La ISO 27001 es una norma muy relevante para las empresas que buscan la certificaci\u00f3n ISO, ya que \u00e9sta es responsable de especificar c\u00f3mo se debe implementar un Sistema de Gesti\u00f3n de Seguridad de la Informaci\u00f3n (SGSI) en entornos corporativos.<\/p>\n
En este art\u00edculo presentaremos breve historia sobre la norma ISO 27001, sus principales caracter\u00edsticas y alcance, adem\u00e1s de informaciones generales sobre el proceso de certificaci\u00f3n.<\/p>\n
La historia de la norma ISO 27001 hace referencia al British Standard 7799, publicado en 1995. Despu\u00e9s de sufrir una serie de revisiones, este patr\u00f3n origin\u00f3 la norma conocida como ISO\/IEC 17799.<\/p>\n
Con una segunda parte del BS 7799 referente a la implantaci\u00f3n de un Sistema de Gesti\u00f3n de Seguridad de la Informaci\u00f3n y publicada en 1999, se cre\u00f3 la norma que hoy se conoce como ISO 27001. Esta norma se estableci\u00f3 en 2005, con la publicaci\u00f3n de una nueva revisi\u00f3n hecha en 2013 para incorporar las adaptaciones necesarias, ya que la computaci\u00f3n en la nube, por ejemplo, pas\u00f3 a ser una realidad del universo TI.<\/p>\n
La norma exige que la empresa haga un an\u00e1lisis de riesgos de seguridad peri\u00f3dicamente y siempre que se propongan o se establezcan cambios significativos. Para que este an\u00e1lisis se haga de la manera correcta, es necesario establecer criterios de aceptaci\u00f3n de riesgo as\u00ed como la definici\u00f3n de c\u00f3mo esos riesgos ser\u00e1n medidos.<\/p>\n
Tambi\u00e9n se deben evaluar las posibles consecuencias de los riesgos identificados, la probabilidad de que ocurran y sus niveles.<\/p>\n
La norma tambi\u00e9n exige que la alta direcci\u00f3n demuestre compromiso con el SGSI, adem\u00e1s de ser esa parte de la empresa ella misma la responsable por la seguridad de la informaci\u00f3n. Los l\u00edderes son tambi\u00e9n responsables de asegurar que todos los recursos para la implantaci\u00f3n del sistema est\u00e9n disponibles y asignados correctamente, y adem\u00e1s tienen la obligaci\u00f3n de orientar a los colaboradores para que el sistema sea verdaderamente eficiente.<\/p>\n
Durante la planificaci\u00f3n, la empresa necesita tener muy claro cu\u00e1les son sus objetivos de seguridad y cu\u00e1les ser\u00e1n las estrategias establecidas para alcanzar esos objetivos. Los objetivos, sin embargo, no pueden ser gen\u00e9ricos, deben ser mensurables y tener en cuenta los requisitos de seguridad.<\/p>\n
La organizaci\u00f3n tambi\u00e9n debe garantizar que todos los recursos necesarios no s\u00f3lo para la implementaci\u00f3n, sino que tambi\u00e9n para el mantenimiento del sistema est\u00e9n disponibles. Adem\u00e1s, es necesario establecer cu\u00e1les son las competencias necesarias y garantizar que las personas responsables sean suficientemente calificadas, incluso con documentaci\u00f3n comprobatoria.<\/p>\n
La norma exige que toda la informaci\u00f3n sea apropiadamente documentada, con identificaci\u00f3n, definici\u00f3n y formato. La informaci\u00f3n debe actualizarse siempre que haya cambios en las definiciones iniciales del proyecto, siendo necesario que se aprueben los cambios antes de que sean formalizados y consolidados.<\/p>\n
En ese momento, los objetivos definidos en pasos anteriores deben ser medidos y acompa\u00f1ados, a trav\u00e9s de la aplicaci\u00f3n de indicadores que posibiliten an\u00e1lisis de la eficiencia del sistema.<\/p>\n
Una vez que se alcancen los objetivos en cuanto al sistema, es necesario que la empresa implemente y mantenga un sistema de mejora continua a fin de corregir no conformidades. Esta mejora se puede llevar a cabo, por ejemplo, usando an\u00e1lisis cr\u00edticos por la direcci\u00f3n y tambi\u00e9n con auditor\u00edas internas.<\/p>\n
Por ser una certificaci\u00f3n internacionalmente conocida, la ISO 27001 trae ventajas no s\u00f3lo para la gesti\u00f3n de la informaci\u00f3n en s\u00ed, sino tambi\u00e9n para la empresa como un todo. Las principales ventajas incluyen:<\/p>\n
Para la certificaci\u00f3n, es necesario que la empresa haga inmersi\u00f3n en el alcance de la norma ISO e inicie el proceso de adaptaci\u00f3n de su estructura, buscando adecuarse a las exigencias previstas en la norma. Una gran parte de las empresas optan por la contracci\u00f3n de consultor\u00edas especializadas, para auxiliar en el proceso de certificaci\u00f3n.<\/p>\n
Tras la implantaci\u00f3n del SGSI, la empresa puede iniciar la fase de audiciones para la certificaci\u00f3n. Normalmente el proceso de audici\u00f3n se inicia con la solicitud de pre-auditor\u00eda. La pre-auditor\u00eda sigue los mismos pasos de la Auditor\u00eda de Certificaci\u00f3n, incluyendo reuni\u00f3n de apertura, investigaci\u00f3n, relato de las no conformidades y reuni\u00f3n de cierre. Es importante resaltar que la solicitud de pre-auditor\u00eda es facultativa, quedando a criterio de la empresa su ejecuci\u00f3n.<\/p>\n
Las auditor\u00edas para la certificaci\u00f3n del SGSI se realizan en dos etapas, inici\u00e1ndose con la auditor\u00eda de documentaci\u00f3n, tambi\u00e9n conocida como fase 1, y continuada con la auditor\u00eda de certificaci\u00f3n, conocida como fase 2, cada una con alcance espec\u00edfico.<\/p>\n
\u00bfSu empresa busca certificarse junto a la norma ISO 27001? Comparta con nosotros su experiencia y contribuya al enriquecimiento de este post. \u00a1No deje de comentar!<\/p>\n","protected":false},"excerpt":{"rendered":"
La ISO 27001 es una norma muy relevante para las empresas que buscan la certificaci\u00f3n ISO, ya que \u00e9sta es responsable de especificar c\u00f3mo se debe implementar un Sistema de Gesti\u00f3n de Seguridad de la Informaci\u00f3n (SGSI) en entornos corporativos. En este art\u00edculo presentaremos breve historia sobre la norma ISO 27001, sus principales caracter\u00edsticas y […]<\/p>\n","protected":false},"author":1,"featured_media":12873,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1005,1017,1019],"tags":[1795,1852],"class_list":["post-4111","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-aprendizaje-descubrimiento","category-estandarizacion-de-seguridad","category-generico","tag-estandar-27001-es","tag-iso-27001-es"],"yoast_head":"\n