ISO 27001 Procedimientos y responsabilidades para la gestión del tratamiento de los recursos de la información

Inicio / ISO 27001 Procedimientos y responsabilidades para la gestión del tratamiento de los recursos de la información

Norma ISO 27001

ISO 27001 hace que la seguridad sea un componente primordial en la información y en los activos de una organización.

Tanto a la hora de designar responsabilidades, como en cualquier procedimiento útil para la gestión de los recursos destinados al tratamiento de la información, la seguridad debe ser un elemento presente y notable.

Descarga gratis e-book: La norma ISO 27001

Pero ocurre que ésta se hace vulnerable ante cualquier red de comunicación, es decir es un medio por el que se puede acceder a la información pero también es un medio que puede dañarla.

Ante esto, se hace necesario crear procedimientos documentados para la gestión de los recursos dedicados al tratamiento y comunicación de la información. Esto facilitará el cumplimiento y respeto de los requisitos de seguridad definidos.

Estos documentos son aprobados por la dirección y se difundirán entre los trabajadores implicados e involucrados en cada procedimiento.

ISO-27001 ejerce un control sobre el tratamiento de la información, y cada cambio que suceda en ello deberá estar controlado por uno o varios procedimientos preestablecidos para la gestión de cambios. Este control abarca: identificación y registro de los cambios más relevantes, planificación, pruebas, evaluación de riesgos, aprobación de los cambios, comunicación al personal interesado de los cambios, elaboración de procedimientos para dar vuelta atrás y recuperación del sistema a su posición original en caso de que ocurriera algún problema. Lo ideal sería que todos los sistemas de la organización estuvieran sometidos a este tipo de control.

Una parte muy importante de esta gestión de cambios es la planificación, una organización debe planificar y, sobre todo plantearse si el cambio que se dispone a realizar es necesario para la entidad o no. Por ejemplo, la actualización de un software puede poner en peligro al sistema y a su información y no ser muy imprescindible para continuar con el desarrollo del negocio, ahí habría que pensar si es conveniente correr el riesgo o no.

[Tweet «Un medio de comunicación da acceso a la información pero también la hace más vulnerable»]

Una práctica recomendada para reducir riesgos y evitar manipulaciones de la información no autorizadas, consiste en segregar las tareas sobre responsabilidades en la gestión de la información. Esto quiere decir que no es conveniente que solo una persona tenga la responsabilidad de acceder y manipular un sistema sin ningún otro tipo de supervisión. Debe evitarse este habito o al menos intentar que no sea la misma persona la encargada de autorizar y ejecutar la actividad.

Sea cual sea la situación de la organización, ha de utilizarse un registro para una posible supervisión o para futuras auditorías cuando las hubiese.

Como último dato para evitar riesgos a la integridad de la información, es recomendable separar los entornos de desarrollo, pruebas y producción. Ni el entorno de desarrollo debería tener acceso al de producción, ni el de pruebas debería usar los mismos datos que el de producción, aunque sí lo más similar posible.

Cada uno de los usuarios tendrá un identificador privado para establecer responsabilidades y, para aumentar la seguridad, deberían ser distintos para el entorno de desarrollo y para el de pruebas.

En resumen, para consolidar la presencia y funcionamiento de ISO27001 en una organización y crear responsabilidades y procedimientos para la gestión de los recursos de tratamiento de la información es necesario:

  • Mantener y documentar los procedimientos operacionales que aparecen en la política de seguridad.
  • Crear responsabilidades y procedimientos de gestión para poder desarrollar un control satisfactorio de los cambios en software y equipos.
  • Organizar responsabilidades y procedimientos de gestión para que aporte a la organización una respuesta ordenada, rápida y eficaz a las incidencias en materia de seguridad.
  • Instaurar una política de segregación de tareas en cuanto a las responsabilidades en la gestión de la información.
  • Separar entre sí los recursos de desarrollo, pruebas y producción para que la organización no se encuentre con problemas operacionales y cambios no previstos ni deseados.

Sistema de Gestión de Riesgos y Seguridad

Tiene más información sobre los Sistemas de Gestión de Riesgos y Seguridad, como el derivado de ISO 27001, en el siguiente link: https://isotools.org/normas/riesgos-y-seguridad/

cta 27
Nueva llamada a la acción

¿Desea saber más?

Entradas relacionadas

Profesionalizar PYME Sin Complicaciones
Profesionalizar PYME sin complicaciones al implantar un sistema de calidad
21 abril, 2026

Profesionalizar PYME sin complicaciones exige ordenar procesos, reducir errores y ganar confianza del cliente, y la norma ISO…

Ver más
Cómo Dejar De Apagar Fuegos Y Gestionar Mejor
Cómo dejar de apagar fuegos y gestionar mejor con ISO 9001:2026
20 abril, 2026

Muchas organizaciones viven apagando urgencias y retrasando proyectos clave, pero un sistema de gestión basado en ISO 9001…

Ver más
Coste De Errores Por Falta De Protocolos
No calidad: Coste de errores por falta de protocolos
17 abril, 2026

El coste de errores por falta de protocolos se traduce en reprocesos, reclamaciones y pérdida de negocio, pero…

Ver más
Profesionalizar Empresa En Crecimiento
Cómo profesionalizar una empresa en crecimiento con las normas ISO
16 abril, 2026

Profesionalizar empresa en crecimiento exige pasar de la intuición a la gestión basada en procesos, datos y mejora…

Ver más

Volver arriba