Seguritecnia 372

▪ Se garantizan los controles internos, los controles de requisitos de gestión corporativa y de continuidad de la actividad de negocio. ▪ Se demuestra el cumplimiento de leyes y normativas que se apliquen a la organización. ▪ Ofrece interesantes ventajas compe- titivas al mostrar a los clientes que la seguridad de su información es pri- mordial, promoviendo a su vez la con- fianza en las relaciones con terceros. ▪ Reduce los riesgos estableciendo un marco de gestión de la seguridad. ▪ Demuestra el compromiso de la cúpu- la directiva de la organización con la seguridad de la información. S ▪ La gestión de activos. ▪ La seguridad ligada a los recursos humanos. ▪ La seguridad física y ambiental. ▪ La gestión de las comunicaciones y de las operaciones. ▪ Los controles de acceso a la informa- ción. ▪ La adquisición, desarrollo y manteni- miento de los sistemas de informa- ción. ▪ La gestión de incidentes en la seguri- dad de la información. ▪ La gestión de la continuidad del negocio. ▪ Los aspectos de cumplimiento legal y normativo. Se debe señalar que la única norma a certificar de la serie es la ISO 27001. No así la ISO 27002, que, como hemos comen- tado, tan sólo establece una serie de recomendaciones y buenas prácticas. Tambien hay que tener presente que para lograr la certificación en ISO 27001 no es necesario implantar todos los controles recomendados por la ISO 27002, sino que la organización debe priorizar y seleccionar aquellos con- troles que se alineen con su estra- tegia de riesgo, teniendo en cuenta la capacidad presupuestaria de la organización y sus necesidades de negocio. Por último, creo importante recor- dar las principales ventajas que una cer tificación como la ISO 27001 puede aportar a las organizaciones que decidan abordarla: ▪ Establece un marco de gestión de la seguridad consistente e interna- cionalmente reconocido. La única norma a certificar es la ISO 27001, no así la ISO 27002, que sólo establece recomendaciones Seguridad de la Información