Blog B-SECURE

Los terceros son una parte importante para nuestras organizaciones.

Cuando hablamos de terceros tendemos a pensar que solo son nuestros proveedores, sin embargo, el espectro se amplía al contemplar también a contratistas, socios de negocio, agentes comerciales y todos aquellos que soportan la operación, brindan servicios, distribuyen y venden nuestros productos o servicios.

Los terceros tienen acceso a la información de la organización y pueden llegar a tratar datos confidenciales o sensibles, son una parte importante para la operación de nuestra organización, sin embargo, también pueden ser una fuente importante de riesgo ya que muchas veces los ciberdelincuentes buscan a través de ellos llegar a sus clientes; es por ello que es tan importante conocer su postura de seguridad así como saber qué esfuerzos y medidas toman para su fortalecimiento.

Recientemente fue publicada la norma ISO 27002:2022, que sustituye la versión del año 2013. Esta proporciona una guía de buenas prácticas para la implementación de controles en el tratamiento de los riesgos de seguridad de la información, orienta y profundiza en los objetivos de control definidos en el Anexo A de la norma ISO 27001:2013, el cual es uno de los estándares más usados de la Organización Internacional para la
Estandarización (ISO) al ser una referencia a nivel mundial para la gestión de la seguridad de la información en cualquier tipo de organización.

En muchas de nuestras organizaciones se están evaluando iniciativas como tercerizar servicios, implementar herramientas de análisis de macrodatos (Big data), migrar a la nube, entre muchas otras. Pero ¿Ha sido analizado el impacto que traerán estos cambios a la protección de datos personales?

Al no tener un plan de continuidad de negocio definido y formalizado, la menor indisponibilidad puede causar problemas serios a la organización. Por esto, es esencial para toda compañía entender como una interrupción imprevista puede impactar su negocio de una manera negativa y sobre todo como responder efectivamente ante esto.

Tanto yo como el resto del equipo de B-SECURE que enfrento el proceso (proyecto) de certificación en ISO 27001:2013 estamos muy contentos por el logro de lo conseguido y por estos días no queremos hablar de otra cosa. Todo este proceso nos dejó muchas enseñanzas que estaremos compartiendo con ustedes próximamente; pero hoy más que enfocarme en lo aprendido quiero compartirles lo que consideramos significa para una organización el desarrollo del sistema de gestión en seguridad de la información (SGSI) y como, desde nuestra propia experiencia observamos y encontramos ciertas ventajas de este proceso y de la obtención de la certificación (que no es necesariamente el objetivo fundamental), para las empresas.