La seguridad de la información es una preocupación crítica para las empresas mientras intentan adaptarse a los rápidos avances en los métodos y técnicas de ataque y los cambios posteriores en los requisitos regulatorios. fracaso de un seguridad de la información de la organización Las medidas pueden tener varias consecuencias negativas para la organización y sus partes interesadas, incluida la pérdida de confianza.
Para seguir siendo relevante y competir en el mundo empresarial actual, cada empresa debe contar con un programa de gobernanza de seguridad de la información (ISGP). Afortunadamente, existe una oportunidad para mejorar la gobernanza de la seguridad de la información y la gestión general de riesgos en el entorno empresarial alineándola con requisitos de cumplimiento como ISO 27001 y la rama derivada del estándar ISO 27014.
ISO/IEC 27014 es un estándar en el ISO / IEC 27000 .
Este estándar está "diseñado para ayudar a las organizaciones a gestionar eficazmente sus estrategias de seguridad de la información". El estándar ofrece “orientaciones sobre los principios y conceptos para el gobierno de la seguridad de la información, a partir de los cuales las organizaciones pueden evaluar, dirigir, monitorear, comunicar y asegurar las prácticas relacionadas con la seguridad de la información en la organización.
El estándar de once páginas resume los estándares de gobernanza de la tecnología de la información e incluye una estructura de seis principios y cinco procesos. El estándar considera que el gobierno de TI interactúa con el gobierno de la tecnología de la información, todos los cuales son componentes del marco más amplio de gobierno organizacional. En diciembre de 2020, se publicó otro documento guía ISO/IEC 27014:2020, que sucede a la primera edición de 2013.
Estamos muy contentos de haber encontrado esta solución, hizo que todo encajara más fácilmente.
Un órgano de gobierno es un colectivo de personas que tienen la autoridad y responsabilidad para formular políticas y liderar el funcionamiento de una organización. trayectoria general. El organismo colectivo es responsable de la toma de decisiones y la implementación en nombre de su personal, las partes interesadas y la organización.
La función principal del órgano de gobierno es salvaguardar los privilegios e intereses de la organización, así como los de cualquiera que trabaje en el marco de la organización. Este organismo logra esto asegurando que la organización opere eficientemente y sea capaz de lograr los objetivos y prioridades con los que se ha comprometido. Además, el órgano de gobierno es responsable de las finanzas, el personal y los activos de la organización. Una función importante del órgano de gobierno en cualquier organización es hacer Decisiones que fomentarán la seguridad de la información dentro de la organización..
ISMS.online hace que configurar y administrar su SGSI sea lo más fácil posible.
Se han desarrollado procesos de gobernanza de la seguridad de la información para ayudar a las organizaciones a monitorear y gestionar sus esfuerzos de seguridad de la información. Sin embargo, no existen en el vacío: necesitan ser integrado en la gestión empresarial general procesos si van a ser efectivos (y esto es cierto para muchas actividades de seguridad relacionadas, como la gestión de riesgos). El órgano de gobierno y la alta dirección son responsables de la ejecución de cuatro sistemas de gobernanza, según ISO/IEC 27014:2020.
Uno de los procesos de gobernanza de la seguridad de la información es la evaluación. La evaluación es un proceso importante en el que se analiza el estado actual de un proceso o componente dentro de una organización. Esto ayuda a determinar qué está bien y qué está mal en ese proceso o componente en particular.
La dirección es uno de los procesos de gobernanza de la seguridad de la información. Incluye planificar, establecer y revisar normas y procedimientos de políticas, y evaluar el cumplimiento por parte del personal de las limitaciones establecidas.
El monitoreo es uno de los procesos de seguridad de la información. Son las actividades de gestión las que garantizan la disponibilidad, integridad, autenticación y confidencialidad de los sistemas y redes, así como también verifican que los empleados estén utilizando adecuadamente esos sistemas y redes de una manera que sigue políticas de seguridad.
La comunicación es la clave cuando se trata de procesos de Gobernanza de la Seguridad de la Información. Se le ha confiado la tarea de mantener segura su empresa y sus diversos activos, pero no puede ser un proceso aislado.
Ayuda a impulsar nuestro comportamiento de una manera positiva que funcione para nosotros.
& Nuestra cultura.
La gobernanza de la seguridad de la información debe garantizar que las medidas de seguridad de la información sean sólidas e integradas. El estándar establece seis principios de alto nivel “orientados a la acción” para la gobernanza de la seguridad de la información. Esto incluye lo siguiente:
Las preocupaciones sobre la tecnología de la información o la ciberseguridad pueden penetrar el marco y las funciones de la organización. En todos los niveles de gestión, seguridad de la información debe combinarse con la tecnología de la información (TI) y otras funciones. La alta dirección debe garantizar que la seguridad de la información cumpla con los intereses estratégicos generales de la empresa y debe crear responsabilidad en toda la organización.
La gobernanza de la seguridad, incluida la distribución de recursos y la presupuestación, debe guiarse por el apetito de riesgo de una organización, que a su vez debe estar influenciado por un enfoque basado en el riesgo que tenga en cuenta: pérdida de ventaja competitiva, preocupaciones regulatorias y de responsabilidad, retrasos operativos, daño a la reputación, y pérdida financiera.
Se aseguran que los Los riesgos de seguridad de la información se analizan adecuadamente. antes de emprender nuevas operaciones, como inversiones, adquisiciones, fusiones, introducción de nuevas tecnologías, acuerdos de subcontratación y contratos con proveedores externos. Además, incorporar seguridad de la información en procesos internos de la agencia, como gestión de proyectos, adquisiciones, gestión financiera, cumplimiento legal y regulatorio y gestión de riesgos organizacionales. La alta dirección debe desarrollar un enfoque de seguridad de la información que esté alineado con los objetivos de la organización, lo que significa que las necesidades de seguridad de la información de la agencia y la organización sean consistentes.
Los requisitos externos incluyen leyes y regulaciones requeridas, estándares de certificación y obligaciones contractuales. Los criterios internos son subconjuntos de los objetivos y prioridades generales de una organización más amplia. Las evaluaciones de seguridad independientes son el método generalmente acordado para establecer y rastrear la conformidad. La alta dirección debe garantizar que las prácticas de seguridad de la información cumplan satisfactoriamente con los estándares internos y externos examinando auditorías de seguridad independientes.
Debe haber coordinación y alineación entre las diferentes partes interesadas en el SGSI. Para lograr un rumbo coherente para la seguridad de la información, la alta dirección debe fomentar y facilitar la colaboración de las tareas y actividades de todos los afectados por el SGSI. Además, prueba de instrucción de seguridad, preparación, y programas de sensibilización debería ser provisto. Responsabilidades de seguridad de la información deben incorporarse a los puestos del personal y otras partes interesadas, y todos deben asumir sus responsabilidades para contribuir a la eficacia del SGSI.
El éxito de la seguridad se mide no sólo en términos de eficacia y confiabilidad, sino también en términos de sus efectos en las metas y objetivos generales de la empresa. La alta dirección a cargo del gobierno debería incluir revisiones periódicas de un esquema de medición del desempeño para seguimiento, auditoría y mejora que traduzca la seguridad de la información en un desempeño empresarial óptimo.
Una sesión práctica adaptada a tus necesidades y objetivos.
El documento ISO 27014 proporciona directrices sobre los principios, objetivos y procedimientos de gobernanza de la seguridad de la información que las organizaciones deben utilizar para evaluar, dirigir, monitorear y comunicar los procesos relacionados con la seguridad de la información dentro de la organización.
Al igual que los demás estándares ISO27k, es “adecuado para todo tipo y tamaño de organizaciones”, especialmente aquellas en las que el SGSI cubre toda la organización o sólo un subconjunto de ella, o donde un único SGSI se extiende a varias empresas (como dentro de una misma empresa). estructura corporativa).
Una gobernanza adecuada de la seguridad de la información garantiza que sea coherente y apoye los objetivos de la empresa identificados en las estrategias y políticas.
ISO 27014 pone un énfasis considerable en los componentes de gobernanza de ISO/IEC 27001 y establece objetivos de gobernanza dentro de este marco. Cubre la incorporación de actividades de gobernanza de la seguridad de la información con otras funciones y objetivos de gobernanza. ISO 27014 especifica además los requisitos y expectativas del órgano rector de un SGSI ISO27k.
ISO/IEC 27014:2020 está dirigida a las siguientes audiencias:
Este documento es aplicable a todo tipo y tamaño de organizaciones.
En ISMS.online, le facilitamos la documentación de su Gobernanza de Seguridad de la Información para que esté en línea con el estándar ISO 27014. Le proporcionamos una interfaz de gestión de información lógica, utilizable y basada en la nube que ayudará a su organización a verificar sus procesos de gobernanza de seguridad de la información y su progreso con respecto al estándar ISO 27014.
Nuestra plataforma basada en la nube le permite acceder a todos sus recursos SGSI en un solo lugar. Contamos con un equipo interno de expertos en seguridad de la información que pueden brindarle orientación y responder preguntas para ayudarlo en su camino hacia la implementación de ISO 27014 para que pueda demostrar su dedicación a las mejores prácticas de gobernanza de la seguridad de la información. Llame a ISMS.online al 44 0 1273 para obtener más información sobre cómo podemos ayudarle a obtener la certificación ISO 27001.
Reserve una sesión práctica personalizada según sus necesidades y objetivos.
Desde la migración, hemos podido reducir el tiempo dedicado a la administración.
Colabora, crea y demuestra fácilmente que estás al tanto de tu documentación en todo momento
Más información
Aborde sin esfuerzo amenazas y oportunidades e informe dinámicamente sobre el rendimiento
Más información
Tome mejores decisiones y demuestre que tiene el control con paneles, KPI e informes relacionados.
Más información
Simplifique el trabajo de acciones correctivas, mejoras, auditorías y revisiones de gestión
Más información
Ilumine las relaciones críticas y vincule elegantemente áreas como activos, riesgos, controles y proveedores.
Más información
Seleccione activos del Banco de Activos y cree su Inventario de Activos con facilidad
Más información
Integraciones listas para usar con sus otros sistemas comerciales clave para simplificar su cumplimiento
Más información
Agregue claramente otras áreas de cumplimiento que afecten a su organización para lograr aún más
Más información
Involucrar al personal, proveedores y otras personas con un cumplimiento dinámico de extremo a extremo en todo momento
Más información
Gestionar la debida diligencia, contratos, contactos y relaciones a lo largo de su ciclo de vida.
Más información
Mapee y gestione visualmente las partes interesadas para garantizar que sus necesidades se aborden claramente
Más información
Fuerte privacidad por diseño y controles de seguridad para satisfacer sus necesidades y expectativas
Más informaciónTenemos todo lo que necesitas para diseñar, construir e implementar tu primer SGSI.
Le ayudaremos a sacar más provecho del trabajo de seguridad de la información que ya ha realizado.
Con nuestro modelo de plataforma donde puedes construir el SGSI su organización realmente necesita.
El 100% de nuestros usuarios obtienen la certificación ISO 27001 por primera vez