ANÁLISIS DE BRECHA DE SEGURIDAD DE INFORMACIÓN CON RESPECTO A LA ISO/IEC 27001

La norma ISO 27001, tiene vocación universal, aplicable a organizaciones de todos los sectores y tamaños, y que describe de qué debe constar un sistema de gestión de la seguridad de la información en cualquier tipo de organización. La norma es especialmente útil cuando la protección de la información es crítica, como por ejemplo, en las áreas de gobierno, banca y finanzas, salud, empresas de servicios de tecnología de la información o comunicaciones, o cualquier otro ámbito donde los activos de información requieran de una adecuada protección.

La extensión ISO 27701, adquiere mayor importancia en aquellas organizaciones que dispongan de datos personales especialmente críticos o en volúmenes elevados, sin embargo, es perfectamente aplicable en cualquier ámbito, considerando que el tratamiento de datos personales es inherente a cualquier organización independientemente de su tamaño o sector.

EJEMPLOS de Acciones Prácticas a Implementar

• Realización del análisis de riesgos de seguridad de la información.
• Realización de Evaluación de Impacto en la privacidad.
• Desarrollo del Registro de Actividades de Tratamiento de datos personales
• Formalización de contratos de confidencialidad y de tratamiento externo de datos con los empleados y proveedores.
• Formalización de acuerdos prestación de servicio.
• Nombramiento del Delegado de Protección de Datos y otras responsabilidades de seguridad.
• Desarrollo de textos informativos para el cumplimiento del derecho de información.
• Desarrollo de mecanismos para la atención al ejercicio de los derechos de los afectados.
• Uso de credenciales de acceso a las instalaciones para visitantes.
• Mecanismos que obstaculicen el acceso a las áreas seguras: dispositivos biométricos, etc.
• Uso de dispositivos de alimentación interrumpida.
• Uso de controladores de temperatura CPD.
• Uso de licencias legales.
• Realización de planes de continuidad
• Planes de prueba: caída de suministro eléctrico, fallos en los servidores, fallo comunicaciones, incendio edificio, etc.
• Política de gestión de contraseñas.
• Limitar la utilización de usuarios genéricos y los permisos de administración.
• Restringir los puertos USB a puestos determinados.
• Implantar y configurar un antivirus para todos los equipos de la organización, incluyendo los dispositivos móviles
• Instalación de Firewalls, VPN.
• Controlar y prohibir el acceso remoto hacia la propia organización.
• Limitar la navegación a páginas de ciertos contenidos y Sistemas de Detección de Intrusos.
• Realización de copias de seguridad.
• Segmentación de redes y conexiones seguras.
• Proteger las claves de acceso a sistemas, datos y servicios, almacenándolas de forma cifrada.
• Uso certificado digitales para el intercambio de información.

* Las acciones indicadas son sólo ejemplos, estás deberán ser adaptadas a la realidad y necesidades de cada organización.

Contáctenos

Si requiere ampliación acerca de los productos y servicios ofrecidos, agradecemos diligencie el formato adjunto y a la mayor brevedad un especialista se estará comunicando con usted.