SEGURIDAD DE LA INFORMACIÓN:


¿QUÉ ES LA ISO 27001?:

  ISO 27001 es una norma internacional que permite el aseguramiento, la confidencialidad e integridad de los datos y de la información, así como de los sistemas que la procesan. 

  La información y los datos son uno de los principales activos de las organizaciones.  El eje central de ISO 27001 es proteger la confidencialidad, integridad y disponibilidad de la información en una empresa. Por lo tanto, la meta principal de la norma ISO 27001 se basa en la gestión de riesgos: investigar dónde están los riesgos y luego tratarlos sistemáticamente.

  Cada vez hay más leyes, normativas y requerimientos contractuales relacionados con la seguridad de la información. La mayoría de ellos se pueden resolver implementando ISO 27001 ya que esta norma le proporciona una metodología perfecta para cumplir con todos ellos.

  Con la implementación de la ISO 27001 se evita que se produzcan incidentes de seguridad. Cada incidente, ya sea grande o pequeño, cuesta dinero; por lo que evitándolos las empresas ahorran dinero. Y lo mejor de todo es que la inversión en ISO 27001 es mucho menor que el ahorro que obtendrá.
   Nosotros podemos ayudarle a implementar la norma ISO 27001 siguiendo los siguientes pasos que son obligatorios:

  1. Obtener el apoyo de la dirección
  2.  Utilizar una metodología para gestión de proyectos
  3.  Definir el alcance del SGSI
  4.  Redactar una política de alto nivel sobre seguridad de la información
  5.  Definir la metodología de evaluación de riesgos
  6.  Realizar la evaluación y el tratamiento de riesgos
  7.  Redactar la Declaración de aplicabilidad
  8.  Redactar el Plan de tratamiento de riesgos
  9.  Definir la forma de medir la efectividad de sus controles y de su SGSI
  10.  Implementar todos los controles y procedimientos necesarios
  11.  Implementar programas de capacitación y concienciación
  12.  Realizar todas las operaciones diarias establecidas en la documentación de su SGSI
  13.  Monitorear y medir su SGSI
  14.  Realizar la auditoría interna
  15.  Realizar la revisión por parte de la dirección
  16.  Implementar medidas correctivas.
¿QUÉ ES TISAX?:
   TISAX: Trusted Information Security Assessment Exchange.
   La industria de la automoción es una de las más desafiantes a nivel mundial. Fabricantes de automóviles y proveedores comparten datos e información digital de todo tipo y de manera continua.
   El TISAX se aplica para la definición y el desarrollo de productos con especial atención a la gestión de los prototipos, pero también a equipos e infraestructura de procesos industriales.
   La industria de la automoción debe prevenirse, definiendo los requisitos necesarios para la gestión de los datos digitales, poniéndolos a salvo de los posibles ataques.
   El TISAX es el mecanismo de auditoría e intercambio de TISAX ( Trusted Information Security Assessment Exchange) para la ISA, nacida en 2016.
   La Asociación Alemana de la Industria Automotriz (VDA) y ENX, como grupo de trabajo de seguridad de la información, decidió proponer un estándar robusto y mejorado basado en los requisitos de la ISO 27001 añadiendo el catálogo de evaluación de la seguridad de la información (ISA) desarrollado por la VDA.
   Las empresas miembros utilizan TISAX tanto para sus propios fines internos como para auditar a los proveedores y prestadores de servicios que manejan información sensible de sus empresas.
   ¿Por qué debería su empresa certificarse en TISAX?:
       - Las empresas automotrices alemanas (BMW, Daimler, Volkswagen) exigen el cumplimento del TISAX para que los proveedores se clasifiquen como proveedores de "máxima confianza" en términos de calidad y seguridad de la gestión de la información digital.
       - Se ampliará a otros OEM. TISAX se está convirtiendo en la norma de referencia de certificación para la gestión de la seguridad de la información en la industria de la automoción.
       - TISAX se lanzó a finales de 2016 con una demanda instantánea de la industria de la automoción y después de tres años de existencia, casi 2000 empresas ya han sido evaluadas en relación con TISAX.

ESQUEMA NACIONAL DE SEGURIDAD (ENS):
   La Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas recoge entre los derechos de las personas en sus relaciones con las Administraciones Públicas, establecidos en su artículo 13, el relativo “a la protección de datos de carácter personal, y en particular a la seguridad y confidencialidad de los datos que figuren en los ficheros, sistemas y aplicaciones de las Administraciones Públicas”. A la vez que la seguridad figura entre los principios de actuación de las administraciones públicas, así como la garantía de la protección de los datos personales, según lo establecido en la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público en su artículo 3 que trata los principios generales relativos a las relaciones de las administraciones por medios electrónicos.
     Para dar respuesta a todo lo anterior, el artículo 156 de la Ley 40/2015 recoge el Esquema Nacional de Seguridad (ENS) que “tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos en el ámbito de la presente Ley, y está constituido por los principios básicos y requisitos mínimos que garanticen adecuadamente la seguridad de la información tratada”.
   Los objetivos que conseguiremos en su empresa serán:
    - Crear las condiciones necesarias de seguridad en el uso de los medios electrónicos.
    - Promover la gestión continuada de la seguridad.
    - Promover la prevención detección y corrección.
    - Promover un tratamiento homogéneo de la seguridad que facilite la cooperación en la prestación de servicios públicos digitales cuando participan diversas entidades.
ISO 20000:
   La certificación ISO 2000 es el estándar reconocido internacionalmente en gestión de servicios de TI (Tecnologías de la Información).     Ésto es especialmente importante para su empresa tanto si se proporciona servicios internamente a clientes como si se está subcontratando proveedores.    

   La certificación en esta norma internacional permite demostrar de manera independiente que los servicios ofrecidos cumplen con las mejores prácticas, garantiza que la metodología y buenas prácticas están correctamente establecidas en sus procesos de gestión de la información.

   Para comprender la importancia de ISO 20000, es vital entender la relación entre TI y el éxito general de su empresa. Su organización depende de la TI para alcanzar sus objetivos. Influye sobre el funcionamiento y sobre cómo se comunica, es un elemento fundamental de su forma de hacer negocios. Es muy importante que usted aproveche al máximo su inversión en TI.  

   La normativa ISO 20000 reemplaza a la BS 15000, la norma reconocida internacionalmente como una British Standard (BS).  Es aplicable a cualquier organización, pequeña o grande, en cualquier sector o parte del mundo donde confían en los servicios de TI.  

   Está formada por 8 partes, pero hay dos que son las más utilizadas para ISO 20000:

    ISO 20000-1:2011 es la especificación formal para Gestión de servicios de TI:

      Define claramente todos los requerimientos que usted necesita para brindarles a sus clientes servicios gestionados de TI de calidad aceptable. Incluye:

  • Requerimientos del Sistema de gestión del servicio
  • Diseño y transición de servicios nuevos o modificados
  • Procesos de entrega de servicios
  • Procesos de relaciones
  • Procesos de resolución
  • Procesos de control

    La segunda parte: ISO 20000-2:2012 es el código de práctica para gestión del servicio de TI:

     Es la guía para aplicación de los sistemas de gestión del servicio, es decir, le ayuda a interpretar los requerimientos de la norma. Define los procesos de gestión de mejores prácticas y es muy útil si se está preparando para ser auditado ante ISO 20000 o si está planificando mejoras en los servicios.

   Certificarse en la ISO 20000 le puede reportar a su empresa muchos beneficios, como:

    -Mejorar su imagen y credibilidad.

    -Hacer más productiva a su empresa.

    -La satisfacción del cliente.
    -Referencia y mejora.    

    -Disminuye el costo de TI: Planificará los costos financieros futuros con mayor precisión y claridad. Con procesos más simples y claras responsabilidades.

    -Mejora continua.

    -ISO 20000 crea un sólido marco de mejores prácticas que le ayuda a estimular la innovación. Los cambios en su organización pueden ser manejados con mayor habilidad y velocidad. Disminuyendo los niveles de riesgo interno y externo es más probable que alcance los objetivos de su organización.

    -Obtenga una ventaja competitiva.