Guía completa para la norma ISO 27001
***Actualizado el 27/04/2021***
Cuando su empresa muestre un certificado ISO 27001, sus clientes sabrán que dispone de políticas para proteger su información de las grandes amenazas actuales.
La serie de certificaciones 27000 cubre la seguridad de la información. Puede optimizar su tiempo y energía centrándose solo en la ISO 27001, posiblemente la norma más conocida y de mayor preparación, diseñada para proteger su red mediante un sistema de gestión de la seguridad de la información (SGSI).
La ISO 27001 está reconocida internacionalmente y es apropiada para cualquier empresa. Verá certificaciones ISO para organizaciones sin ánimo de lucro, grandes corporaciones, empresas de seguridad, pequeños comercios electrónicos e incluso organizaciones estatales y federales. La norma procede de la ISO y la IEC, dos organizaciones que se han hecho un nombre en la estandarización, así como en la seguridad de la información.
La ciberdelincuencia ha crecido en los últimos años y se calcula que en 2020 costará a la economía mundial un billón de dólares.
Si usted se toma las amenazas en serio, la ISO 27001 es la forma inteligente de hacérselo saber a los demás. Aprenda a almacenar los datos de forma segura, a examinar los nuevos riesgos y a crear una cultura que minimice los riesgos buscando la certificación ISO 27001. Descubra lo que necesita saber con la siguiente guía sobre la norma ISO 27001.
¿Qué es la ISO 27001?
La norma ISO 27001 se ha convertido en la norma de seguridad de la información más popular del mundo, con cientos de miles de empresas que han obtenido la certificación. La norma se actualiza periódicamente para garantizar que enseñe a las empresas cómo protegerse y mitigar los riesgos contra las amenazas actuales.
Estas amenazas están entre las que la ISO 27001 le ayuda a planificar:
- Cyberdelincuencia
- Vandalismo de datos
- Errores relacionados con la integración con asociaciones o almacenes no protegidos
- Robo de datos interno
- Pérdida de datos debido a un mal uso o a una mala actuación
- Uso indebido de la información
- Violaciones de la red a través de conexiones de terceros
- Violación de datos personales
- Ciberataques sancionados por el Estado
- Ataques terroristas
- Robos
- Ataques virales
Piense en el protocolo de seguridad como una mentalidad. La ISO 27001 no le ofrece una guía paso a paso para proteger los activos. En cambio, le proporciona un marco para aplicar a cualquier amenaza o riesgo al que se enfrente. Como tal, puede ser difícil de aplicar al principio. Con la formación adecuada, la certificación de esta norma mantendrá a su organización segura durante mucho tiempo.
¿Por qué no hay una lista que seguir?
Las normas ISO ofrecen marcos de referencia en lugar de prescripciones, porque no hay una lista única que sirva para todas las empresas, ni siquiera para todas las divisiones. Es probable que algunos departamentos de su empresa generen información sobre sus clientes todos los días, mientras que otros añaden información sobre sus empleados sólo una vez al mes. Extender la protección a ambos en el mismo horario dejaría la información de los clientes vulnerable durante largos periodos o haría que su departamento de RRHH realizara continuamente un trabajo que no necesita.
No obtendrá una lista, sino una mentalidad. Se le enseñará cómo enfocar la gestión de riesgos en torno a la disponibilidad de los datos en su red y cómo implementar la seguridad de los mismos. Aprenderá a percibir las amenazas, a identificar los riesgos existentes y a abordarlos sistemáticamente.
Puedes seguir el proceso durante el resto de tu carrera, y aprenderás a ampliarlo más allá de los departamentos. A modo de comparación, una lista sólida de normas se centraría probablemente en su departamento de TI y en la protección de los datos cuando entran en sus sistemas. Un marco como la ISO 27001 amplía la protección a nuevas áreas, como los riesgos legales de compartir información, de modo que se evita el intercambio inadecuado a través de políticas en lugar de un cortafuegos.
¿Qué hacer con la ISO 27001?
Lo que tiene que hacer con la norma de seguridad es certificarse. La certificación significa simplemente que una organización independiente examinará sus procesos para verificar que ha aplicado correctamente la norma ISO 27001. Una vez que se compruebe que cumple con la norma, obtendrá una certificación que podrá exhibir en su sitio web, en sus materiales de marketing y en otros lugares.
Para que conozca a fondo la norma ISO 27001, vamos a repasar algunos aspectos básicos sobre su creación, los requisitos especiales de la norma y los fundamentos de la propia norma. Para empezar, lea los antecedentes de los que puede beneficiarse de inmediato.
Por qué necesita la certificación ISO 27001
Obtener la certificación ISO 27001 demostrará a sus empleados y a sus clientes que se puede confiar en usted con su información. En algunos sectores, las empresas no seleccionan socios informáticos que no tengan la certificación ISO 27001, y a menudo es un requisito de los contratos federales o gubernamentales relacionados con los datos.
La principal ventaja de la norma ISO 27001 es que le da la reputación de ser un socio seguro. No se le verá como una amenaza potencial para el negocio por problemas internos o externos. Muchas empresas han descubierto que la certificación ISO 27001 ha supuesto un aumento de los beneficios y la afluencia de nuevos negocios. Algunas incluso informan de que la ISO 27001 puede reducir sus gastos operativos al introducir procesos de revisión en su gestión empresarial.
Algunos de los beneficios que su organización puede esperar cuando introduce protecciones de ciberseguridad visibles para su equipo y sus clientes incluyen:
- Capacidad para diferenciar su servicio de la competencia.
- Marco reconocido para abordar los requisitos legales con el fin de evitar sanciones o tasas.
- Una cultura empresarial consolidada y consciente de las amenazas.
- Menos intrusiones, amenazas e intrusiones de los empleados.
- Optimización del uso de los activos informáticos para protegerse de las amenazas.
- Políticas de seguridad para garantizar un crecimiento sostenible y seguro.
- Enfoque proactivo para gestionar sus activos de TI y su reputación.
- Mejores oportunidades en múltiples sectores empresariales.
Las ciberamenazas están en la mente de todos. Demostrando al mundo que estás preparado para las amenazas, puedes impulsar tu negocio y prevenir los ciberataques.
Sobre la ISO/IEC 27701:2019 y su relación con la ISO 27001
La ISO 27701 es una extensión de la ISO 27001 centrada en la privacidad de los datos. Publicada en 2019, está diseñada para apoyar el cumplimiento del Reglamento General de Protección de Datos (RGPD). La propia ISO 27001 no cubre el GDPR, por lo que la más reciente ISO 27701 actúa como una extensión natural de la norma ISO 27001 completa. La extensión llena los vacíos para permitir que las organizaciones cumplan con el RGPD y otras normas globales de privacidad de datos.
Debe tener ya una certificación ISO 27001 activa o realizar una auditoría de implementación conjunta de ISO 27001 e ISO 27701 para obtener la certificación ISO 27701.
La norma ISO 27701 establece una guía para crear, implementar, mantener y mejorar un Sistema de Gestión de la Información sobre la Privacidad (PIMS). La norma establece los requisitos para los controladores y procesadores de la información personal para garantizar que gestionan la privacidad de los datos de forma responsable.
Acerca de la ISO y la IEC
La certificación ISO 27001 procede de la ISO (Organización Internacional de Normalización) y la IEC (Comisión Electrotécnica Internacional).
Ambas organizaciones se unieron para crear un sistema especial que construye la normalización mundial. La ISO y la CEI cuentan con miembros de todo el mundo que participan en la elaboración de normas. Las normas ISO/IEC se han convertido en las credenciales preferidas por los fabricantes, las empresas de TI y los clientes de todo el mundo.
En la actualidad, la ISO ha publicado más de 19.500 normas sobre tecnología y fabricación.
Comprender los sistemas de gestión de la seguridad de la información
Los sistemas de gestión de la seguridad de la información (SGSI) son una parte fundamental de la norma ISO 27001, ya que la utilizará para establecer y mantener este sistema. Un buen SGSI implica una respuesta sistémica a los nuevos riesgos, lo que le permite crecer y cambiar junto con su empresa.
Cada activo de información debe estar cubierto por su SGSI, y tendrá que realizar comprobaciones cada vez que se añada un nuevo dispositivo o conjunto de datos. Las normas ISO/IEC recomiendan seguir una metodología de Planificar-Hacer-Verificar-Actuar para mantener su SGSI. La ISO 27001 le dará el marco para seguir la metodología:
- Planificar: Diseñar un flujo de trabajo del SGSI para evaluar las amenazas y determinar los controles.
- Hacer: Aplicar el plan.
- Verificar: Revisar la aplicación y evaluar su eficacia.
- Actuar: Realice los cambios necesarios para mejorar la eficacia de su programa.
Una pieza esencial del SGSI es que es un método flexible. La certificación ISO 27001 le dará el punto de partida que puede mantener la seguridad de su empresa. Sin embargo, puede añadirlo como desee. Algunos profesionales aplicarán un enfoque DMAIC de Seis Sigmas, además, para cumplir con otros requisitos que puedan tener.
La obtención de la ISO 27001 le permite crear e implementar el mejor SGSI para su empresa. Adáptese, adopte y crezca acorde a sus necesidades.
Obtenga la aprobación de la dirección
Una de las principales diferencias de la norma ISO 27001 con respecto a la mayoría de las demás normas de seguridad es que requiere la participación de la dirección y su pleno apoyo para una aplicación satisfactoria.
Adoptar un SGSI es más que una decisión de TI: es una decisión de estrategia empresarial. El proceso debe abarcar todos los departamentos y debe funcionar en todos ellos. Un SGSI debe desplegarse en toda su organización, y eso significa que tendrá que hacer frente a las amenazas y los riesgos que podrían empezar en cualquier departamento.
Acerca de la actualización de la norma ISO 27001:2017
En 2017, la ISO y la IEC publicaron una revisión menor de la norma 27001:2013. La actualización de 2017 no introduce nuevos requisitos. En primer lugar, el título oficial de la versión de 2017 es ahora BS EN ISO/IEC 27001:2017. La inclusión de las iniciales "EN" indica que la norma es una norma oficial de la Unión Europea. La norma de 2017 también incluye dos Corrigenda, que se publicaron después de la norma de 2013 y antes de la de 2017. Estos cambios afectan a:
- Cláusula 6.1.3: Este cambio no introduce ninguna norma nueva y simplemente aclara las directrices de 2013. Esencialmente, este cambio de redacción indica que una declaración de aplicabilidad debe incluir cuatro elementos. Debe enumerar los controles necesarios que la organización debe implementar, justificar esos controles, confirmar si ya están implementados y justificar la exclusión de cualquier control.
- Anexo A Cláusula 8.1: Esta cláusula aborda el inventario de activos, y la redacción actualizada aclara que la información se considera un activo y debe ser inventariada en consecuencia.
Norma ISO 27001: 6 etapas para la planificación
La norma ISO 27001 se creó para ofrecerle un enfoque neutral de los riesgos de seguridad desde el punto de vista de la plataforma y de la tecnología. Aprenderá a abordar las preocupaciones de forma individual, así como a formar parte de políticas de gestión de riesgos más amplias, y dispondrá de una guía para crear sus procedimientos de seguridad.
La forma más sencilla de ver todo el proceso es observando sus valores fundamentales: una evaluación y un procedimiento de planificación en seis partes. Enfóquelo desde una perspectiva descendente y encontrará el éxito cuando:
- Defina una política de seguridad para su tecnología/plataforma/dispositivo/empresa.
- Formule un alcance para su SGSI.
- Realice evaluaciones de riesgo basadas en sus resultados del punto1 y 2.
- Identifique los riesgos y crear un plan de gestión.
- Determine las métricas y los controles apropiados que se utilizarán para seguir el progreso cuando se aplique el plan.
- Elabore una declaración de aplicabilidad para orientar los cambios de política.
Estos seis pilares son pasos generales que verá a lo largo de cada uno de los elementos principales de la norma. La norma IS0 27001 le ayudará a mantener este enfoque de alto nivel a través de la documentación y las auditorías, determinando la responsabilidad de la implementación y los controles, el mantenimiento y las actualizaciones continuas, y las actividades basadas en el riesgo para prevenir las infracciones o reaccionar cuando se produzcan.
Aunque usted sea el individuo que busca la certificación, las directrices de la ISO 27001 funcionan mejor cuando toda la empresa está a bordo.
10 secciones para el éxito: Lista de control ISO 27001
La última actualización de la norma - ISO/IEC 27001:2017 - le proporciona 10 secciones que le guiarán a través de todo el proceso de desarrollo de su SGSI. Cada una de ellas desempeña un papel en las fases de planificación y facilita la implantación y la revisión.
Si repasa continuamente la lista de control, tendrá un SGSI sucinto que protegerá su red. Con cada nueva integración, conjunto de datos, portal de clientes y política BYOD, repase la lista de nuevo para mantenerse seguro y protegido.
Estas 10 secciones constituyen la columna vertebral de la norma y la certificación ISO 27001.
Tenga en cuenta que la documentación que obtenga al revisar el pliego incluirá también una introducción y un anexo de referencia.
La introducción y el anexo no están incluidos en nuestra lista porque la documentación de la ISO señala que puede desviarse del anexo, por lo que no necesariamente tendrá que revisar esos pasos durante la planificación del desarrollo y la actualización de su SGSI. El anexo en sí está catalogado como "normativo", por lo que se espera que lo utilice durante la creación inicial de su SGSI.
Las secciones de la nueva norma ISO 20071 son:
Alcance
La norma establece los requisitos y proporciona un contexto de gestión para que usted pueda crear, implementar, mantener y mejorar su SGSI. Aprenderá los requisitos para realizar evaluaciones de sus riesgos de seguridad y cómo gestionarlos en relación con su estructura organizativa.
Referencias normativas
En esta sección se discutirá el resto de la información y los antecedentes que necesitará. Aunque hay una familia de normas en la 27000, la única que se requiere específicamente es la ISO/IEC 27000. Otras normas de esta familia son opcionales y pueden apoyar el desarrollo de su SGSI. Para fines de certificación, no es necesario estudiar o leer nada más allá de las normas ISO 27000 e ISO 27001.
Términos y definiciones
Aquí aprenderá los términos en un breve glosario. Este glosario tiene una especie de obsolescencia planificada y será sustituido por la información proporcionada en la norma ISO 27000. Puede obtener una copia gratuita en línea de la descripción general y el vocabulario de la norma ISO 27000 en la ISO.
Contexto de la organización
Esta sección le enseña cómo tener en cuenta su estructura organizativa y sus necesidades al desarrollar su SGSI. Se le ayudará a construir el alcance del SGSI examinando la interacción de los diferentes departamentos con sus sistemas de TI y definiendo todas las partes que utilizan, proporcionan, ajustan u observan sus datos.
El objetivo es "establecer, implementar, mantener y mejorar continuamente" el SGSI de su empresa.
Liderazgo
La norma ISO 27001 exige específicamente la participación de la alta dirección. Esta sección le muestra cómo involucrar adecuadamente a la dirección de su empresa y qué aprobaciones necesitará para implementar el SGSI. Repase esto cuidadosamente y trabaje con la dirección para poder demostrar claramente su compromiso con el SGSI y asignar responsabilidades para cada sección y proceso individual.
Involucrar a la dirección a través de un plan claramente establecido es una parte importante de la obtención de la certificación ISO 27001.
Planificación
La fase de planificación resultará familiar a todos los desarrolladores, analistas, especialistas en datos y gestores empresariales. Le ayudará a crear un flujo de trabajo para identificar, revisar y tratar los riesgos de seguridad informática. Le proporcionará la estructura necesaria para revisar las amenazas relacionadas con su empresa y los objetivos que ha previsto para su SGSI.
Soporte
Dado que se trata de una política y no de un plan prescrito, el apoyo variará y requiere una amplia comprensión de sus activos y capacidades. La sección de apoyo le ayudará a definir y asegurar los recursos adecuados para gestionar un SGSI desde la implementación hasta las revisiones. Preste mucha atención a su discusión sobre cómo promover el conocimiento de las políticas del SGSI dentro de su organización. Porque la certificación de la norma ISO 27001 le exigirá tener una política amplia que pueda aplicarse en todas las divisiones.
Operación
La evaluación de amenazas es una práctica en continua evolución. El segmento operativo le ayudará a revisar la evaluación de amenazas y a determinar qué tipo de información debe recopilar de su red. Obtenga ayuda para anotar y evaluar las amenazas, gestionar su SGSI y permitir los cambios, y crear una política para documentar los éxitos, los fracasos y las debilidades.
Las auditorías son esenciales para cualquier paradigma de seguridad informática, y la norma ISO 27001 le prepara para una variedad de evaluaciones de amenazas.
Evaluación del rendimiento
Ponga sus nuevos conocimientos en acción con una guía sobre cómo supervisar su red, medir y analizar sus procesos, auditar los cambios y ver cada control de seguridad de TI en relación con sus KPI. Lleve su SGSI a través de todos los departamentos para buscar una implementación adecuada y comprobar las amenazas. También mejorará sus capacidades para mejorar su sistema. Esencialmente, pondrá en práctica todo el segmento de Operaciones con la capacidad de revisar y abordar adecuadamente los cambios.
Mejora
El núcleo de la norma ISO 27001 es mejorar el análisis y la gestión de las amenazas.
La sección de mejora le ayudará a revisar su proceso de auditoría y las propias auditorías. Cuando identifique problemas y preocupaciones a través de la auditoría, podrá determinar cuáles son verdaderas amenazas y necesitan una acción correctiva. Más allá de las amenazas conocidas, el proceso de mejora le ayuda a crear un programa de mantenimiento para mejorar continuamente su plataforma. Aprenderá estrategias de mantenimiento estándar y desarrollará procedimientos para añadir auditorías o revisiones cuando se añadan nuevos datos.
Proceso de certificación ISO 27001
El proceso de certificación de la norma ISO 27001 puede concluirse en un mes y sólo consta de tres pasos principales: solicitud, evaluación y certificación.
1. Solicitud
Es el primer paso en el proceso de certificación. En NQA, gestionamos el proceso de solicitud a través de nuestro formulario de solicitud de presupuesto, que nos proporciona información sobre su organización para que podamos tener una estimación precisa de su negocio y de lo que debe comprobar en una auditoría.
2. Auditoría
Revisaremos su empresa, los procesos y las implementaciones que se anotan en el formulario de Auditoría de Certificación Inicial. Su empresa tendrá que demostrar que su SGSI ha estado implantado y en pleno funcionamiento durante al menos tres meses. También necesitaremos ver un ciclo completo de auditorías internas. La evaluación consta de dos fases:
Fase 1 - Verificar que está preparado para una auditoría y una evaluación.
Durante esta etapa, el auditor:
- Confirmará que su SGSI cumple las normas y las mejores prácticas.
- Determinará el estado de implantación del SGSI.
- Revisará el alcance de la certificación.
- Comprobará que cumple la normativa legal y legislativa de su zona.
- Elaborará un informe en el que se indiquen las áreas de incumplimiento y las áreas de mejora.
- Creará un plan que cubra cualquier acción correctiva.
- Elaborará una evaluación que sirva para iniciar las evaluaciones y pruebas de la segunda fase.
Fase 2 - Ejecutar una auditoría para revisar su SGSI y certificar que funciona correctamente.
En la fase 2, el auditor:
- Realizará auditorías por muestreo para revisar las actividades y los elementos necesarios para la certificación.
- Documentará la capacidad de su SGSI para recopilar información y revisar las amenazas.
- Buscará los incumplimientos y las áreas de mejora.
- Creará un nuevo informe de vigilancia que revise su sistema y ponga fecha a su primera visita de vigilancia anual.
3. Certificación
Su organismo de certificación emitirá la documentación de la norma ISO 27001 y establecerá un programa de auditorías de mantenimiento anual, además de un programa de auditoría de tres años para recibir la certificación.
Al trabajar con NQA, también puede obtener formación y revisiones previas a la certificación para asegurarse de que está preparado cuando comience el proceso de certificación. No dude en preguntarnos sobre las opciones que le ayudarán a prepararse para la certificación ISO 27001 y a mantener los requisitos una vez concedida la certificación inicial.
También recomendamos realizar un análisis de deficiencias antes de iniciar el proceso de certificación. Este análisis le permite determinar la carga de trabajo y los plazos probables para la implantación de un SGSI o la mejora de su actual SGSI que le permitirá conseguir la certificación ISO 27001. El análisis de las deficiencias es muy valioso si tiene previsto contratar a profesionales externos para el desarrollo del SGSI, ya que podrá proporcionarles una comprensión del alcance que necesita.
Parte de todo el proceso de certificación es la elaboración de informes y políticas que deben guiar el desarrollo de su SGSI y sus auditorías internas. Estos pueden ser un buen punto de partida, ya que necesitará realizar auditorías iniciales para generar algunos de estos informes. La propia norma ISO 27001 le proporcionará la información que necesita para entender y desarrollar los documentos requeridos.
Requisitos obligatorios de certificación: Lista de documentos
Para comenzar su viaje hacia la certificación ISO 27001, debe recoger una copia de la documentación ISO del organismo de normalización. No te fíes de los documentos que encuentres en una fuente externa, a menos que también sea un proveedor de certificaciones oficialmente acreditado.
La última versión de la norma ISO 27001 proporciona una lista de documentos requeridos para asegurar que se adhiere a la norma y puede cumplir con su certificación. Algunos de los documentos también se enumeran como opcionales, pero le recomendamos que cree estos documentos opcionales porque se dirigen directamente a las nuevas tendencias de la mano de obra, las nuevas tecnologías y los análisis empresariales importantes.
Los números que aparecen cerca del documento son una referencia para las explicaciones, los requisitos y demás en la documentación de las normas ISO. Para cualquier documento que aparezca con una ubicación en el anexo, tendrá que revisar sus procesos con detenimiento. Estos documentos son necesarios si se aplican a su empresa. Cuando obtenga la certificación, el organismo de certificación externo determinará si necesita alguno de estos documentos, así que revíselos detenidamente y considere la posibilidad de elaborar estos documentos por si acaso.
Documentación para la adhesión y la certificación ISO 27001 |
||
Nombre del documento |
Cláusula |
Cláusulas de anexos |
|
||
Acance del SGSI | 4.3 | |
Política y objetivos de seguridad de la información (puede dividirse en dos documentos | 5.2, 6.2 | |
Metodología de evaluación y tratamiento de riesgos |
6.1.2 | |
Declaración de aplicabilidad | 6.1.3 d | |
Plan de tratamiento de riesgos | 6.1e, 6.2 | |
Informe de evaluación de riesgos |
8.2 | |
Definición de las funciones y responsabilidades de seguridad | 7.1; 13.2.4 | |
Inventario de activos |
8.1.1 | |
Uso aceptable de los activos | 8.1.3 | |
Política de control de acceso | 9.1.1 | |
Procedimientos operativos para la gestión informática | 12.1.1 | |
Principios de ingeniería de sistemas seguros | 14.2.5 | |
Política de seguridad de los proveedores | 15.1.1 | |
Procedimiento de gestión de incidentes | 16.1.5 | |
Procedimientos de continuidad de la actividad | 17.1.2 | |
Requisitos de la empresa: legales, reglamentarios y contractuales | 18.1.1 | |
Registros que debe conservar y mantener |
||
Experiencia, calificaciones, habilidades y certificaciones de los empleados | 7.2, 7.2 | |
Resultados del seguimiento y la medición (líneas de base y nuevas) |
9.1 | |
Procedimientos de auditoría interna | 9.2 | |
Resultados y recomendaciones de las auditorías internas |
9.2 | |
Resultados y recomendaciones del examen de la gestión | 9.3 | |
Resultados y recomendaciones de las acciones correctivas | 10.1 | |
Registros por usuario: actividades, excepciones, eventos de seguridad e indicadores | 12.4, 12.4.3 | |
Documentos opcionales pero recomendados |
||
Procedimientos de control de documentos | 7.5 | |
Procedimientos de gestión de registros | 7.5 | |
Procedimientos de orientación y revisión de la auditoría interna | 9.2 | |
Orientación sobre las acciones correctivas | 10.1 | |
Política Bring your own device (BYOD) | 6.2.1 | |
Política de movilidad y teletrabajo | 6.2.1. | |
Directiva de clasificación de la información | 8.2.1, 8.2.2, 8.2.3 | |
Políticas de contraseñas para el SGSI y los usuarios | 9.2.1, 9.2.2, 9.2.4, 9.3.1, 9.4.3 | |
Política de eliminación y destrucción de datos y residuos electrónicos |
8.3.2, 11.2.7 | |
Requisitos de procesamiento y acceso a la zona segura | 11.1.5 | |
Política de mesas y pantallas despejadas |
11.2.9 | |
Política de gestión del cambio |
12.1.2, 14.2.4 | |
Política de almacenamiento de datos y copias de seguridad | 12.3.1 | |
Políticas de transferencia de datos digitales | 13.2.1, 13.2.2, 13.2.3 | |
Procedimientos de análisis del impacto empresarial y del desarrollo |
17.1.1 | |
Plan de mantenimiento y revisión |
17.1.3 | |
Estrategia de continuidad de negocio |
17.2.1 |
¿Con qué organismo cerrtificarse?
Necesita recurrir a un socio de confianza cuando se trata de su certificación ISO 27001. Busque un organismo de certificación que tenga una sólida reputación en cuanto a auditorías adecuadas, acreditaciones válidas y la capacidad de ayudar a las empresas a alcanzar sus objetivos.
Trabajamos con todos nuestros clientes para asegurarnos de que cuentan con los procesos adecuados para conseguir la certificación. Cuando se detecta alguna carencia en el SGSI, estamos aquí para trabajar con usted en la creación y aplicación de estrategias para subsanar las deficiencias que detectamos. Puede contar con expertos que revisen su proceso y su correcta implementación para que no tenga que preocuparse de crear la plataforma y la mentalidad de la empresa adecuadas para alcanzar sus objetivos.
Reduzca el riesgo al que se enfrenta su empresa y mejore su reputación trabajando con NQA para todos sus preparativos y certificaciones ISO 27001.
Póngase en contacto con nosotros para obtener un presupuesto gratuito mediante nuestro formulario de presupuesto rápido.
Apéndice 1: Cómo hacer frente a las amenazas en la norma ISO 27001
NQA le recomienda que realice la formación y la certificación ISO 27001 porque puede ayudarle a demostrar a sus socios comerciales que está preparado para el mundo digital moderno. Para ayudarle a argumentar ante su dirección -o ante los proveedores que le gusten y deseen adoptar la norma ISO 27001- hemos preparado una breve explicación de cómo la norma ISO 27001 puede ayudarle a abordar algunos de los principales problemas a los que se enfrentan las industrias digitales:
- Garantía de gestión de riesgos: Los clientes exigen una sólida gestión del riesgo. La única manera de demostrar que tiene políticas correctas es mostrar la certificación y la verificación externa. La ISO 27001 demuestra que se toma en serio las ciberamenazas y que está preparado para hacerles frente. La certificación es una clara señal de que tiene las políticas establecidas y de que las actualiza y mejora continuamente para mantener sus datos seguros.
- Violación de datos: Una sola fuga puede hacer caer a un proveedor pequeño o mediano. Las grandes empresas sólo pueden sobrevivir a un puñado, si tienen suerte. Las auditorías ISO 27001 ofrecen una gran protección porque limitan su vulnerabilidad. Las auditorías ponen de manifiesto las posibles infracciones y pueden poner de relieve otros riesgos mediante el uso del marco de riesgos de seguridad que se aprende. La norma ISO 27001 le ayudará a prevenir las infracciones, protegiéndole contra los litigios de los clientes e incluso contra posibles acciones reguladoras.
- Cumplimiento legal: Hemos centrado nuestro trabajo en la seguridad de los datos en todo el mundo. La certificación ISO 27001 puede satisfacer muchas leyes diferentes, y algunas como la Ley de Protección de Datos del Reino Unido tienen un historial probado de aceptación de la ISO 27001. La aplicación de la norma le ayudará a cumplirla. Utilizar a NQA como socio le asegurará tener las comprobaciones legales más relevantes cuando se someta a cualquier auditoría o revisión.
- Lapsos de atención: El núcleo de la norma ISO 27001 es la mentalidad de seguridad. El proceso de auditoría y el desarrollo del SGSI proporcionan un enfoque de la seguridad en toda la empresa y pueden hacer que cada departamento sea responsable. Si se establece quién está a cargo de cada función y quién debe asegurarse de que cada miembro del equipo se adhiere a las políticas, se ha comenzado a aplicar un sólido plan de protección de la ciberseguridad.
- Gestión y acceso a la información: El control de sus datos es vital para su negocio, no sólo para el proceso de certificación ISO 27001. Al aplicar un nuevo enfoque a través de estas auditorías y revisiones, puede determinar las áreas que pueden crear cuellos de botella y lagunas en el acceso, la gestión y la protección de sus datos. Las auditorías sólidas de socios como NQA también le ayudan a determinar las lagunas y los problemas en las áreas en las que sus clientes acceden a sus datos. Esto puede mejorar las relaciones con los clientes y protegerle contra el exceso de responsabilidad.
Éstas son sólo algunas de las punots más importantes que puede conversar con sus clientes y la dirección para demostrar lo beneficiosa que es la certificación ISO 27001. Póngase en contacto con NQA para ayudarle a preparar la certificación de su negocio.
Appendix 2: Glossary
- ISO: Organización Internacional de Normalización - uno de los dos organismos responsables de la creación de la certificación y de la gestión de su autentificación de credenciales.
- SGSI: Sistema de Gestión de la Seguridad de la Información: conjunto de políticas de la empresa que crean un proceso para abordar la seguridad de la información, la protección de los datos y otros aspectos para prevenir la pérdida de datos, los daños, los robos y los errores dentro de una empresa y su cultura, no sólo sus sistemas informáticos.
- IEC: Comisión Electrotécnica Internacional - uno de los dos organismos responsables de la creación de la certificación y de la gestión de su autentificación de credenciales.
- KPI: Indicador clave de rendimiento: una métrica empresarial utilizada para evaluar elementos que son clave para el éxito de un programa o de una organización en su conjunto.
- Auditoría: Proceso sistemático, independiente y documentado para obtener pruebas de auditoría y evaluarlas objetivamente para determinar el grado de cumplimiento de los criterios de auditoría.
- Disponibilidad: Propiedad de ser accesible y utilizable a petición de una entidad autorizada.
- Competencia: Capacidad de aplicar los conocimientos y habilidades para lograr los resultados previstos.
- Confidencialidad: Propiedad de que la información no se ponga a disposición o se divulgue a personas, entidades o procesos no autorizados. Véase 27000 2.61 para ayudar a aplicar esto a las certificaciones.
- Mejora continua: Actividad recurrente para mejorar el rendimiento. Requerirá una definición específica en relación con sus requisitos y procesos individuales cuando se solicite en la documentación de la auditoría.
- Control: Medida que modifica el riesgo. Ver 27001 2.68 para ayuda en la aplicación.
- Corrección: Acción para eliminar una no conformidad detectada durante sus procesos de auditoría y revisión. En comparación con la "Acción Correctiva", considere que ésta es el tratamiento de un síntoma y la "Acción" la curación de una enfermedad.
- Acción correctiva: Acción para eliminar la causa de una no conformidad y evitar que se repita. Este uso señala específicamente la acción que se llevará a cabo para eliminar las causas raíz.
- Información documentada: Información que debe ser controlada y mantenida por usted y asegurada por el medio que utilice para recogerla. Puede ser información en cualquier formato, de cualquier fuente, y requerirá un historial de auditoría cuando los documentos lo soliciten.
- Eficacia: Medida estimada y luego comprobada del grado de realización de las actividades planificadas y del logro de los resultados previstos.
- Dirección ejecutiva: Persona o grupo de personas en las que el órgano de gobierno ha delegado la responsabilidad de la aplicación de las estrategias y políticas para lograr el propósito de la organización. Consulte los apartados 2.29 y 2.57 para obtener ayuda para determinar su órgano de gobierno y el alcance de esta gestión.
- Seguridad de la información: Preservación de la confidencialidad, integridad y disponibilidad de la información. Las propiedades secundarias pueden incluir la verificación de la autenticidad, la responsabilidad, la fiabilidad y otros elementos basados en su SGSI.
- Indicador: Medida que proporciona una estimación o evaluación de atributos específicos derivados de un modelo analítico (con respecto a las necesidades de información definidas).
- Integridad: Propiedad de la exactitud y exhaustividad en las revisiones, auditorías y demás.
- Parte interesada: Persona u organización que puede afectar, se ve afectada o se percibe afectada por una decisión o actividad emprendida por un SGSI, agente, empleado u otra parte que usted autorice.
- Nivel de riesgo: Magnitud de un riesgo expresada en términos de la combinación de consecuencias y su probabilidad. Más explicaciones en los apartados 2.14 (consecuencias), 2.45 (probabilidad del riesgo) y 2.68 (magnitud del riesgo).
- Sistema de gestión: Conjunto de elementos interrelacionados o que interactúan en una organización para establecer políticas, objetivos y procesos para alcanzar dichos objetivos. Los sistemas de gestión pueden referirse a una o varias disciplinas y deben incluir una serie de elementos como funciones, responsabilidades, planificación, operaciones, estructura organizativa, etc.
- Medición: Proceso para determinar un valor. Esto puede parecer vago para algunos, pero es importante porque señala que usted está obligado a determinar las mediciones adecuadas para su implementación del SGSI.
- Métricas: Elementos de su empresa utilizados para evaluar el rendimiento y la eficacia de su SGSI y de los controles de seguridad de la información. Lo verás en la documentación de los auditores, pero no en las propias especificaciones.
- Monitorización: Determinar el estado de un sistema, proceso o actividad. La supervisión se centra en el estado y luego cambia de enfoque cuando se producen eventos.
- No conformidad: Incumplimiento de un requisito definido por el SGSI.
- Objetivo: Resultado estratégico, táctico u operativo que debe alcanzarse. Los objetivos pueden ser muy diferentes, y las auditorías necesitarán una estructura sólida que exprese adecuadamente los objetivos para evaluarlos.
- Externalizar (verbo): Llegar a un acuerdo en el que una organización externa realiza parte de la función o el proceso de una organización. El SGSI debe revisar y especificar todas las opciones de subcontratación. Los controles y las responsabilidades deben ser extremadamente claros cuando se externaliza cualquier elemento.
- Rendimiento: Resultado medible que puede referirse a resultados cuantitativos o cualitativos.
- Política: Intenciones y dirección de una organización expresadas formalmente por su alta dirección.
- Proceso: Conjunto de actividades interrelacionadas o que interactúan entre sí y que transforman las entradas en salidas.
- Fiabilidad: Propiedad de la consistencia del comportamiento previsto y de los resultados a través de las auditorías, la metodología y las revisiones.
- Requisito: Necesidad o expectativa declarada, generalmente implícita u obligatoria. "Generalmente implícito" aparece cuando la necesidad de la costumbre o la práctica está implícita.
- Riesgo residual: Riesgo que permanece después de un tratamiento de riesgo. Pueden contener riesgos no identificados y también pueden figurar como "riesgos retenidos" en la información del auditor.
- Revisión: Actividad realizada para determinar la conveniencia, adecuación y eficacia de la materia para alcanzar los objetivos establecidos.
- Riesgo: Efecto de la incertidumbre sobre los objetivos, incluidos los acontecimientos reales y potenciales. Consulte los puntos 2.14 a 2.89 para comprender mejor el riesgo, sus elementos positivos y negativos, y cómo puede relacionarse con una variedad de situaciones.
- Responsable del riesgo: Persona o entidad con responsabilidad y autoridad para gestionar un riesgo y las respuestas relacionadas.
- Tratamiento del riesgo: Proceso utilizado para modificar el riesgo. Los métodos pueden incluir la eliminación de las fuentes, la modificación de las probabilidades, el ajuste de las consecuencias, la conservación de los riesgos por elección, la adición de nuevas acciones y la evitación de riesgos.
- Alta dirección: Persona o grupo de personas que dirige y controla una organización al más alto nivel.