This post is also available in: Português English Español
La ISO 27001 es una norma muy relevante para las empresas que buscan la certificación ISO, ya que ésta es responsable de especificar cómo se debe implementar un Sistema de Gestión de Seguridad de la Información (SGSI) en entornos corporativos.
En este artículo presentaremos breve historia sobre la norma ISO 27001, sus principales características y alcance, además de informaciones generales sobre el proceso de certificación.
Historia
La historia de la norma ISO 27001 hace referencia al British Standard 7799, publicado en 1995. Después de sufrir una serie de revisiones, este patrón originó la norma conocida como ISO/IEC 17799.
Con una segunda parte del BS 7799 referente a la implantación de un Sistema de Gestión de Seguridad de la Información y publicada en 1999, se creó la norma que hoy se conoce como ISO 27001. Esta norma se estableció en 2005, con la publicación de una nueva revisión hecha en 2013 para incorporar las adaptaciones necesarias, ya que la computación en la nube, por ejemplo, pasó a ser una realidad del universo TI.
Principales características
Análisis de riesgo
La norma exige que la empresa haga un análisis de riesgos de seguridad periódicamente y siempre que se propongan o se establezcan cambios significativos. Para que este análisis se haga de la manera correcta, es necesario establecer criterios de aceptación de riesgo así como la definición de cómo esos riesgos serán medidos.
También se deben evaluar las posibles consecuencias de los riesgos identificados, la probabilidad de que ocurran y sus niveles.
Compromiso de alta dirección
La norma también exige que la alta dirección demuestre compromiso con el SGSI, además de ser esa parte de la empresa ella misma la responsable por la seguridad de la información. Los líderes son también responsables de asegurar que todos los recursos para la implantación del sistema estén disponibles y asignados correctamente, y además tienen la obligación de orientar a los colaboradores para que el sistema sea verdaderamente eficiente.
Definición de objetivos y estrategias
Durante la planificación, la empresa necesita tener muy claro cuáles son sus objetivos de seguridad y cuáles serán las estrategias establecidas para alcanzar esos objetivos. Los objetivos, sin embargo, no pueden ser genéricos, deben ser mensurables y tener en cuenta los requisitos de seguridad.
Recursos y competencias
La organización también debe garantizar que todos los recursos necesarios no sólo para la implementación, sino que también para el mantenimiento del sistema estén disponibles. Además, es necesario establecer cuáles son las competencias necesarias y garantizar que las personas responsables sean suficientemente calificadas, incluso con documentación comprobatoria.
Documentación de la información
La norma exige que toda la información sea apropiadamente documentada, con identificación, definición y formato. La información debe actualizarse siempre que haya cambios en las definiciones iniciales del proyecto, siendo necesario que se aprueben los cambios antes de que sean formalizados y consolidados.
Seguimiento de rendimiento
En ese momento, los objetivos definidos en pasos anteriores deben ser medidos y acompañados, a través de la aplicación de indicadores que posibiliten análisis de la eficiencia del sistema.
Mejora continua
Una vez que se alcancen los objetivos en cuanto al sistema, es necesario que la empresa implemente y mantenga un sistema de mejora continua a fin de corregir no conformidades. Esta mejora se puede llevar a cabo, por ejemplo, usando análisis críticos por la dirección y también con auditorías internas.
¿Cuáles son las ventajas de recibir la certificación ISO 27001?
Por ser una certificación internacionalmente conocida, la ISO 27001 trae ventajas no sólo para la gestión de la información en sí, sino también para la empresa como un todo. Las principales ventajas incluyen:
- Reducción del impacto y de la ocurrencia de riesgos por su identificación previa;
- Aumento de la confiabilidad respecto a la empresa, ya que los clientes saben que sus datos están seguros;
- Mejor adaptación a cambios, ya que toda la información está documentada y la gestión optimizada;
- Mejora de la organización interna;
- Atención a estándares exigidos por clientes y por la ley;
- Ganancia de ventaja competitiva en general.
¿Qué es necesario para obtener la certificación?
Para la certificación, es necesario que la empresa haga inmersión en el alcance de la norma ISO e inicie el proceso de adaptación de su estructura, buscando adecuarse a las exigencias previstas en la norma. Una gran parte de las empresas optan por la contracción de consultorías especializadas, para auxiliar en el proceso de certificación.
- Alcance del SGSI;
- Política de seguridad, gestión y tratamiento de riesgos;
- Comprobación de competencia de las personas responsables del sistema;
- Planificación operativa, incluso de mejora continua;
- Documentaciones que dejen claro las políticas de confidencialidad, leyes relevantes, procedimientos en situaciones relacionadas con la gestión de información y más;
- Decisiones documentadas sobre el tratamiento de riesgos;
- Resultados de auditorías internas realizadas después de los cambios iniciales;
- Comprobación de la inexistencia de no conformidades relacionadas con la norma, con cambios realizados después de los resultados de las auditorías internas.
Tras la implantación del SGSI, la empresa puede iniciar la fase de audiciones para la certificación. Normalmente el proceso de audición se inicia con la solicitud de pre-auditoría. La pre-auditoría sigue los mismos pasos de la Auditoría de Certificación, incluyendo reunión de apertura, investigación, relato de las no conformidades y reunión de cierre. Es importante resaltar que la solicitud de pre-auditoría es facultativa, quedando a criterio de la empresa su ejecución.
Las auditorías para la certificación del SGSI se realizan en dos etapas, iniciándose con la auditoría de documentación, también conocida como fase 1, y continuada con la auditoría de certificación, conocida como fase 2, cada una con alcance específico.
¿Su empresa busca certificarse junto a la norma ISO 27001? Comparta con nosotros su experiencia y contribuya al enriquecimiento de este post. ¡No deje de comentar!
This post is also available in: Português English Español