirán entre los trabajadores implicados e involucrados en cada procedimiento.

ISO-27001 ejerce un control sobre el tratamiento de la información, y cada cambio que suceda en ello deberá estar controlado por uno o varios procedimientos preestablecidos para la gestión de cambios. Este control abarca: identificación y registro de los cambios más relevantes, planificación, pruebas, evaluación de riesgos, aprobación de los cambios, comunicación al personal interesado de los cambios, elaboración de procedimientos para dar vuelta atrás y recuperación del sistema a su posición original en caso de que ocurriera algún problema. Lo ideal sería que todos los sistemas de la organización estuvieran sometidos a este tipo de control.

Una parte muy importante de esta gestión de cambios es la planificación, una organización debe planificar y, sobre todo plantearse si el cambio que se dispone a realizar es necesario para la entidad o no. Por ejemplo, la actualización de un software puede poner en peligro al sistema y a su información y no ser muy imprescindible para continuar con el desarrollo del negocio, ahí habría que pensar si es conveniente correr el riesgo o no.

Un medio de comunicación da acceso a la información pero también la hace más vulnerable

Click To Tweet

Una práctica recomendada para reducir riesgos y evitar manipulaciones de la información no autorizadas, consiste en segregar las tareas sobre responsabilidades en la gestión de la información. Esto quiere decir que no es conveniente que solo una persona tenga la responsabilidad de acceder y manipular un sistema sin ningún otro tipo de supervisión. Debe evitarse este habito o al menos intentar que no sea la misma persona la encargada de autorizar y ejecutar la actividad.

Sea cual sea la situación de la organización, ha de utilizarse un registro para una posible supervisión o para futuras auditorías cuando las hubiese.

Como último dato para evitar riesgos a la integridad de la información, es recomendable separar los entornos de desarrollo, pruebas y producción. Ni el entorno de desarrollo debería tener acceso al de producción, ni el de pruebas debería usar los mismos datos que el de producción, aunque sí lo más similar posible.

Cada uno de los usuarios tendrá un identificador privado para establecer responsabilidades y, para aumentar la seguridad, deberían ser distintos para el entorno de desarrollo y para el de pruebas.

En resumen, para consolidar la presencia y funcionamiento de ISO27001 en una organización y crear responsabilidades y procedimientos para la gestión de los recursos de tratamiento de la información es necesario:

  • Mantener y documentar los procedimientos operacionales que aparecen en la política de seguridad.
  • Crear responsabilidades y procedimientos de gestión para poder desarrollar un control satisfactorio de los cambios en software y equipos.
  • Organizar responsabilidades y procedimientos de gestión para que aporte a la organización una respuesta ordenada, rápida y eficaz a las incidencias en materia de seguridad.
  • Instaurar una política de segregación de tareas en cuanto a las responsabilidades en la gestión de la información.
  • Separar entre sí los recursos de desarrollo, pruebas y producción para que la organización no se encuentre con problemas operacionales y cambios no previstos ni deseados.

Sistema de Gestión de Riesgos y Seguridad

Tiene más información sobre los Sistemas de Gestión de Riesgos y Seguridad, como el derivado de ISO 27001, en el siguiente link: https://www.isotools.us/normas/riesgos-y-seguridad/

cta 27
Nueva llamada a la acción

¿Desea saber más?

Entradas relacionadas

Proceso De Gestión De Calidad
Proceso de gestión de calidad: 6 señales de que está fallando
24 abril, 2025

Para saber si un proceso de gestión de calidad es eficiente, funciona bien y cumple con el propósito…

Ver más
Riesgos De La Inteligencia Artificial
Cómo evaluar y abordar los riesgos de la Inteligencia Artificial con la norma ISO/IEC 42001:2023
22 abril, 2025

La implementación de la norma ISO 42001 crece a ritmo acelerado alrededor del mundo, demostrando que es la…

Ver más
Politica Ambiental Norma ISO 14001
Qué debe contener la politica ambiental norma ISO 14001
21 abril, 2025
La política ambiental es el corazón del Sistema de Gestión Ambiental (SGA) según la norma ISO 14001. No se trata...
Ver más
Software Para Gestionar ISO 27001
Software para gestionar ISO 27001: funcionalidades clave que debe tener
15 abril, 2025

Afrontar la carga documental y operativa que implica la implementación del estándar es la razón por la que…

Ver más

Volver arriba