| 25 años generando CONFIANZA
Norma ISO 27001: Gestión de la Seguridad de la Información
ISO 27001 es un estándar que establece las directrices para garantizar la seguridad de la información de las empresas. Su versión más reciente, publicada en el año 2013, se puede complementar con las buenas prácticas o controles que se describen en la norma ISO 27002. Es un plus en competitividad e imagen.
¿Qué es la Seguridad de la Información en una empresa?
Las empresas poseen información que por derecho sólo les pertenece a ellas. Se trata de datos que forman parte de la identidad de cada organización o que suponen el material principal con el cual desarrollan sus labores.
Por lo general, dicha información está protegida bajo protocolos de confidencialidad, integridad y reserva. La norma ISO 27001 se creó en 2005 con el ánimo de elaborar un estándar para cubrir una necesidad cada vez más generalizada.
Los avances tecnológicos de las últimas décadas han optimizado múltiples procesos empresariales. Sin embargo, también han traído nuevos retos en materia de seguridad informática, sobre todo tras el auge de Internet.
Aun así, las soluciones no pasan por darle la espalda a estos avances. Por el contrario, se trata de aprovechar tal coyuntura para garantizar la seguridad de la información y los datos que forman parte de la esencia de las organizaciones.
Cómo certificarse con ISO 27001: pasos y recomendaciones
Aplicar la norma ISO 27001 depende del tipo de organización. Algunas, por ejemplo, lo hacen para salvaguardar datos o informaciones relativas a su desempeño, sus labores, sus estados financieros y otros elementos internos.
Otras, sin embargo, requieren de este tipo de acciones para garantizar el buen uso de informaciones relativas a sus clientes, que son el principal activo de su desempeño. Las empresas de telefonía móvil o aquellas que supongan la recolección de datos personales escenifican muy bien este segundo grupo.
ISO 27001 es un estándar que puede aplicarse a cualquier empresa. Veamos cuáles son los pasos esenciales en dicho proceso de certificación:
a) Etapa previa:
En esta fase del proceso, la empresa debe implementar 14 pasos básicos que describe la norma ISO 27001 para poder iniciar el proceso como tal:
– Obtener el apoyo de la dirección en todo el proceso implementación.
– Utilizar una metodología de gestión de proyectos.
– Definir el alcance del Sistema de Seguridad.
– Redactar una política específica.
– Definir una metodología de evaluación de riesgos.
– Redactar el Plan de Tratamiento de Riesgos.
– Definir la forma en que se medirán los avances.
– Implementación de controles.
– Capacitar y formar a los equipos de trabajo.
– Realizar las operaciones diarias descritas en la norma.
– Monitorizar las acciones.
– Realizar una auditoría con personal que pertenezca a la empresa.
– Efectuar una revisión por parte de la dirección.
– Implementar las medidas correctivas pertinentes.
b) Auditoría de revisión:
Tan pronto se solicite a ISO la voluntad de certificarse, un grupo de profesionales externos a la propia organización revisará la documentación requerida en la norma.
c) Auditoría principal:
Una vez se ha verificado que la organización cuenta con la documentación requerida, el grupo de auditores hará una visita a la empresa para confirmar que ésta cumple con los indicadores mínimos establecidos en la norma ISO 27001. Si no es así, se le dará un plazo para aplicar los correctivos necesarios y volver a presentarse ante los auditores. Pero si la respuesta es positiva, la empresa quedará certificada.
d) Revisiones periódicas:
Luego de que se ha emitido el certificado, la certificadora realizará durante los siguientes tres años una serie de auditorías periódicas para monitorizar los esfuerzos de la organización en materia de Seguridad de la Información. La idea es que los controles se mantengan y no se minimicen los esfuerzos durante ese período.
Implicaciones de la Gestión de Riesgos y Seguridad
La Seguridad de la Información se enmarca dentro de la Gestión de los Riesgos y la Seguridad, una categoría que engloba todos aquellos esfuerzos de las empresas por identificar las amenazas a las que están expuestas en el desempeño de sus tareas. Es un elemento estructural y que debe asumirse como valor corporativo.
La plataforma tecnológica ISOTools permite una eficaz y sencilla adaptación a la norma ISO 27001. Optimiza la información complementaria sobre buenas prácticas y ayuda a empalmar el proceso con normativas similares.
¿Desea saber más?
Entradas relacionadas
La gestión de investigaciones internas en las empresas es clave para proteger la integridad empresarial, prevenir los riesgos y fortalecer la...
La ISO 19011 es una norma internacional fundamental que establece directrices para la auditoría de sistemas de gestión. Esta norma...
La norma ISO 19011 es una guía para hacer auditorías de sistemas de gestión, a través de un marco claro y conciso para planificar y...