0

Las 7 novedades más importantes de la nueva ISO 27001:2013 Gestión de Seguridad de la Información

-

A finales de 2013 salió publicada la nueva versión de la norma ISO/IEC 27001:2013, el estándar por excelencia de la Gestión de la Seguridad de la Información, norma que por ejemplo en España ya cuenta con cerca de 700 certificaciones en diversas empresas, sobre todo del sector TIC y que se ha convertido en una verdadera herramienta para mejoras algunas empresas TI, dando valor en mercado y haciendo que esta certificación se convierta en un auténtico must para algunos proveedores de servicios en la nube.

Fuera de un análisis más profundo, que publicaremos más adelante, y dirigido esta primera entrada a profesionales del sector, podemos resaltar 7 novedades de la nueva versión del estándar, tras las primeras experiencias de formación y consultoría en empresas y con la opinión de diversos profesionales:

  1. El proceso de Análisis de Riesgos más sencillo y real. Uno de los grandes mitos de la ISO 27001 es que Magerit y Pilar son herramientas indispensables. Más bien y como opinión del autor, suponen un riesgo porque muchos análisis de riesgos realizados en empresas certificadas no aportan ningún valor y hasta en ocasiones descuidan las acciones más relevantes que se deben implementar. La versión 2013 nos da la luz a un proceso donde se identifican riesgos y oportunidades, es decir la famosa acción correctiva identificada en auditoría pasa a formar parte del análisis de riesgos, dando pie a otra norma ISO 31500.
  2. El nuevo concepto de LIDERAZGO. No es necesario ni comité ni parafernalias administrativas, lo importante es que alguien en la organización lidere la gestión de la seguridad, el CISO
  3. Lenguaje ITIL. La nueva norma respira conceptos de Operación, Support, Configuración, etc. un lenguaje total de la gestión de servicios que junto al nuevo Anexo SL de las normas de gestión se abandona un poco el famoso espíritu PDCA para dar paso a una gestión por procesos más real en la empresa.
  4. La Comunicación de la Seguridad, un requisito. Dentro del nuevo apartado de Support aparece la comunicación de la seguridad como un hito obligatorio a realizar sobre las partes interesadas del sistema de seguridad. Anteriormente era un punto de la mejora contínua, pero éste era uno de los GAP identificado en muchas auditorías donde ni siquiera se identificaba este punto.
  5. Menos controles, más dominios de control, como la gestión de Proveedores (suministradores) como uno de los focos principales para transmitir seguridad. Lo malo es que cambian completamente los números, haciendo un trabajo de gestión en las actuales declaraciones de aplicabilidad.
  6. La definición de objetivos en base a la Política, con una gestión de indicadores y elementos de gestión.
  7. Gestionar la ISO 27001 como un proyecto, uno de los nuevos controles de la Declaración de aplicabilidad que nos da la pista definitiva que se deben gestionar recursos, personas, tareas, calendarios, etc. Es decir poner la palabra “proyecto” en algo que desde los inicios de las normas ISO le llamaban “sistema de gestión” y que alguno no sabía todavía definir

Continuaremos hablando de la norma ISO 27001:2013 con más detalles.

blogimg-15

0

La formación avanzada y especializada, para los más listos

-

blogimg-14

Hace poco he leído un articulo que me llamó poderosamente la atención y en el cual según mi punto de vista se puede tener las claves para paliar el desempleo y por ende la crisis, soy partidaria de que para que un país salga de una dificultad sus ciudadanos deben tomar una actitud activa en conjunto con la administración y las empresas.

El  IESE Business School y Citi Foundation, la fundación de la entidad financiera Citi con las opiniones de 275 empresarios y de directivos de portales de empleo clasifica a los jóvenes de nuestro país en tres grupos con muy distintas oportunidades de empleo en función de sus estudios y su formación complementaria, aunque me resulta un poco odioso y arriesgado “encasillar” el mercado laboral es necesario a la hora de emprender soluciones, veamos cuales son estos 3 grupos:

    1.  Los achievers, se les define como titulados que demuestran ambición profesional, gran motivación por el trabajo y una muy buena formación. Los achievers no tiene tantos problemas como el resto de jóvenes para emplearse cuando se incorporan al mercado laboral. En este colectivo altamente cualificado estarían incluidos los perfiles científicos, los investigadores, los arquitectos y los ingenieros. Por lo general, graduados en titulaciones universitarias de las ramas técnicas, de ciencias o de salud, con carreras exigentes y complicadas, y buena formación complementaria incluidos los idiomas. Es en este grupo en el que se produce la fuga de cerebros al exterior.
    2. Los averages, es en el que se incluye la gran mayoría de nuestros jóvenes. Gran número de titulados en carreras como Empresariales o Derecho, por ejemplo, sin idiomas, sin experiencia laboral, sin plantearse una carrera profesional internacional, con una formación complementaria escasa y aptitudes limitadas, y que están desanimados por la pésima situación actual del mercado de trabajo. El consejo de los empresarios y directivos para este colectivo es que se animen a salir fuera del país para poder desarrollar las capacidades que ahora no les brinda España y que entiendas su carrera internacional no como una necesidad impuesta, sino como una oportunidad y un reto personal.
    3. Los llamados unskilled, son los más numerosos, aproximadamente la mitad del paro juvenil, y son los mas problemáticos a la hora de insertarse en el mercado de trabajo. Han abandonado los estudios, muchos de ellos para trabajar en la construcción en el pasado boom inmobiliario, se encuentran actualmente desorientados por la ausencia de salidas laborales para ellos y muchas veces son los que tienen menos recursos para afrontar la situación. Suponen todo un reto para las administraciones, que no tienen fácil reorientarles profesionalmente para facilitarles una oportunidad. Los empresarios recomiendan tratarles específicamente, con políticas de empleo adaptadas a sus circunstancias.

En DOITsmart estamos convencidos de que la formación es el arma mas eficaz ante cualquier crisis, ya lo decía Mandela “La educación es el arma más poderosa que puedes usar para cambiar el mundo”.