Industria 4.0, digitalización e inteligencia artificial: es difícil imaginar la vida laboral cotidiana sin flujos de datos digitales. No importa lo pequeña o grande que sea su empresa, a qué sector pertenezca, si opera a nivel internacional o no: el tema de la seguridad de la información concierne a todos. La revisión de la norma internacional para sistemas de gestión de la seguridad de la información ISO 27001 debe verse como una oportunidad, especialmente para las pequeñas y medianas empresas (PYME).
Seguridad de la información para PYME
Los tiempos han cambiado. Muchas PYME están creciendo rápidamente. A menudo se encuentran entre los líderes del mercado en sus sectores y tienen la correspondiente necesidad de proteger su experiencia, a veces única, o sus secretos empresariales, pero en principio todos sus datos e información de accesos no autorizados. La palabra clave aquí es "chantaje". Esta protección necesaria puede ser un asunto complejo y casi imposible de controlar sin un enfoque sistemático.
Y, de hecho, los ataques contra las PYME son muy populares entre los ciberdelincuentes. Ya sea mediante envíos masivos de ransomware o ataques selectivos contra empresas individuales. Los ciberataques también se llevan a cabo cada vez más a través de servicios en la nube, que las PYME (tienen que) utilizar con especial frecuencia.
Una encuesta internacional realizada por el proveedor de equipos de red Cisco en 2018 reveló que más del 50% de todas las pequeñas y medianas empresas ya habían sido víctimas de un ciberataque. Sin embargo, esta cifra no refleja el alcance total de los ataques, sino solo aquellos que son admitidos públicamente por las empresas.
Una empresa cuenta como PYME (pequeña y mediana empresa) si no tiene más de 249 empleados y un volumen de negocios anual no superior a 50 millones de euros o un balance general no superior a 43 millones de euros. Esta es la definición dada por la Comisión Europea el 6 de mayo de 2003.
Esta impresión se ve confirmada por un estudio más reciente de 2022 (Gothaer SME Study 2022), según el cual la ciberdelincuencia representa el mayor riesgo para el 48% de las PYME. Cinco años antes, la cifra era solo del 32%. Esto no incluye aquellos riesgos de seguridad de la información que no provienen en absoluto de la red, sino que son de carácter interno, en su mayoría personales, y desempeñan un papel importante en el contexto de la seguridad integral de la información.
Anexo A de la norma ISO 27001: Introducción a la seguridad de la información
Como responsable de la seguridad de la información (ISO) y de la protección de datos, no tiene más remedio que garantizar la seguridad de la información sensible. No se trata sólo de la seguridad de las tecnologías de la información. También hay que tener en cuenta las medidas estructurales, los procedimientos y procesos organizativos, así como los requisitos de personal. El factor humano también desempeña un papel fundamental en la seguridad de la información y debe tenerse en cuenta en consecuencia.
El anexo A de la norma internacional ISO/IEC 27001:2022 ofrece una buena introducción.
DIN EN ISO/IEC 27001:2017-06 - Tecnología de la información - Procedimientos de seguridad - Sistemas de gestión de la seguridad de la información - Requisitos
La norma está disponible en Beuth Verlag.
Loading...
ISO 27001 - Managementsystem für Informationssicherheit
Protejasu información con un sistema de gestión que cumpla las normas internacionales. Obtenga más información sobre los beneficios de una estrategia de seguridad holística según la norma ISO 27001.
Seguridad de la información para PYME - Conclusión
A la luz de los actuales escenarios de amenazas, las pequeñas y medianas organizaciones (PYME), así como las administraciones públicas y las autoridades locales, también deberían implantar un sistema de gestión de la seguridad de la información conforme a la norma reconocida internacionalmente y plantearse la certificación. La ventaja de un sistema de gestión eficaz reside no sólo en su exhaustivo y profundo catálogo de requisitos, sino también -y esto es especialmente interesante para las PYME- en el Anexo A, explícitamente orientado a la práctica, que enumera 93 medidas de referencia (controles) a lo largo de cuatro capítulos en la nueva edición de 2022.
Sin embargo, no sólo ha aumentado la necesidad de que las PYME implanten y certifiquen un SGSI completo conforme a la norma ISO 27001, sino que los requisitos estructurales también han cambiado fundamentalmente en algunos casos: Esto se debe a que hoy en día muchas PYME ya disponen de un sistema de gestión de la calidad certificado de acuerdo con la norma ISO 9001, lo que significa que las bases para un sistema de gestión integrado junto con la norma ISO 27001 ya están establecidas, ahorrando así tiempo, personal y costes.
DQS a su lado
DQS está acreditada por DAkkS (Deutsche Akkreditierungsstelle GmbH) para ISO/IEC 27001.
Esta certificación le da tranquilidad: La calidad de su sistema de gestión implantado ha sido comprobada y confirmada por un organismo externo e independiente. El certificado, reconocido internacionalmente, tiene una validez de 3 años.
Loading...
Whitepaper
ISO 9001 & ISO 27001 – In Zeiten der Digitalisierung
- ¿Cuánto papel necesita la calidad?
- La forma correcta de manejar la información documentada
- Proteger eficazmente la información documentada
- ISO 27001: la base para una digitalización segura
Loading...
Gerne beantworten wir Ihre Fragen
¿Cuáles son los requisitos para la certificación y qué esfuerzo hay que esperar? Descúbralo usted mismo. Sin compromiso y gratuito.
Fundada en 1985 como Deutsche Gesellschaft zur Zertifizierung von Qualitätssicherungssystemen mbH, seguimos llevando la "Q" en nuestro nombre por una buena razón, aunque los sistemas de garantía de calidad de antaño hace tiempo que se han convertido en sistemas de gestión. Con unos 1.800 empleados en todo el mundo, DQS evalúa en un sentido holístico de acuerdo con todas las normas y estándares reconocidos de los principales sistemas de gestión.
Nuestro consejo para usted
La velocidad a la que se distribuye y procesa la información es un reto importante en las organizaciones de hoy en día. La diversidad de la información hace cada vez más difícil identificar la información crucial que es relevante para la organización y su sistema de gestión.
Al mismo tiempo, el uso de medios de comunicación modernos para controlar la información documentada está dando lugar a aspectos completamente nuevos. Por tanto, la disponibilidad, la integridad y la confidencialidad son cada vez más importantes. Sin embargo, a medida que aumenta el grado de disponibilidad, disminuye la seguridad de la información, a menos que se adopten las medidas de protección adecuadas.
Nota: Por razones de mejor legibilidad, utilizamos el masculino genérico. No obstante, la directiva incluye a personas de todas las identidades de género cuando así lo requiera el enunciado.
Newsletter DQS
Manténgase informado, suscríbase a nuestro newsletter.
Autor
André Saeckel
Director de producto en DQS para la gestión de la seguridad de la información. Como experto en normas para el área de la seguridad de la información y el catálogo de seguridad informática (infraestructuras críticas), André Säckel es responsable, entre otras, de las siguientes normas y estándares específicos del sector ISO 27001, ISIS12, ISO 20000-1, KRITIS y TISAX (seguridad de la información en la industria del automóvil). También es miembro del grupo de trabajo ISO/IEC JTC 1/SC 27/WG 1 como delegado nacional del Instituto Alemán de Normalización DIN.
Loading...