Norma ISO 27001 2013: ¿Cómo ayuda a las empresas a mejorar?
Normal ISO 27001 2013
La línea de negocio de ciberseguridad de Prosegur ha obtenido la acreditación oficial CERT (Computer Emergency Response Team) y el certificado oficial emitido por la universidad Carnegie Mellon, de Estados Unidos. Además ha recibido la certificación bajo la norma ISO 27001 2013. Con todos estos reconocimientos, el equipo de ciberseguridad de Prosegur puede acreditar su capacidad para responder ante cualquier tipo de amenaza que las organizaciones pueden recibir en los diferentes entornos digitales.
El hecho de ser CERT permite que Prosegur responda de inmediato ante todos los ataques cibernéticos, de forma organizada y eficaz. Los CERT, como el de Proseguir, cuentan con un enorme potencial tecnológico para proteger equipos, redes y aplicaciones de cualquier otra organización. Otra de las ventajas de la acreditación CERT es el acceso a los servicios de prevención para una gran protección de las infraestructuras informáticas. Además de mejorar la alerta temprana ante posibles riesgos, amenazas o incidentes que afecten a la seguridad de la información. En caso de que se produzca un incidente, se incrementa la capacidad de respuesta, llevando a cabo una buena organización entre los agentes implicados, los proveedores de servicios y las fuerzas de seguridad. Finalmente, desde el Centro de Operaciones de Ciberseguridad se realiza un seguimiento de cada incidente con diferentes protocolos de actuación común y, si fuera necesario, se ofrece un soporte legal durante la gestión de los incidentes.
Prosegur ha pasado a ser miembro del Forum of Incident Response and Security Teams (FIRST), siendo una red internacional líder en la respuesta ante incidentes. En España sólo existen 13 entidades, en su mayoría públicas, que sean miembros del FIRST. Como parte del FIRST, Prosegur ha adoptado diferentes compromisos que garantizan la máxima eficacia en los servicios que ofrece sobre seguridad. Entre ellos cabe destacar la obtención de información relevante para anticiparte a posibles riesgos y amenazas. Además, todos los integrantes del FIRST generan y comparten información técnica, herramientas, metodologías, procesos y buenas prácticas. Todo esto con el fin de conseguir una mayor seguridad de la información a nivel general.
Al mismo tiempo, la línea de negocio de ciberseguridad de Proseguir ha impulsado la implementación de un Sistema de Gestión de Seguridad de la Información y ha obtenido el reconocimiento de AENOR para la norma ISO 27001 2013. Con esta certificación, Prosegur puede demostrar de forma objetiva que ha incorporado las medidas necesarias para proteger la confidencialidad, la disponibilidad y la integridad de la información que se relaciona con los servicios que presta a sus clientes.
El negocio de ciberseguridad de Prosegur alcanza los estándares más exigentes para garantizar el servicio de sus clientes. La suma de estas acreditaciones y el prestigio de sus servicios tradicionales convierte a Prosegur en una de las pocas organizaciones de seguridad a nivel mundial que sea capaz de garantizar la seguridad de una organización de forma integral, es decir, que ofrezca seguridad física y ciberseguridad.
La seguridad y la ciberseguridad son responsabilidad de las organizaciones. La protección de los datos ante robos o el mantenimiento de la confidencialidad, son cruciales para lograr el buen funcionamiento de los diferentes departamentos de la organización.
Otro ejemplo es Ultramar Agencia Marítima en Chile, que entiende esta misión y es a su vez parte del objetivo que traslada a los más de 9.000 trabajadores por todo el territorio.
La seguridad es parte de la cultura de la organización, por lo que todos los trabajadores deben conocer la importancia que tiene y cuidar en secreto la información sensible.
Las acciones que se llevan a cabo proteger la información no se resuelve siempre utilizando software y tecnología. Para preparar a la organización ante todos los ataques de ingeniería social también consiste en formar a los trabajadores. En el caso de Ultramar, la seguridad forma parte del programa de acogida de trabajadores. Cuando entra un nuevo profesional a la empresa debe recibir la formación necesaria para su puesto durante los primeros días y, el departamento de seguridad de tecnología de la información que cuenta con un determinado tiempo para ofrecerle al trabajador los primeros pasos en la responsabilidad y cuidado de la información.
Se puede dirigir un programa de formación continua en la empresa donde cada dos meses se celebra una comida abierta a todos los trabajadores, en la que se traten todos los temas que se encuentran relacionados con la seguridad de la información según la norma ISO 27001 2013. En esas jornadas formativas están invitados diferentes expertos externos a la organización que ayudan a concienciar, ofrecer conocimiento de las tecnologías y más importante, en demostraciones prácticas que ayudan a entender diferentes tipos de ataques, amenazas o actuaciones.
La dirección de seguridad y de auditoría debe estar a cargo de la dirección de la organización, además de los procesos y la gestión, enfocando de forma principal el uso de estándares internacionales como puede ser la norma ISO 27001 2013, que si está bien implementada en la organización, aunque no esté certificada pero sirve de guía para los procesos y la seguridad de la información.
Software ISO 27001
El estándar internacional ISO 27001, junto con todas las normas que componen su familia, generan todos los requisitos necesarios para poder implementar un Sistema de Gestión de Seguridad de la Información de una forma rápida y sencilla, además el Software ISOTools Excellence para ISO 27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa.