Estrategias de seguridad de la información. ISO 27001: el estándar de seguridad cibernética que las organizaciones deben esforzarse en toda la cadena de suministro.


Mark Darby, fundador y director ejecutivo de Alliantist, explora la importancia de ISO 27001: el estándar de seguridad cibernética por el que las organizaciones deben esforzarse.

ISO 27001: el estándar de seguridad cibernética que las organizaciones deben esforzarse por obtener imagen.

La seguridad cibernética debe ser un tema crítico para el negocio, y estándares como ISO 27001 son necesarios.

El panorama actual de seguridad cibernética es de confusión, pero también de reconocimiento de que las cosas deben cambiar.

Esto se demuestra mejor en la introducción de iniciativas del gobierno, como Cyber ​​Essentials . Pero, incluso esto se está revisando y no está claro a qué se moverá a principios de 2020, ¡más confusión!

Ante una crisis de seguridad cibernética, hay una gran cantidad de certificaciones, acreditaciones y modelos que las organizaciones están asesoradas o incluso obligadas a adoptar.

La clave de estos es ISO 27001  , el único estándar del sistema de gestión de seguridad de la información que se puede certificar de manera independiente con un nivel de autoridad. Incluso NIST Cyber ​​Security no tiene esa ‘certificación’, por lo que es otra razón por la que los compradores más inteligentes y poderosos están presionando para obtener la ISO 27001

Además de esto, el panorama regulatorio se está poniendo al día con cosas como la Ley de Protección de Datos actualizada y el GDPR .

“Hacer nada no es una opción”

Los líderes y las empresas están empezando a reconocer que “no hacer nada no es una opción”, pero no están seguros de qué hacer, según Mark Darby , fundador de Alliantist , la compañía detrás de ISMS.online , que ayuda a las organizaciones a demostrar que pueden serlo. de confianza para la gestión de la seguridad de la información.

¿Por qué el cambio de corazón? Darby señala el aumento de los riesgos y las consecuencias de sufrir una violación como la razón principal. Y, debido a esto y regulaciones como GDPR, las organizaciones mucho más grandes, las poderosas en la cadena de suministro, que pueden dictar a sus proveedores lo que hacen, están buscando una certificación reconocida.

“La más fácil es quizás Cyber ​​Essentials, pero eso solo va muy lejos”, dice Darby. “Una norma mejor y más reconocida por las organizaciones más inteligentes que desean ver la seguridad física así como la seguridad cibernética y el desarrollo seguro de productos, en lugar de solo la protección del enrutador, etc., es ISO 27001.”

Esta nueva forma de abordar la seguridad aún está emergiendo y el paisaje aún está fracturado y confuso.

“Alguien tiene que abrir un poco más la cuña para hacer que sea más fácil para las organizaciones que comienzan a reconocer que son conscientemente incompetentes, en lugar de inconscientemente incompetentes”, continúa.

Contacto +52 1 7711871152 Miami Fl / Mexico City

Pasar de lo inconsciente a lo consciente a lo proactivo

Admitir el problema en seguridad cibernética es el primer paso. Entonces se trata de abordar de manera proactiva la brecha de seguridad en una organización.

Abrazar Cyber ​​Essentials es un buen comienzo, pero como Darby ha aludido, no es suficiente.

“Lo que, con suerte, otros como el Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC) y otros harán es que comenzarán a fusionarse en torno a un estándar reconocido, como ISO 27001”, espera. “En lugar de que todas estas organizaciones intenten sacar a la luz su propio sabor de algo, sería mucho mejor si se hicieran esfuerzos para ayudar a las organizaciones en áreas clave.

“Creo que avanzaremos hacia eso a lo largo del tiempo, pero lo que las organizaciones pueden hacer por sí mismas es quizás comenzar a educar a su cadena de suministro”.

Asegure la cadena de suministro

Las fallas en la cadena de suministro son uno de los mayores obstáculos de seguridad que se deben superar.

Es hora de que las organizaciones adopten lo que Darby llama “cliente responsable, programas de proveedores responsables”.

“Imaginemos que usted es un banco grande y que tiene una cadena de suministro muy importante, en lugar de simplemente enviar a la cadena de suministro un contrato que dice que logrará la ISO 27001, ¿por qué no ayudarles a hacerlo? ¿Por qué no equiparlos con la capacidad de hacerlo? ¿Entonces, en realidad están creando capacidad y capacidad en sus cadenas de suministro y haciendo que las cadenas de suministro sean más resistentes? Hay mucho que las organizaciones más grandes podrían hacer para ayudar a las organizaciones más pequeñas, menos ricas y menos experimentadas “.

La colaboración es clave. Siempre lo ha sido. Pero, ha sido frustrado por una reacción natural del negocio para mantener en secreto las mejores prácticas o formas de trabajar.

Ahora se trata de adoptar una forma más inteligente de trabajar y adoptar productos que ayuden a las organizaciones a mirar hacia arriba y hacia abajo en su cadena de suministro; averigüe dónde están los riesgos, las consecuencias y las oportunidades, y luego busque en esa base para decir si alguien ya ha resuelto estos problemas y, de ser así, ¿cómo?

Desafío de costo

Las habilidades de seguridad cibernética son un bien escaso.

Y, debido a esto, los precios de los especialistas se están disparando, lo que significa que hace que el tema de la seguridad sea inaccesible para las organizaciones más pequeñas; No pueden permitirse un apoyo de consultoría muy importante.

Para combatir esto, Alliantist ha preguntado: “¿Cómo codificamos el recurso escaso? ¿Cómo empezamos a utilizar la automatización, el aprendizaje automático y cosas como esas y las convertimos en un producto “, pregunta Darby?

Las organizaciones tendrán que buscar diferentes formas de trabajar para reafirmar la cadena de suministro. Pero, crucialmente, incluso si tuvieran el dinero, los recursos no siempre existen.

Los gobiernos, las empresas, las universidades y otros establecimientos educativos están comenzando a abordar esta escasez de talento y a desarrollar capacidades futuras. Pero, no existe del todo por el momento.

Seguridad cibernética e IoT: escasez de habilidades que obstaculiza el desarrollo

La escasez de habilidades de seguridad cibernética está obstaculizando el desarrollo de Internet de las cosas, según una nueva investigación de Experis. Leer aquí

Estrategias de seguridad de la información.

Al igual que con la mayoría de las iniciativas relacionadas con la tecnología, la seguridad debe comenzar desde arriba; “No solo por las amenazas y riesgos en torno a GDPR y la pérdida de una propiedad intelectual valiosa es un problema grave”, dice Darby.

En el entorno actual de los medios de comunicación, los escándalos de violación y el mal uso de los datos son condenatorios; potencialmente costando millones o billones de la organización dependiendo de su capitalización de mercado. Como resultado, los accionistas y las partes interesadas en general se verán realmente interesados.

Si no se puede confiar en una organización, entonces no saldrá a ganar negocios y no podrá crecer estratégicamente en las áreas que quiere, una consideración clave para los responsables.

Al referirse a su propia experiencia en negocios y estrategia, Darby dijo: “La seguridad de la información estaba afectando mi capacidad de crecimiento, por lo que tuvimos que entrar y entenderlo, porque éramos una empresa de tecnología que brindaba servicios de software que contenían datos valiosos para nuestra empresa. clientes.

“Cualquier persona que sea un procesador de datos en nombre de otra organización, tendrá que demostrar que se puede confiar, y eso es un desafío a nivel de junta. Entonces, si está en un banco grande o en una organización de dos personas, ese es un desafío de crecimiento significativo “.

“No podríamos haber hecho crecer nuestra organización sin tener un enfoque estratégico para la seguridad de la información” – Darby

Liderando la carga de seguridad cibernética

En las organizaciones más grandes, el CEO o la junta directiva no es probable que dirija el cargo en seguridad cibernética.

Sin embargo, esta responsabilidad recaerá sobre los hombros del CIO, CTO o CISO, individuos de ese calibre, dada la importancia del tema.

“A un nivel estratégico en el que se está uniendo a organizaciones en toda la cadena de suministro, y esto afecta a todos los empleados y a todos los proveedores, la alta gerencia debería manejar eso”, dice Darby.

“En las organizaciones más grandes, normalmente te encuentras con el DPO, el CISO, el CTO, el CIO o un patrocinador personal de nivel superior”, continúa. “Pero, en las organizaciones pequeñas y medianas, estás hablando de nivel de director, nivel de propietario, nivel de fundador.

“Es un desafío difícil que no puedes delegar a las personas más jóvenes; necesita ese nivel de liderazgo y compromiso.

“Aunque no es un problema costoso resolver con herramientas como la nuestra, es un problema muy costoso cuando sale mal o no puedes ganar ese nuevo negocio sin él”.

Alliantist, la compañía detrás de ISMS.online es parte de Tech Nation Cyber  , el primer programa de ampliación a escala nacional del Reino Unido para el sector de seguridad cibernética. Está dirigido a empresas tecnológicas ambiciosas y listas para el crecimiento.

Fuente: information-age.com

En C2CSmartCompliance somos especialistas para los procesos de implementación, cumplimiento y auditorías en el Sistema de Gestión de Seguridad de la Información ISO/IEC 27001. Ofrecemos nuestros servicios en todo la republica mexicana.

Mario Meneses

Téc. Gestión del Riesgo TBGIR, CPO, CSSM

mario@c2csmartcompliance.com

+52 1 7711871152

Saludos

1 comentario en “Estrategias de seguridad de la información. ISO 27001: el estándar de seguridad cibernética que las organizaciones deben esforzarse en toda la cadena de suministro. Deja un comentario

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.