¿Hablamos?

 

Contacto

ISO 27001, ¿qué es y para qué sirve?

 

La ISO 27001 es una norma a nivel internacional que describe cómo gestionar la seguridad de la información de una empresa. Ha sido emitida por la Organización Internacional de Normalización (ISO) y responde a unos estándares que pueden implementarse en cualquier tipo de organización independientemente de su tamaño, su titularidad o de si tiene o no ánimo de lucro.

Todas las empresas pueden obtener su certificado ISO 27001 para demostrar que gestionan la información que obtienen de forma segura. Es más, certificarnos es una gran forma de diferenciarnos y obtener una ventaja competitiva.

En este post os explicamos qué es esta norma internacional, para qué sirve, los costes de implementación para una empresa y cómo obtener tu certificado.

 

¿Qué es la ISO 27001?

Esta normativa consiste en una serie de estándares para garantizar la seguridad de la información reconocidos a nivel mundial. Ha sido redactada por especialistas en el tema y nos ofrece una metodología que puede implementarse en todo tipo de empresas. La ISO 27001 ha sido desarrollada con el objetivo de poder adaptarse a empresas con cualquier volumen de trabajadores (desde una persona). Del mismo modo, puede implementarse tanto en organizaciones públicas y privadas; con y sin ánimo de lucro.

Se fundamenta en tres pilares básicos:

  • Proteger la confidencialidad.
  • Asegurar la integridad de la empresa.
  • Garantizar la disponibilidad de su información.

Ofrece una metodología, basada en la prevención de riesgos, que nos permite detectar todos los problemas que podrían afectar a la seguridad de la información. Y, además, incluye recomendaciones para evitar que estos se produzcan. O, en el caso de que no se hayan evitado, nos da pautas para mitigar o tratar los daños.

 

Secciones de la normativa

La ISO 27001 se divide en 11 secciones y un Anexo adicional. De estas, las cuatro primeras (de la 0 a la 1) son introductorias mientras que desde la cuarta a las décima el cumplimiento es obligatorio. Es decir, todas las secciones y departamentos deben implementarlas si quieren cumplir la norma. Por otro lado, el Anexo incluye unos controles que se aplican solo si es necesario.

Detallamos en qué consiste cada sección:

  • Introducción Sección 0: Explica el objetivo de la normativa y cómo se compatibiliza con otras normas.
  • Contexto – Sección 1: Detalla cómo puede aplicarse a cualquier tipo de empresa.
  • Pautas – Sección 2: Ofrece referencias normativas.
  • Lenguaje – Sección 3: Incluye términos y definiciones.
  • Requerimientos – Sección 4: Inicia una primera fase de la planificación, en ella se definen los requerimientos para definir el contexto de la organización.
  • Dirección – Sección 5: Define cuáles son las responsabilidades de la dirección y cómo establecer sus roles.
  • Prevención – Sección 6: Ayuda a definir los requerimientos para evaluar riesgos y cuál debe de ser su tratamiento. Incluye la Declaración de aplicabilidad, el plan de tratamiento de riesgos y permite definir los objetivos de seguridad de la información.
  • Disponibilidad – Sección 7: Define requerimientos sobre disponibilidad de recursos, competencias, comunicación y control de registros y documentos.
  • Análisis – Sección 8: Explica cómo implementar la evaluación y tratamiento de riesgos.
  • Motorización – Sección 9: Es la fase de revisión, define requerimientos para monitorizar, medir, analizar y evaluar las auditorías internas.
  • Continuidad – Sección 10: Consiste en la fase de mejora, destinada a la corrección y tratamiento de errores y la mejora continua.
  • Anexo A: Un catálogo de 114 controles.

 

¿Para qué sirve la ISO 27001?

Aplicar este estándar normativo tiene diferentes objetivos. Para empezar, nos ayuda a cumplir con todos los requerimientos legales en materia de protección de datos y seguridad de la información y a tener un control sobre su aplicación.

Por otro lado, puede ser un punto diferenciador frente a nuestros competidores a ojos de nuestros clientes. Ya que, lógicamente, a estos les interesa que su información se trate de forma segura.

Del mismo modo, a largo plazo, permite ahorrar costes. Nos ayuda a prevenir que se produzcan incidentes en nuestra seguridad y el consiguiente desembolso económico para solucionarlos.

Por último,  mejorara la organización dentro de las distintas áreas de la empresa. Implementar un proceso estandarizado evitará que tengamos que hacer una pausa y coordinarnos para definir los procesos y procedimientos a seguir.

 

¿Cuáles son los costes de implementación?

Aunque aplicar esta normativa nos ofrece las ventajas que acabamos de describir, toda implementación supone asumir ciertos costes. Por supuesto, estos variarán en función de diferentes aspectos como el tamaño de la organización, la madurez del sistema de seguridad que tengamos, la rapidez con la que queramos conseguir esta certificación o los recursos que queramos destinar al proceso.

Os detallamos cuáles son los costes de implementar la ISO 27001 a continuación:

  1. Costes de formación: Es decir, para certificarnos tendremos que aprender cómo se hace. Para eso nuestros recursos internos tendrán que destinar tiempo a formarse y tendremos que destinar tiempo o presupuesto para analizar el estado de nuestra organización; ya sea destinando a personal interno o con la ayuda de una consultora.
  2. Ayuda externa: Por lo general necesitaremos la ayuda de un experto en la ISO que nos guíe durante todo el proceso.
  3. Tecnología: Necesitaremos contar con el entorno adecuado para poder aplicar esta normativa o, incluso, optar por herramientas que agilicen el proceso.
  4. Tiempo: El equipo va a tener que destinar parte de su tiempo a formarse y en identificar y mitigar los riesgos de nuestra seguridad.
  5. Certificación: El propio certificado cuenta con un coste que varía en función de la región o el país en el que se aplique.

 

¿Cómo obtener el certificado ISO 27001?

Podemos obtener dos tipos de certificados, uno destinado a las organizaciones y otro pensado a título personal. Las primeras tendrán que demostrar que cumplen con todos los requerimientos de la norma mientras que los profesionales tendrán que superar un examen.

 

Para organizaciones

Si quieres obtener este certificado para tu organización tendrás que demostrar que cumples con todos los puntos obligatorios de la norma (del cuarto al décimo). Para ello, tendrás que superar una auditoría de certificación que cuenta con los siguientes pasos:

  1. Revisión de la documentación: En el primer paso de la auditoría los encargados revisaran toda la documentación relativa a la implementación de la norma.
  2. Auditoría principal: Los auditores realizan una prueba in situ en la que comprobarán que todas las actividades de la organización cumplen con la normativa.
  3. Supervisión: Tras la emisión del certificado y durante sus tres años de vigencia se realizarán visitas periódicas de los auditores para comprobar que todo sigue en orden.

 

Para profesionales

Existen diferentes tipos de cursos para profesionales que nos permiten obtener un certificado ISO. En todos los casos, para superarlos tendremos que realizar un examen. La mayoría son de corta duración, desde dos o tres días hasta cinco. Por lo general, están orientados a formarnos para que podamos realizar auditorias internas dentro de nuestra organización aunque, también, podremos encontrar cursos enfocados a auditores y consultores.

 

Agenciadeseo

En Agenciadeseo aconsejamos cumplir con todos los requerimientos para asegurar el tratamiento adecuado de nuestra información. Podemos asesorarte sobre cómo aplicar todas las medidas de seguridad y certificados que necesites. Del mismo modo, también podemos ayudarte a gestionar momentos de crisis y ofrecerte una solución en materia de reputación. ¡Descubre todo lo que podemos hacer por ti!

3 + 3 =

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies

ACEPTAR
Aviso de cookies