ISO 27001

A través de las directrices que aporta la norma ISO 27001, cualquier empresa puede obtener una protección de sus datos e información más sólida, gracias a la ayuda que supone frente a la evaluación y la ejecución de controles de seguridad de la información.

Esto indica que, los ataques a cualquier tipo de software, robos de propiedad intelectual o, incluso, sabotajes son diferentes formas de atentar contra la seguridad de la información, por lo que representan un serio riesgo para las organizaciones.

En este sentido, la norma ISO 27001 sobre sistemas de gestión de seguridad de la información es una gran opción frente a la protección de sus datos, ya que las consecuencias derivadas de los riesgos de seguridad pueden ser muy graves.

Así, la norma ISO 27001, le ayuda a generar y mantener los controles suficientes y necesarios para mantener protegida a su empresa.

Es más, si quiere conocer más sobre esta norma, le recomendamos la lectura del artículo 9 pasos para implementar la norma ISO 27001, ¿se lo va a perder?

Familia ISO 27000 para la seguridad de la información

Cualquier organización, quiere que su información permanezca segura y accesible, ya que se trata de uno de sus activos de mayor valor, por lo que cualquier violación a sus datos, supone, en términos de pérdidas, un coste muy alto.

Por consiguiente, los controles que se establezcan, tiene que ser lo suficientemente estrictos como para que aseguren la protección y la monitorización regular, para tener la capacidad de mantenerse actualizados y protegidos frente a riesgos cambiantes.

Especificación técnica ISO / IEC TS 27008

Así, la norma ISO 27008 sobre Tecnologia de la información, técnicas de seguridad, nos indica las directrices para la evaluación de los controles de seguridad de la información.

De esta manera, nos proporciona la orientación necesaria para realizar la evaluación de todos y cada uno de los controles implantados, de manera que se pueda garantizar que sean los más adecuados para su propósito, además de efectivos y eficientes.

Importante es, además, que se encuentren alineados con los obejtivos identificados por la empresa.

Ahora bien, la especificación técnica (TS en inglés), ha sido actualizada no hace mucho, con objeto de alinearla con las nuevas ediciones de otras normas internacionales, que son complementarias, y también destinadas a la seguridad de la información.

Así tenemos:

• ISO / IEC 27000: sobre descripción general y vocabulario.
• ISO / IEC 27001: sobre requisitos.
• ISO / IEC 27002: sobre código de práctica para los controles de seguridad de la información.

En definitiva, la ISO / IEC TS 27008 será la norma internacional que ayudará a las empresas a evaluar y revisar sus controles a través de la implementación de la norma ISO 27001 de sistemas de gestión de seguridad de la información.

La norma ISO 27001 frente a los ataques cibernéticos

En definitiva, en un mundo en el que cada vez tienen lugar mayor número de ciberataques y, que estos, son cada vez más difíciles de detectar y prevenir, la evaluación y revisión de los controles de seguridad existentes, tiene que llevarse a cabo de una forma periódica y considerarse como un aspecto fundamental y propio de los procesos de negocio de cualquier empresa.

Además, con la ayuda de la norma ISO / IEC TS 27008, las empresas podrán confiar en que sus controles serán mucho más efectivos, adecuados y apropiados para mitigar los riegos de seguridad de la información a los que tiene que enfrentarse la empresa.

Por otro lado, la ISO / IEC TS 27008 beneficia a organizaciones de todos los tipos y tamaños, como el resto de normas internacionales.

Es decir, independientemente de que sean públicas, privadas o sin fines de lucro, del tamaño, de la actividad, etc., pueden implementarla y complementarla con el sistema de gestión de seguridad de la información definido en ISO / IEC 27001.

Formas de procurar la seguridad de la información

A pesar de que la norma ISO 27001 aporta la forma en la que gestionar la seguridad la información y establecer los controles necesarios, mantener unas buenas prácticas en cuanto a la seguridad de la información es fundamental.

Entre ellas, no está de más conocer los diferentes tipos de seguridad con la que podemos encontrarnos:

Seguridad en la red

Conocida como network security, es la encargada de proteger en sí, la red de cualquier organización, tanto nivel de hardware como de software.

Ciberseguridad

También llamada cybersecurity o internet security, tiene como objeto prevenir y proteger de los ataques de origen cibernéticos, por lo que se centra especialmente en la información que se envía y recibe en los navegadores

Seguridad en la nube

También denominada Cloud Security es una de las que está adquiriendo mayor importancia y relevancia en la actualidad. Se trata de trabajar desde la nube con las diferentes herramientas y servicios de los que dispone la empresa.

Software ISOTools

Si quiere la seguridad real de su información y la gestión adecuada de sus controles, el Software ISOTools es la solución que estaba buscando.

Contacte con nosotros y cosúltenos.

ISO/IEC 27005:2018

Hoy en día, en nuestro mundo hiperconectado e impulsado por la tecnología, las brechas de seguridad y los ciberataques, siguen siendo una amenaza para las organizaciones. Además de eso, el desconocimiento de los riesgos suele ser el culpable de estos problemas. Es por eso que, la norma ISO/IEC 27005:2018 ha sido revisada con el fin de actualizarla ante las necesidades de la sociedad actual.

La protección de la seguridad de la información de una empresa, ya sea confidencial, por su carácter comercial o por los detalles de los clientes, nunca antes había estado tan en el punto de mira.

RGPD

A todo esto, se le suma la publicación del RGPD (Reglamento General de Protección de Datos), que unifica las políticas de tratamiento de datos de los países afectados, al mismo tiempo que indica cómo deben ser tratados los datos de las personas.

Este reglamento implica que las organizaciones sufran más presión que antes para garantizar que su información es segura. Es por eso que, disponer de las últimas tecnologías y procesos, puedan ser a la vez un campo de minas.

Por este motivo, y para que la tecnología no se convierta en un arma de doble filo, les dejo aquí un artículo sobre cómo ISOTools les puede ayudar con su software de Sistemas de Gestión de la Seguridad de la Información (SGSI).

¿Para qué sirve ISO/IEC 27005:2018?

La nueva ISO/IEC 27001:2018 sobre Tecnologías de la Información, Técnicas de Seguridad y Gestión de la seguridad de la información, proporciona una guía para las empresas sobre cómo sortear estas exigencias al mismo tiempo que proporciona un marco de trabajo para gestionar de forma efectiva los riesgos relacionados con la seguridad de la información.

De forma complementaria a ISO/IEC 27001:2013, que proporciona los requisitos de los sistemas de gestión de seguridad, se ha actualizado recientemente la nueva versión de ISO/IEC 27005 para estar en sintonía con ISO/IEC 27001 y de este modo asegurar que aquel que disponga de esta certificación cumple las exigencias de las organizaciones más exigentes de hoy en día.

Esta norma proporciona una guía detallada sobre la gestión de riesgos para ayudar a cumplir con los requisitos específicos de ISO/IEC 27001.

Declaraciones de Edward Humphreys

Edward Humphreys, coordinador del grupo de trabajo ISO/IEC que desarrolló tanto ISO/IEC 27001 como ISO/IEC 27005, dijo que la actualización del estándar representa una pieza clave en la lucha contra los riesgos cibernéticos a los que se enfrente ISO/IEC.

También dijo que ISO/IEC 27005:2018 nos presenta el porqué, el qué y el cómo para que las empresas sean capaces de gestionar sus riesgos sobre seguridad de la información de forma efectiva según los requisitos de ISO/IEC 27001. Al mismo tiempo, ayuda a demostrar a los clientes, accionistas o partes interesadas de una empresa la exigencia de los procesos sobre gestión de riesgos que tienen lugar. Dándoles así confianza y probando que son la empresa con la que deberían trabajar.

ISO/IEC 27005:2018 forma parte de una docena de estándares de la serie ISO/IEC 27000 que componen el conjunto de herramientas sobre ciber riesgos. Están encabezadas por su buque insignia, ISO/IEC 27001, Información de la tecnología, Técnicas de Seguridad y Gestión de la seguridad de la información.  Otras de las normas de la serie incluyen directrices para proteger la información en la nube, seguridad de la información en los sectores de telecomunicaciones y servicios públicos, ciberseguridad, auditoría de Sistemas de Gestión de la Seguridad e Información y mucho más.

Software ISOTools 

Casi al principio del artículo les dejamos un enlace sobre cómo podría ayudarles un software de gestión. Sin embargo, queremos resumirles brevemente en los múltiples campos que puede ayudarle.

En primer lugar, si ya conocen algunas otras normas ISO, sabrán que en la mayoría de los casos aportan grandes beneficios a las organizaciones. Entonces, ¿por qué utilizar un software de gestión? La respuesta es sencilla, si bien, el simple hecho de obtener una certificación ISO se traduce en beneficios para nuestra organización, gestionar dicha norma con un software multiplicará los beneficios.

¿Cómo? Le ahorrará tanto tiempo como dinero durante su implementación, le permitirá ahorrar recursos al tratar solo los riesgos reales de su empresa y minimizará riesgos de sanciones por no cumplir con la normativa, como por ejemplo el RGPD. Eso no es todo, podrá tener los Riesgos para la seguridad bajo control, dar una respuesta efectiva a los incidentes de seguridad… eso y mucho más es lo que obtendrá con el software para ISO 27001 de ISOTools.

Firma digital

Es un hecho, las nuevas tecnologías han cambiado el mundo y lo seguirán cambiando. Cada vez se busca más la idea de desarrollar ideas disruptivas, que cambien el mundo. Y, en general, estas ideas vienen acompañadas de la tecnología. Cada vez estamos más familiarizados con las tecnologías en sus diversos formatos. Tablet, smartphone, ordenadores, videoconsolas… y no solo existe  un mayor uso de estos dispositivos, sino que cada vez se usan a una edad más temprana.

El uso de las tecnologías es algo común, y natural, ya no se realizan cursos como anteriormente para aprender el uso básico de un ordenador, sino que, la gente aprende de forma autodidacta y más aún, los jóvenes conocidos como nativos tecnológicos.

Hemos mencionado que cada vez se usan más dispositivos y con mayor regularidad, ya que los usamos para todo tipo de acciones como diversión y entretenimiento, trabajo, pagos por internet, transacciones bancarias etc.

Evidentemente , el uso de las tecnologías tiene grandes ventajas como la comodidad. Sin embargo, también tenemos algunos negativos, como puede ser la dependencia tecnológica y la vulnerabilidad a los fraudes digitales. 

En este artículo, nos centraremos en esa vulnerabilidad digital, ya que muchas personas aprovechan el mayor uso de las tecnologías y el desconocimiento de muchos usuarios para cometer fraudes. Todos estos fraudes parten de que la mayoría de las personas piensan que las tecnologías son medios seguros y de confianza.

Y aunque en muchos de los casos es así, en otras muchas ocasiones, internet es un medio inhóspito y lleno de gente dispuesta a engañarnos.

¿Qué podemos hacer para solucionar estos problemas?

Firma digital, ¿qué es?

Al igual que hay fraudes tecnológicos, existen soluciones tecnológicas, y una de ellas es la firma digital. 

Podríamos definir la firma digital como una solución tecnológica que ofrece tanto seguridad como confianza a los documentos electrónicos. No importa desde el medio que se envíen estos documentos, siempre que tengan firma digital tendrán una seguridad y confianza mucho mayor que si no se tuviera esta firma digital.

Como ejemplo, tomaremos a Costa Rica. Con la firma digital, los documentos obtienen valor legal y llegan a ser más seguros que los que se redactan con una firma manuscrita. Como hemos dicho, este es el caso de Costa Rica, aunque en muchos otros países también adquieren este valor legal e incluso su uso es de carácter obligatorio en la administración pública.

También queremos decir que, no solo las personas se adaptan a los cambios tecnológicos. Por suerte o desgracia, el cambio tecnológico es de carácter casi obligatorio para todas las empresas que deseen perdurar en su negocio, ya que no adaptarse a dichos cambios puede conllevar a una gran pérdida de ventas o incluso a la desaparición de la empresa. La firma digital es solo uno de los cambios que se deben realizar, si desea conocer más información sobre la transformación digital visite este enlace.

¿Por qué usar la firma digital?

Aparte de utilizar la firma digital como método de ganar confianza y seguridad a la hora de enviar documentos, también existen otras muchas ventajas.

Entre ellas, podemos encontrar las siguientes:

• Reducción de uso y transporte de papel, lo que se deriva en un mayor cuidado del medio ambiente.
• Aumento de calidad y cantidad de los servicios. Al generar documentos de mayor confianza los servicios son de mayor calidad y en mayor cantidad.
• La firma digital se traduce en mayor eficiencia y menos costes operativos en empresas y organizaciones. Esto se debe a que al dar la posibilidad de realizar trámites online en lugar de en persona, se reducen colas y pérdidas de tiempo.

En el caso de Costa Rica, se han emitido ya más de 220.000 firmas digitales, y su uso será obligatorio. Ya la utilizan más de 150 instituciones estatales desde bancos, cajas, tribunales de justicia hasta  grandes organizaciones como el Banco Mundial.

Como pueden ver, el uso de la firma digital principalmente nos aportará grandes beneficios en cuanto a seguridad y confianza a la par que mejorará la imagen de la empresa y el compromiso con el medioambiente.

Software ISOTools

De este artículo podemos sacar dos conclusiones muy importantes. La primera es, que la necesidad de adaptarse a las nuevas tecnologías es algo casi inevitable. La segunda, es que cada día hay que tener más en cuenta la seguridad informática.

Bien, en el artículo hemos hablado de la firma digital como un método de conseguir una mayor seguridad con los medios digitales. No obstante, nos gustaría indicarles que existe una norma ISO para que les ayude a garantizar la seguridad informática. La norma ISO 27001 nos ofrece un Sistema de Gestión para garantizar la Seguridad de la Información.

Ahí es donde entra en juego el software ISOTools Excellence. Con este software facilitará la difícil tarea que conlleva el control adecuado de un Sistema de Gestión. Su uso además de ahorrarle tiempo y dinero también le permite realizar la firma digital en sus documentos, por lo que garantizará la seguridad de la información.

La Ley 29783 trabaja la Seguridad y Salud en el Trabajo. Su objetivo es promover la prevención de los riesgos que se puedan producir en las organizaciones. Esta ley tiene la obligación de plantear medidas preventivas, principalmente, para los trabajadores. Aunque también se puede incluir el control del Estado, la fiscalización y la participación de los trabajadores mediante las organizaciones sindicales, estos últimos utilizan el diálogo social, comprueban el cumplimiento de las normas de la ley y la información.

La Ley29783 incluye diferentes formalidades y obligaciones que los trabajadores deben cumplir para prever los daños en salud, accidentes y las incapacidades.

La Ley-29783 puede aplicarse a cada uno de los sectores económicos y de servicios que existen, protegiendo a cada trabajador bajo un régimen de actividad laboral privada en todo el territorio nacional, funcionarios del sector público, empleados de las Fuerzas Armadas y de la Policía y los empleados por cuenta propia.

Por todo lo indicado anteriormente, las empresas pertenecientes al sector de las telecomunicaciones toman la decisión de adoptar la Ley 29783 porque cada día aumenta más la preocupación por la seguridad y salud de sus trabajadores.

Si estas empresas implementan esta ley obtendrán una serie de beneficios, los cuales son:

• Disminución de los costos.
• Minimización de la probabilidad de que ocurra un error.
• Disminución del absentismo laboral porque los empleados se sienten más seguros.
• Empleados más conscientes de los riesgos y peligros a los que están expuestos.
• La empresa se mantiene al día con la legislación vigente.
• Aumento de la productividad total de la empresa.

La  Plataforma Tecnológica ISOTools ayuda a la implementación, control y evaluación de un Sistema de Gestión de Seguridad y Salud de manera eficaz y eficiente. Incluso, posee un sistema de avisos que ayuda a que se pueda cumplir la legalidad para que así se reduzcan las sanciones.

El estándar ISO/TS 16949 es una norma que amplifica las exigencias de la norma ISO 9000 pero con la peculiaridad que su aplicación se centra en el sector de la automoción.

La ISO/TS16949 ayuda a las empresas que están vinculadas al sector de la automoción, que puede ser debido a que son proveedores primarios, secundarios y terciarios. También pueden ser productores del sector.

Las organizaciones pertenecientes al sector de telecomunicaciones pueden realizar la adopción del estándar ISO/TS-16949 debido a que emplean varios vehículos a la hora de poner en funcionamiento su negocio.

Para que dichas empresas lleven a cabo la implantación de la ISO/TS 16949 deben de llevar a cabo las siguientes pautas:

Establecer, implantar, documentar y mantener los procesos de sistema de ostión de la calidad lo que significa:

• En primer lugar, señalar todos los procesos que son exigidos por el SGC.
• En segundo lugar, establecer las interacciones de los procesos. Además, de determinar los criterios y métodos para un seguimiento del control.
• Por último, realizar las mediciones y seguimientos idóneos de los procesos. Además, de adoptar las acciones que son requeridas para conseguir los resultados planificados y la mejora continua de los procesos.
• Cuando se lleve a cabo la subcontratación externa de cualquier proceso relacionado con la conformidad del producto deben de estar seguros que se realiza la contratación de dichos procesos.
• Deben de afirmar y examinar los procesos que han sido contratados externamente.

Con la adopción de la ISO/TS16949 podrán beneficiarse de varios aspectos:

• Disminución de los riesgos.
• Centralización de información.
• Cero papel.
• Optimización de los recursos.
• Eficiencia y eficacia en la Gestión.
• Reducción de costes.
• Incremento de la reputación de la marca.
• Eliminación de la burocracia.

La Plataforma Tecnológica, ISOTools, ayuda a las organizaciones pertenecientes al sector de las telecomunicaciones y a todas en general, a realizar con éxito la adopción de la norma ISO/TS-16949, de forma eficaz y sencilla.

Norma ISO 39001 en empresas de Telecomunicaciones

El estándar internacional ISO 39001 asegura a las organizaciones dedicadas a las telecomunicaciones una nueva norma para la Gestión de la Seguridad del Tráfico Vial, que proporciona un marco para la mejora constante del trabajo en esta materia.

Para que la implantación de la ISO 39001 se lleve a cabo de una manera idónea, las empresas de telecomunicaciones realizaran las siguientes pautas:

• Establecimiento de su rol en el Sistema de Tráfico Vial.
• Determinación de los procesos, funciones asociadas con la empresa que pueda poseer cualquier clase de impacto sobre la STV y establecimiento de las actividades.
• Identificación del ciclo o asociación de dichos procesos, funciones y actividades.

Los motivos por los cuales se producen los accidentes de tráfico de tipo vial son:

• Conducir a una elevada velocidad.
• Elevados niveles de cansancio o fatiga.
• Distracciones al volante.
• Conducción en estado ebrio.
• Entre otros.

Con la adopción del estándar ISO 39001, las empresas podrán gestionar y combatir estos riesgos comunes. Las medidas que se lleven a cabo pueden darse a dos tipos de niveles, es decir, se pueden dar a nivel personal o a nivel de la empresa. Para que dichas medidas sean eficaces no debemos olvidar ni a los trabajadores, al entorno ni al vehículo.

A los trabajadores se les proporcionará una formación y la posibilidad de participar en todas las fases de desarrollo y adopción del STV en la organización.

Además, a lo que se refiere a la gestión de los vehículos de la empresa, debemos tener presente la selección de dichos vehículos, las herramientas complementarias de seguridad y control, así como el mantenimiento de las posibles averías en los vehículos.

ISOTools para la norma ISO 39001 en empresas de Telecomunicaciones

La Plataforma Tecnológica ISOTools es una herramienta idónea para la sistematización de un Sistema de Gestión del Riesgo. Además, ayuda a las empresas de telecomunicaciones a mejora su eficacia en la gestión mediante una reducción de los riesgos y controlando las distintas incidencias.

ISO 27001

Una de las primeras actividades a realizar en la implementación de la norma ISO 27001 en una organización es elaborar un inventario de activos que recoja cuáles son los principales activos de información en la organización.

Se deben identificar el conjunto de activos de la información, entendiendo un activo como cualquier elemento que represente valor para la organización. Estos activos serán aquellos que queden enmarcados dentro de los procesos seleccionados para la definición del alcance.

¿Qué es un activo de información según ISO 27001? 

Un activo en relación con la seguridad de la información, se refiere a cualquier información o sistema relacionado con el tratamiento de la misma que tenga valor para la organización. Cualquier cosa que tiene valor para la organización. Todos los activos deberían estar claramente identificados, confeccionando y manteniendo un inventario con los más importantes.

[sociallocker id=»16144″]

Activos de información bases de datos, documentación, manuales, software, hardware, contratos equipo de comunicaciones, servicios informáticos y de comunicaciones, utilidades generales como por ejemplo calefacción, iluminación, energía y aire acondicionado y las personas, que  son quienes generan, transmiten y destruyen información.

Tipos de activos de la información 

Una clasificación general podría ser:

El inventario es una herramienta que debe estar actualizada de la forma más pronta posible, de modo que ante nuevos cambios en la infraestructura TI, o cambios organizacionales se debe plantear una revisión del inventario.

El inventario de activos debe recoger la siguiente información:

• El nombre del activo, por ejemplo: equipo de usuario, router 014, proyecto, expediente, etc.
• La descripción del activo.
• Categoría a la que pertenece, por ejemplo: equipo, aplicación, servicio, etc.
• Ubicación: el lugar físico o en el que se encuentra dentro de la organización.
• Propietario: entendiendo por tal al responsable del activo.
• Identificados los activos de información: se les debe valorar de acuerdo a su importancia para la organización. Esta apreciación será lo más objetiva posible, ya que con ella se determinará sobre qué activos se realizará el análisis de riesgos.

Por supuesto, se puede hacer una estimación de todos los activos, pero si son muchos, los recursos limitados, o ambas cosas, lo razonable es elegir un grupo de activos reducido para que el análisis de riesgos no sea inabarcable. Por ejemplo, se puede escoger analizar los activos que están por encima de un valor.

Para valorar los activos pueden tomarse los parámetros más adecuados para la organización. Los más habituales son la confidencialidad, disponibilidad e integridad de los activos, determinándose la importancia que tienen para la organización en una escala de valores.

A veces, la complejidad de la organización y de sus procesos o de su contexto, puede hacer  necesario el desarrollar un árbol de dependencias entre activos. En un árbol de dependencias, donde los activos superiores dependen de los inferiores, es imprescindible valorar los activos superiores, los que son importantes por sí mismos. Automáticamente, este valor se acumula en los inferiores, lo que no es óbice para que también puedan merecer, adicionalmente, su valoración propia.
[/div][/sociallocker]

Ejemplos de activos de información

En el contexto de la norma ISO 27001, los activos de información abarcan mucho más que los datos digitales. Entre ellos se incluyen equipos como servidores y dispositivos móviles, software crítico para las operaciones, bases de datos con información confidencial, documentación en formato físico o digital, e incluso las personas que gestionan o acceden a estos recursos. Identificar estos activos es fundamental para su protección, ya que permite priorizar esfuerzos según su importancia para la empresa y los riesgos asociados.

Gestión de riesgos en el inventario de activos

Una vez identificados los activos, la gestión de riesgos se convierte en el siguiente paso esencial. Esto implica evaluar amenazas potenciales, vulnerabilidades y el impacto que podría tener una incidencia en cada recurso. Con esta información, las empresas pueden implementar controles adecuados para reducir riesgos y proteger los activos más valiosos. Este enfoque sistemático, alineado con la norma ISO 27001, garantiza una gestión eficiente de la seguridad de la información y un uso óptimo de los recursos.

Software para la gestión de activos en ISO 27001  

Con el software ISOTools para la gestión de la ISO 27001 le será muy fácil realizar la identificación y el mantenimiento de los activos de la organización, así como su clasificación.

ISOTools es una herramienta de software para seguridad de la información de la norma que cumple con el ciclo completo de la ISO 27001 desde las fases de inicio y planificación del proyecto hasta el mantenimiento y mejora continua, pasando por el análisis de riesgos, el cuadro de mandos, implantación de procedimientos, etc.

ISO 27001:2013
¿Qué es un diagnóstico de la Seguridad de la Información?

El diagnóstico de la seguridad de la información es el acto de investigar y analizar los riesgos asociados a los procesos del propio negocio y su entorno.

Un diagnóstico eficaz va a permitir:

• Conocer los activos y recursos a proteger, los puntos vulnerables de cada proceso y las amenazas asociadas.
• Evaluar la viabilidad y efectividad de los controles de reducción a la exposición de amenazas que se están desarrollando.
• Identificar el nivel de riesgo aceptable para que la organización pueda existir.
• Calcular el coste del impacto de materialización de las amenazas identificadas.
• Valorar la capacidad de recuperación frente a incidentes y la probabilidad de continuidad de los procesos del negocio.
• Elaborar planes de acción para la mejora y solución de los puntos críticos.

¿Qué se debe diagnosticar?

Las organizaciones se estructuran en sistemas con el fin de alcanzar unos objetivos mediante la aplicación de procesos. Por ello, para el diagnóstico eficiente de seguridad de la información se recomienda el análisis funcional de la organización, considerando las siguientes áreas:

• Sistema de gestión, políticas, planes de seguridad y base reglamentaria.
• Inventario de Hardware, Software y la evaluación de su valor real y de pérdida.
• Seguridad de la red e Internet.
• Accesos remotos y uso de servicios de acceso a aplicaciones de la organización.
• Publicaciones de la organización.
• Ordenadores de mesa y estaciones de trabajo en red.
• Seguridad física y ambiental de la Edificación.
• Fronteras de responsabilidades y disciplina tecnológica de la red.

Todas ellas deben estar identificadas e inventariadas. Así mismo, de cada una de ellas deben verificarse diferentes aspectos básicos relacionados con la normativa vigente, la aplicabilidad al caso real de la organización, la eficiencia del control ejercido, el valor económico,  la empleabilidad y la formación del personal encargado.

¿Cómo se debe realizar el diagnóstico?

El diagnóstico de la seguridad de la información propone un enfoque sistémico y por objetivos, aplicado a los principios básicos de evidencia, análisis, síntesis y de control. El procedimiento para acometer el diagnóstico se puede resumir en las siguientes fases:

• Presentar el programa de diagnóstico con la definición de los objetivos, identificación de activos y recursos, técnicas a aplicar, recursos disponibles y temporalización.
• Contar con personal formado y cualificado oficialmente que sea capaz de verificar y revisar los equipos y aplicaciones informáticas, la red y el personal a cargo.
• Establecer  un expediente que registre evidencias, organice la documentación solicitada, recopile actas y material relacionados con las pruebas realizadas.
• Presentar un informe con los resultados del diagnóstico que recoja la identificación del sistema, las fechas de ejecución, el equipo encargado, los criterios de medición y objetivos comprobados, los resultados finales, los elementos no conformes, una conclusión final y una serie de recomendaciones de mejora.

ISOTools es la plataforma tecnológica que permite ejecutar el diagnóstico de seguridad desde el momento cero, aplicando el enfoque a procesos para evaluar globalmente todas las áreas de la organización.

ISOTools cumple los objetivos del diagnóstico, facilita determinar el GAP de la organización con respecto a los niveles de madurez requeridos, evaluar los riesgos, analizar los controles y poder determinar un Plan de Acción, para comenzar a trabajar en los procesos críticos para la organización.

Las ventajas que ofrece la automatización del proceso de diagnóstico con ISOTools son:

• Fácil identificación de activos y recursos a diagnosticar.
• Permite una evaluación individual intuitiva, mediante un cuestionario equilibrado en alcance y precisión.
• Aplicabilidad para diferentes diagnósticos basados en modelos contrastados y la participación de expertos.
• Fomenta el entorno colaborativo mediante el uso de herramientas para gestionar y alcanzar una evaluación consensuada.

ISOTools ofrece un conjunto de potentes aplicaciones parametrizables que ayudan a alas organizaciones en todas las fases del diagnóstico de la Seguridad de la Información: evaluación del riesgo, evaluación de la eficacia de controles, check list, incidentes TI, gestión de reports e indicadores.

ISO 27001

La declaración de aplicabilidad o en inglés, Statement of Applicability (SoA) de la ISO 27001 es un elemento fundamental a la hora de implementar un sistema de gestión de seguridad de la información (SGSI) en una organización. Se trata de un documento que relaciona los controles que su utilizan en el sistema de gestión.

La elección de los controles forma parte del Plan de Tratamiento de riesgos. Este plan consiste en definir de una forma clara y concisa cómo se van a implementar los controles, quién será el responsable de ello, cuándo tendrá lugar y cuánto costará.  En definitiva, este documento recoge un plan de actuación necesario para coordinar todas las actividades que se desarrollarán en el proyecto de certificación de ISO 27001.

Por último, debemos indicar que para la adecuada gestión de la seguridad de la información, es necesario implantar un sistema que aborde esta tarea de una forma metódica, documentada y basada en unos objetivos claros de seguridad y una evaluación de los riesgos a los que está sometida la información de la organización. ISOTools permite mantener su sistema mediante la automatización de los procedimientos y planes que establece el estándar ISO 27001.

En la actualidad,  la información es una herramienta estratégica fundamental en el la actividad normal de cualquier organización. Por ello se hace indispensable la implantación de un adecuado Sistema de Gestión de la Seguridad de la Información en la propia organización. Sin embargo, en muchas ocasiones la implantación no se realiza llevando a cabo un proceso efectivo, eficaz ni útil para la empresa.

Los errores que se pueden cometer en este proceso los encontramos en  todas las fases, desde la planificación hasta el propio mantenimiento del sistema.

A continuación detallamos los errores en el proceso de implantación y mantenimiento de un SGSI:

• En cuento a la planificación del proceso de implantación, la escasa adaptación a los objetivos corporativos es bastante común, de hecho, habitualmente  se cae en el error de diseñar un SGSI por encima de las necesidades y posibilidades de la organización.

• Dependencia absoluta del sistema a una consultora externa. Este error es más común de lo que en un principio pueda parecer y sin ninguna duda es uno de los que más aumenta la probabilidad de fracaso del SGSI.

Para que la organización cuente con un SGSI óptimo, este debe integrarse perfectamente en las actividades habituales de la organización, de modo que todos los miembros de la institución utilicen e interactúen con el mismo.

• También ocurre todo lo contrario, es decir, la organización es la encargada de todo el proceso. Esto hace que las evaluaciones y controles internos que se llevan a cabo sean, en muchos caos, insuficientes.
• La implantación y el mantenimiento de un SGSI no sólo concierne al departamento relacionado con las TIC, todos y cada uno de los empleados tiene que ser consciente de que papel poseen dentro del sistema, ya que es probable que deban modificar, perfeccionar o rediseñar algunas de sus funciones.
• En ningún caso tendrá éxito  la implantación de este sistema con el único fin de conseguir una acreditación o certificación oficial de cara a la galería. Lo que hace que un SGSI sea válido y útil es su mantenimiento constante  y continuo en el tiempo.

Las consecuencias negativas de implantar erróneamente un SGSI son diversas, llegando a afectar a planes estratégicos de la organización. El principal efecto perjudicial para una organización que no implante y mantenga correctamente su SGSI es el aumento importante de riesgos, no sólo aquellos referidos a la seguridad de la información, sino que también afecta a la consecución de objetivos establecidos, a la toma de decisiones y a la posición competitiva en el mercado.

Para evitar los riesgos derivados de una inadecuada implantación y mantenimiento de su SGSI, ISOTools ofrece su  herramienta web que facilita la implantación, gestión y mantenimiento de Sistemas de Gestión de Seguridad de la Información conforme a la norma ISO 27001. Permitiendo:

• Garantizar la confidencialidad, integridad y disponibilidad de los datos.
• Conocer los riesgos de seguridad de la Organización para poder dirigir inversiones a esos riesgos.
• Lograr un equilibrio entre la seguridad técnica, procedimental y de personal.
• Establecer una metodología estructurada según los principios de Planificar-Hacer-Controlar-Actuar (PHCA) que se integre con otros sistemas de gestión previos o futuros.

En primer lugar debemos definir que se entiende por firma electrónica y certificados electrónicos. La firma electrónica es, como su propio nombre indica, el equivalente electrónico de nuestra firma manuscrita. Su función sigue siendo la de identifica al firmante de forma única igual que su firma manuscrita y verificar que los documentos firmados no hayan sido alterados por terceras partes, además del no repudio del firmante.

Por su parte un certificado electrónico es un documento firmado electrónicamente por un prestador de servicios de certificación que vincula una clave pública a un firmante y confirma su identidad.

Centrándonos de nuevo en la norma, esta busca también la interoperabilidad de las firmas electrónicas cuando los documentos son transferidos y procesados por diferentes sistemas de tecnología de la información.

Todo ello se encuentra estructurado en dos bloques fundamentales, ambos al largo plazo:

• Primera parte ISO14533-1: firmas electrónica avanzada CMS (CAdES).
• Segunda parte ISO14533-2: firmas electrónicas avanzadas  XML (XAdES).

Las ventajas derivadas de la utilización de firmas electrónicas son muchas, sin embargo, el problema que surgía sobre el desfase temporal entre el periodo de conservación legal que se exigía para los documentos que estaban firmados digitalmente y la vida útil del documento en cuestión, planteaba ciertas dudas a cerca de la eficacia de la firma electrónica. La ISO 14533 resuelve esta problemática.

Los principales beneficiados con esta norma son aquellos sujetos que, obligados por Ley, deben conservar determinados documentos en un periodo de tiempo amplio. De esta forma se garantiza la operabilidad y el consumo de los mensajes de forma independiente a la plataforma de destino.

En la actualidad existen aún ciertas reticencias en cuanto al uso de firmas y certificaciones electrónicas. Sin embargo, las ventajas son más abundantes que los inconvenientes que se puedan extraer de su uso.

Ventajas:

• Agiliza la gestión de procesos.
• Mejora y otorga mayor seguridad a la gestión documental.
• Se facilita la autentificación de datos.
• Facilita la consulta de información.
• Crea un entorno de gestión seguro.
• Se pueden utilizar los certificados emitidos por otras instancias.

Inconvenientes:

• Sólo es recomendable para la gestión de actos administrativos o transacciones:

• A priori se debe conocer el destino final que tienen los documentos.
• Inversión necesaria para la adquisición de la tecnología para crear firmar electrónicas de confianza.
• El costo de gestión es elevado, ya que se necesita un administrador de contenido.

Para combatir estos inconvenientes se pueden llevar a cabo ciertas recomendaciones a la hora de la utilización de firmas electrónicas y sus derivados. Por ejemplo:

• Selección de la información estrictamente necesaria, para evitar un almacenamiento excesivo de datos y duplicidades.
• Preservar la documentación relacionada en el tiempo.
• Adaptación legal que corresponda en cada caso.
• Establecer una política eficiente para administrar procesos y los documentos que estos generen.
• Identificar la tecnología que se necesita para emitir los certificados digitales que garanticen la integridad del documento en su forma y contenido.

En ISOTools ofrecemos nuestra amplia experiencia en el sector de la consultoría y el desarrollo de las más óptimas herramientas para una gestión eficiente en todas y cada una de la empresas que así lo soliciten.

ISO 27001

Todos sabemos la importancia de obtener  la certificación en ISO 27001 en unos tiempos en los que la obtención de información juega un papel fundamental para reducir la incertidumbre en la toma de decisiones empresariales y aumentar la probabilidad de éxito. Los Sistemas de Gestión de Seguridad de la Información cada día cobran mayor importancia no solo en el ámbito empresarial, sino también en ámbitos relacionados con la Administración Pública o incluso con la actividad más personal de los individuos.

Para la adecuada gestión de la seguridad de la información, es vital integrar un sistema que sea capaz de desarrollar esta tarea de una forma controlada, documentada y centrada en unos objetivos bien definidos de seguridad, además de establecer técnicas de evaluación de riesgos en función de las necesidades de cada organización.

Los costes derivados de la integración de SGSI, se pueden imputar principalmente a las siguientes actividades:

–          Realización de inventarios, para conocer el valor de los activos totales de una empresa. Para ello es necesario llevar a cabo la identificación, definición, descripción y valoración de los activos, lo que conlleva tiempo y costes.

–          Implantar una mejora continua del sistema requerida por la propia norma.

–          Analizar los riesgos a los que se encuentran sometidas las empresas.

–          Desarrollo de un plan de continuidad del negocio.

–          Integrar diversos controles de seguridad y control de riesgos.

–          Mantenimiento a largo plazo del sistema.

Aunque en un primer momento pueda parecer que la implantación de un SGSI no es rentable por los costes que supone, los beneficios que se derivan son diversos y abundantes. Veamos algunos ejemplos:

–          Aumento de la competitividad en el mercado, proporciona diferenciación.

–          La seguridad como un sistema metódico y controlado.

–          Reducción de riesgos.

La denominación “Ada” tiene su origen en  una matemática de la década de 1800, Ada Lovelace. Considerada como la primera programadora de ordenadores, su trabajo en materia de TI ha tenido un impacto muy importante y duradero. La experta en matemáticas provocó también una creciente intervención de las mujeres en el campo de las TI.

La muestra del éxito del lenguaje Ada está en un estudio realizado en los EEUU en 1996, donde se mostraban 345 colegios, universidades, comerciales e instituciones gubernamentales que ofrecían 656 cursos universitarios equivalentes a Ada.

La Organización Internacional de Estandarización (ISO), ha lanzado recientemente una nueva versión de ISO/IEC 8652:2012 –Tecnologías de la Información –Lenguajes de programación Ada. Comúnmente utilizado en el tráfico aéreo, la banca y otras industrias de alto riesgo por su fiabilidad, este lenguaje de programación es más flexible y seguro en la tercera edición de la norma.

En su origen, Ada fue diseñado para conseguir tres objetivos principales:

• Conseguir una programación fiable y un mantenimiento de ella.
• Programación como actividad humana.
• Mayor y mejor eficiencia.

El lenguaje ha evolucionado aumentando, poco a poco, su flexibilidad y extensibilidad. Ha crecido el control y el apoyo a las organizaciones y proyectos ha sido más amplio. La versión reciente de 2012 ha conseguido mejorar más la capacidad expresiva además de su fiabilidad y seguridad.

Una de las novedades o mejoras en la nueva versión de Ada es una característica conocida como “programación por contratos”. Esta cualidad sirve de ayuda para que los programas sean significativamente más fuerte ante los errores y el uso malicioso. Además, es una característica que se encuentra en muy pocos lenguajes de programación.

Esta tercera versión es una respuesta a las necesidades de los usuarios. Necesidades como por ejemplo, mejora de portabilidad, interconexión con otros idiomas, capacidad orientada a objeto y en tiempo real, etc.

Según la Dra. Joyce Tokar, Coordinadora del grupo de trabajo elaborador de la norma,

“Al publicar Ada como Norma Internacional, los usuarios saben que las actualizaciones serán accesibles para los desarrolladores de todo el mundo, y obtendrán mayor confianza en la estabilidad de los cambios”.

Uno de los aspectos más importantes que  destacar de Ada es, como se decía anteriormente, su  utilización en industrias donde la seguridad y la fiabilidad son cruciales. Por ejemplo, tráfico aéreo, satélites, banca, sector sanitario, ferrocarril, metro, proyectos militares, etc.

Desde ISOTools proporcionamos todo el conocimiento sobre el lenguaje Ada  para conseguir la máxima calidad en sus procesos y en su organización.

ISOTools ofrece también, las herramientas para la integración de sistemas de gestión de procesos para mayor eficacia y eficiencia en la actividad de su organización.

ISO 27000:2013

Como ya debéis saber, la International Organization for Standardization, ha publicado la última versión de la norma ISO 27000 de Gestión de Seguridad de la Información, la ISO 27000: 2013, que sustituye a la ISO 27000: 2005.

Entre dichas normas ISO existen multitud diferencias y aunque las mismas no son demasiado drásticas, dedicaremos este artículo a su análisis.

• El cambio más evidente en la nueva versión de la norma es el de su estructura, la cual se adapta a todas las normas de gestión. Además, en esta nueva norma se eliminan los anexos B y C permaneciendo, tan solo, el anexo A.
• Las partes interesadas cobran gran importancia en esta versión, ya que incluye a accionistas, clientes, autoridades, socios, etc. La norma posee un listado de posibles partes interesadas en una organización.
• Los conceptos «documentos» y «registros» pasan a llamarse información documentada, en esta nueva norma.
• La evaluación de riesgos ya no se realizará a partir del inventario de activos, las vulnerabilidades y las amenazas, sino que estos solo se emplearán para establecer los riesgos consecuencia de la Integridad, la Confidencialidad y la Disponibilidad. Con este cambio se logra aportar capacidad de decisión a la empresa a la hora de identificar los riesgos.
• En el informe de objetivos propuestos por la empresa, ahora, será necesario especificar quién será el responsable de comprobar que se realizan, el responsable de medirlos y además con qué frecuencia lo hace. También será necesario especificar como se planea hacer posibles los objetivos.
• Las acciones preventivas también son objeto de cambio en la norma ISO 27001, ya que la nueva versión no incluye acciones preventivas, ya que estas pasarán a formar parte de la evaluación del riesgo y el tratamiento.
• Por otro lado, las acciones correctivas se clasifican en dos tipos, las enfocadas a hallar solución a no conformidades y las dedicadas a eliminar la causa que provoca no conformidades.
• En la nueva norma también será necesario indicar toda la información relativa a la comunicación, incluyendo los requisitos a comunicar, cuando, como y a quién se comunica, etc.

Estos cambios no solo modifican a la norma anterior, sino que la mejoran al hacerla más fácil de integrar a otras normas ISO como la ISO 9001 y o la norma ISO 20000.

La ISO 27000: 2013 aporta mayor libertad a las empresas, las cuales podrán adaptar el Sistema de Gestión a sus necesidades, lo cual malinterpretado puede ser una excusa para que las empresas no se esfuercen y traten de cumplir el mínimo de requisitos.

Software ISOTools

ISOTools ya ha adaptado su plataforma a los nuevos cambios de la normativa, haciendo posible facilitarle la implantación y el mantenimiento de su Sistema de Gestión de Seguridad de la Información.

El software ISOTools es totalmente parametrizable, por lo que se adapta a las necesidades propias de cada organización.

ISOTools automatiza y simplifica el tedioso proceso de implantación y posterior seguimiento requerido por las normas internacionales, así como los modelos de Excelencia y cualquier otro tipo de estándar internacional.

ISOTools le permite ahorrar, tiempo, dinero y papel.

Tecnología de la Información

Cada día se hace más necesaria y tiene mayor repercusión una gestión más eficaz y eficiente de la Tecnología de la Información para las organizaciones, sobre todo para aquellas que supone un punto vital para la supervivencia de la misma.

Es por ello que se recurre a normas o modelos, certificables que permitan la organización de este aspecto y demuestren sus buenas prácticas en materia de TI.

Pero ¿Qué norma de TI debo aplicar? Esta es la pregunta que muchas de las organizaciones se plantean. La elección de uno u otro estándar dependerá de las necesidades de la organización y la demanda del mercado, pero no tienen por qué tratase de aplicarse de manera aislada, sino que pueden y en ocasiones deben coexistir de manera armonizada.

En este artículo mostraremos algunas de las características más destacadas de la ISO 20.000 y del modelo CMMI.

Independientemente de esto, ambos estándares son totalmente recomendables.

ISOTools es la Plataforma Tecnológica que permite la gestión y medición de la efectividad de los servicios TI con los estándares internacionales. Cada día más organizaciones apuestan por una herramienta de este tipo como estrategia clave para mejorar la calidad de sus servicios.

Hablamos de comunicación en sentido amplio, pero dentro de esto existen varios niveles en función de lo que conseguimos con ella, algo que es, casi al 100%, resultado de cómo comunicamos.

El nivel más bajo sería una simple exposición, es decir, el simple hecho de contar algo como si se tratara de una sinopsis de una película de cine, casi como leer una diapositiva en una presentación, algo completamente informativo, neutro y sin valor para el receptor del mensaje.

En un segundo nivel se podría hablar de comunicar. En este sentido, el mensaje comienza a ser recibido con más connotaciones, acertadas o no, por parte del receptor. Desde este nivel, el mensaje que transmitimos comienza a tener efecto sobre los receptores, aunque normalmente, no hasta el punto que debería.

El punto álgido se encuentra cuando conseguimos transmitir un mensaje tal como nosotros lo tenemos interiorizado de forma que el receptor lo interiorice de la misma forma y manera, sin interpretaciones.

A pesar de lo que pueda parecer, una comunicación eficaz es algo que puede repercutir directamente en los resultados de una organización ya que es la base para todo. Es una de las virtudes fundamentales de un líder el transmitir exactamente lo que quiere de forma que consiga exactamente el resultado que busca en las personas, del departamento que sea, obteniendo la interiorización e implicación de los demás.

Recordemos que en artículos anteriores hablábamos de que el liderazgo “es la capacidad de hacer que los demás deseen hacer lo que tú quieres que hagan” y no de dar a conocer o reflejar una instrucción, norma u orden.

Existen personas con una habilidad comunicativa innata que consiguen captar la atención y hacer que su mensaje sea interiorizado sin demasiado esfuerzo. Otras, en cambio han de tener presentes algunas reglas básicas y practicar en esa línea para conseguirlo:

1. Tener claro el mensaje a transmitir y el objetivo de la comunicación: por bien que lo hagamos, si el mensaje no es completo, no habrá servido de nada. Para esto es bueno interiorizar checklist de aquello que queremos transmitir, incluso reforzar el final del mensaje con este resumen.
2. Ha de ser concreto y escueto. Podemos hacer la prueba. Al final de una conferencia que nos interese, nos habremos quedado con aproximadamente un 10% del total. Por este motivo, porque la atención de las personas no dura eternamente, es fundamental que el mensaje se centre en lo importante.
3. El mensaje ha de estar estructurado y priorizado. Si todo es importante, nada es importante. Todo el mensaje ha de girar en torno a una idea principal de la que se desglosan las demás, es decir, el mensaje se articula en forma de esquema y así lo debemos transmitir.
4. La comunicación verbal no lo es todo. De hecho, es solo un 7% del total de la comunicación desde el punto de vista del receptor. La parte realmente importante es el tono con el que se transmite, que representa un 38% y el lenguaje no verbal, que supone un 57% de aquello que transmitimos. Para que lo entendamos, no es igual que un gerente sentado, con la mirada baja y la mano en la frente comunique los problemas por los que pasa la empresa a que el gerente, en pie, firme, con la mirada alta y gesticulando de forma apropiada comunique a sus empleados los retos y formas de afrontarlos por los que pasa la el equipo.

La comunicación es fundamental a la hora de que todos los integrantes de una empresa conozcan la estrategia, las acciones y los objetivos, como ya hablábamos en el artículo “La importancia de transmitir la estrategia a toda la organización” y en que hablábamos sobre el clima laboral y el liderazgo.

Recordemos que cualquier cambio, cualquier proceso de normalización, implantación de sistema de calidad, proceso de auditoría y demás, ha de estar liderado y gestionado de forma adecuada para que tenga resultados excelentes en la organización.

ISOTools pone a disposición de las organizaciones las herramientas adecuadas y el conocimiento específico para que el proceso de implantación y gestión de estrategias, personas  y sistemas normalizados de calidad y excelencia lleguen a buen puerto y se obtenga un verdadero provecho de ello.

Sistema de Gestión de la Seguridad de Información

Cada día más, se hace necesario en las organizaciones el contar con un sistema de protección de la información, que nos ayude a identificar las amenazas a las que estamos expuestos y poder controlarlas.

La implantación de un SGSI (Sistema de Gestión de Seguridad de la Información) nos va a permitir asegurar la continuidad de nuestro negocio, mediante la reducción de riesgos y costos y maximización de las oportunidades de negocio.

Uno de los requerimientos que exige un SGSI es el Control de la Documentación,  de forma que se garantice la confidencialidad, integridad y disponibilidad de la información asociada ha dicho SGSI.

Este requisito supone una correcta recopilación y elaboración de dichos documentos y registros. Para ello se deberán establecer los procedimientos necesarios para controlar y proteger dicha información, mediante el desarrollo de documentos, control de cambios y versiones, disponibilidad, aprobación, control de la distribución, entre otros.

¿Cuáles son los documentos obligatorios de un SGSI?

Se trata de los siguientes:

• Alcance del SGSI:

Se trata de la aclaración de “hasta dónde” se aplica el SGSI, es decir, qué áreas, divisiones, procesos, etc abarca el SGSI.

• Política del SGSI:

Es un documento en el que se establece el compromiso de la dirección y el enfoque de la organización en cuanto a la seguridad de la información.

• Metodologías para la gestión del Riesgo:

Se trata de definir de qué manera se va a evaluar el riesgo (evaluación de amenazas, vulnerabilidad y probabilidad de ocurrencia, impactos que generan en nuestros activos, definición de criterios de aceptación de riesgo, etc.).

• Informe de Evaluación del Riesgo:

Es el resultado de cruzar la Metodología de Evaluación del riesgo con los Activos de Información.

• Plan de Tratamiento de Riesgos:

Es un documento en el que a partir de la evaluación del riesgo y los objetivos  de control establecidos; se plasman las acciones que se van a tomar para gestionar el riesgo, identificando dichas acciones, los responsables, los recursos que se van a emplear, etc.

• Declaración de Aplicabilidad:

Es un documento  en el que se listan los objetivos y controles que se van a implementar en la organización, así como la justificación de aquellos controles que no van a ser implementados.

• Procedimientos para el control de la documentación:

Son los procedimientos que aseguran la planificación, operación y control de los procesos de seguridad del SGSI.

• Registros:

Son documentos que evidencien el constante y correcto funcionamiento de SGSI.

• Autorización y compromiso de la Dirección con el SGSI

Toda documentación generada por el SGSI debe pasar por distintas fases propias del Ciclo de Vida de los documentos del SGSI, tal y como comentamos al inicio y antes de ser distribuida a la organización debe ser revisada y aprobada por la dirección.

Software ISOTools

El software ISOTools es una herramienta de gestión integral de los SGSI, que permite gestionar el Ciclo de Vida de la documentación propia del sistema, con la posibilidad de gestionar las alertas que avisen a los responsables, distribución de la documentación, control de versiones y responsabilidades, etc.