En España, certificar el cumplimiento de la norma ISO 27001 de seguridad de la información no es obligatorio para la mayor parte de las empresas, pero sí altamente recomendable para empresas de cualquier tamaño y sector. ¿Por qué?
Piensa por un momento en las consecuencias que tendría para tu empresa una brecha en la seguridad de la información o la pérdida del acceso a datos.
¿Sientes escalofríos? Normal. ¿Qué empresa no depende hoy en día de la información? La importancia de la seguridad de la información es cada vez mayor.
Si no estás en situación de afirmar que en tu empresa se siguen protocolos verificados para garantizar la seguridad de la información, quizá ha llegado el momento de pensar en certificarse.
Descubre en este post la definición de la norma ISO 270001 y también por qué puedes confiar en ella para mantener la seguridad de los datos y otros activos de información de tu empresa.
Qué es la norma ISO 27001: definición
Es la norma que define los requisitos que deben seguir los sistemas de gestión de seguridad de la información en una empresa. La norma ISO 27001 es reconocida en todo el mundo, por lo que los beneficios de obtener esta certificación no tienen fronteras.
La implantación de un sistema de gestión de seguridad de la información (SGSI) implica definir y adoptar políticas, planes y procesos formales para garantizar la confidencialidad, la integridad y la disponibilidad de la información, además de definir las responsabilidades relacionadas y mantener toda la documentación que sirva para respaldar el proceso.
Los requisitos de la norma abordan medidas relativas tanto a las personas como a los procesos que se siguen en la organización y las tecnologías que se utilizan.
La Organización Internacional de Normalización (ISO por sus siglas en inglés) publicó la segunda versión de esta norma en 2013, en sustitución de la de 2005. La ISO 27001 forma parte de la serie de normas ISO 27000, un conjunto de estándares dedicado a la seguridad de la información.
Las normas principales de esta serie son las ISO 27001 y 27002. De la 27003 a la 27007 son guías, requisitos y recomendaciones para implementar o auditar la implementación de un sistema de gestión de la información.
ISO 27001 vs ISO 27002
Es habitual que existan dudas y confusión entre estas dos normas al abordar el tema de la certificación, pero no: no son lo mismo.
La ISO 27001 establece los requisitos para implantar un sistema de SGSI teniendo en cuenta los riesgos identificados durante la evaluación inicial, y considerando la gestión como un proceso sostenido en el tiempo. Es una norma certificable.
Por su parte, la norma ISO 27002 es una guía de buenas prácticas que recoge los instrumentos de control idóneos para la gestión de riesgos de la seguridad de la información.
¿Por qué implementar la norma ISO 27001?
Además del motivo más evidente, que es proteger la seguridad de la información del negocio, dos son las principales razones por las que las organizaciones deciden asumir el esfuerzo de obtener la certificación de esta norma.
Por una parte, en la norma se definen las mejores prácticas para mantener la seguridad de la información. Implementar la norma se reconoce por las autoridades como una evidencia de que se han adoptado medidas para el cumplimiento de la ley de protección de datos, la RGPD.
Por eso, aunque esta certificación no es obligatoria, ayuda a cumplir con otros requerimientos legales que sí lo son.
Por otra parte, las empresas que certifican su sistema de gestión de la información muestran mayor transparencia, por lo que ofrecen mayor confianza a sus clientes y fiabilidad en el mercado. Esto favorece la posición de la empresa en el mercado y le confiere una ventaja competitiva.
Además es compatible con otras normas ISO como la ISO 9001 una de las más extendidas. Esto permite a la empresa demostrar que apuesta por la calidad y la implementación de las mejores prácticas, y tiene un impacto muy positivo sobre su imagen y credibilidad a nivel nacional e internacional.
Cómo conseguir la certificación de la ISO 27000
Para tener éxito en la implementación de los requisitos de la norma, es importante contar con ayuda especializada.
Necesitas un consultor con experiencia en normas ISO, mejor si es especializado en tu sector. Tratar de seguir el texto de la norma sin orientación no resultará, ya que no es lo suficientemente concreto.
El consultor empezará por dar los pasos necesarios para conocer a fondo la empresa y mapear los procedimientos que se siguen en ella, así como hacer un análisis DAFO.
A continuación se establecerá el alcance de la norma, es decir, se definen los procedimientos en los que la norma se va a implementar.
Una vez determinado este marco, se identifican los riesgos calificando sus diferentes grados y se establecen los controles necesarios y la metodología para abordarlos.
El siguiente paso será revisar la aplicabilidad de la norma a través de las 10 secciones que la componen y los 114 controles definidos en ellas. Se trata de determinar cuáles son aplicables a la empresa.
Como último paso antes de solicitar la auditoría de certificación, han de hacerse auditorías internas y externas, para detectar posibles no conformidades y subsanarlas antes de ésta.
Después, el auditor de la empresa certificadora elegida, verificará el sistema de gestión de seguridad de la información para que la empresa pueda obtener el certificado, que tiene una validez de tres años.
La duración del proceso depende del tamaño de la empresa, pero se suele tardar entre tres meses y un año. Conviene además tener presente que el trabajo no termina aquí, ya que este tipo de certificaciones exigen revisiones continuas para evitar incumplimientos de la norma que podrían derivar en la retirada de la certificación.
¿Cuánto cuesta la consultoría para conseguir la certificación ISO 27001?
No existe un precio único, ya que varía según el tamaño de la empresa, el número de centros de trabajo, los riesgos de la actividad… ¡Pidenos presupuesto sin compromiso!
En Redimensiona tenemos años de experiencia en ayudar a nuestros clientes a obtener la certificación ISO 27001 y de otras normas ISO. Consigue ayuda de nuestro equipo experto para ahorrar tiempo en la implantación.