Seguridad de la información con un sistema
Seguridad de datos e información demostrable
Seguridad de la información como parte de la cultura corporativa
Aplicación efectiva de un proceso de gestión de riesgos
Mejora continua de su nivel de seguridad
¿Qué es la ISO 27001?
La información nos rodea por todas partes y forma parte de todos los procesos. A veces puede ser intrascendente, pero con demasiada frecuencia es crítica y confidencial. Para hacer esta importante distinción para su organización, es necesario clasificar la información. Esto se debe a que las medidas de protección de un Sistema de Gestión de Seguridad de la Información (SGSI) según la norma ISO/IEC 27001 se basan en esta clasificación.
Un SGSI crea el marco para proteger los datos operativos y su confidencialidad. Al mismo tiempo, la norma mundialmente reconocida garantiza la disponibilidad de los sistemas informáticos que intervienen en los procesos corporativos. En este contexto, la certificación ISO 27001 envía una fuerte señal al mercado: a saber, la evaluación externa independiente y la confirmación de la eficacia de su SGSI.
Con la EN ISO/IEC 27001:2017-06, se ha publicado una versión coordinada por el Comité Europeo de Normalización (CEN). Combina las dos correcciones (corrigenda) Cor 1:2014 y Cor 2:2015. Los cambios asociados a la corrección solo incluyen una descripción mejorada de los requisitos asociados, pero ningún requisito nuevo y adicional. Por tanto, los certificados según la versión ISO/IEC 27001:2013 mantienen su validez. El estándar está bajo revisión y se espera su nueva versión se publique a finales del 2022
¿Para quién es adecuada una certificación según la norma ISO 27001?
En Alemania, por ejemplo, las empresas que pertenecen a un Sector de Infraestructuras Críticas (KRITIS) y superan un umbral deben aportar pruebas de cómo garantizan la seguridad de su información. Los sectores KRITIS incluyen la energía, el agua, la sanidad, las finanzas y los seguros, la alimentación, el transporte y el tráfico, las tecnologías de la información y las telecomunicaciones. La prueba correspondiente de la aplicación puede consistir en auditorías, pruebas o certificaciones de seguridad. Para ello, se pueden utilizar como base para la auditoría normas reconocidas como la ISO 27001 o, alternativamente, normas de seguridad específicas del sector reconocidas por la Oficina Federal Alemana de Seguridad de la Información (BSI).
¿Qué hace que la norma ISO 27001 sea útil para mi empresa?
Especialmente valiosa para la práctica es la aplicación de las medidas del anexo A de la norma. Además de la sección de requisitos orientados al sistema de gestión (capítulos 4 a 10), la norma ISO contiene una extensa lista de 35 objetivos de medidas (controles) con 114 medidas concretas para una amplia variedad de aspectos de seguridad a lo largo de 14 capítulos en el Anexo A. Las medidas deben aplicarse en el marco del sistema de gestión. Estas medidas deben aplicarse en el marco del sistema de gestión, en la medida en que sean pertinentes para su empresa.
Se ha demostrado que la alineación coherente de los procesos de la empresa con la norma ISO 27001 conlleva una serie de beneficios:
- Mejora continua del nivel de seguridad
- Reducción de los riesgos existentes
- Cumplimiento de los requisitos de conformidad
- Mayor concienciación entre los empleados
- Aumento de la satisfacción de los clientes
Las auditorías internas y las revisiones de la gestión con la participación de la alta dirección son las palancas internas para conseguirlo.
Otros aspectos positivos son que las partes interesadas, como las autoridades de supervisión, las compañías de seguros, los bancos y las empresas asociadas, adquieren un mayor nivel de confianza en su empresa. Esto se debe a que un sistema de gestión certificado indica que su organización trata los riesgos de forma estructurada y se adhiere a la mejora continua (CIP), lo que la hace más resistente a influencias no deseadas.
La norma internacional ISO/IEC 27001 también puede implantarse, funcionar y certificarse independientemente de otros sistemas de gestión, como la ISO 9001 (gestión de la calidad) o la ISO 14001 (gestión medioambiental).
¿Quién puede llevar a cabo la certificación según la norma ISO 27001?
Además, la norma ISO/IEC 27006 define los estrictos requisitos que deben cumplir los organismos de certificación para certificar un SGSI según la norma ISO 27001.
Estos incluyen
- Evidencia del esfuerzo de auditoría especificado.
- Requisitos de cualificación de los auditores.
DQS está acreditada por el organismo nacional de acreditación alemán DakkS (Deutsche Akkreditierungsstelle GmbH) y, por tanto, está autorizada a realizar auditorías y certificaciones según la norma ISO 27001.
Independientemente del sector en el que opere su empresa, puede confiar en la experiencia distintiva de los auditores de DQS. Tienen muchos años de experiencia en la evaluación de sistemas de gestión de la seguridad de la información en diversos sectores.
¿Cómo funciona la certificación ISO 27001?
Una vez que se hayan implantado todos los requisitos de la norma ISO 27001, podrá obtener la certificación de su sistema de gestión. Pasará por un proceso de certificación de varias etapas en DQS. Si ya existe un sistema de gestión certificado en la empresa, el proceso puede acortarse.
En el primer paso, usted hablará de su empresa y de los objetivos de la certificación ISO 27001 con nosotros. Sobre esta base, recibirá una oferta detallada adaptada a las necesidades individuales de su empresa.
La auditoría de certificación comienza con el análisis del sistema y la evaluación de su SGSI (fase de auditoría 1). Aquí, el auditor determina si su sistema de gestión está suficientemente desarrollado y preparado para la certificación. En el siguiente paso (etapa de auditoría del sistema 2), su auditor evalúa la eficacia de todos los procesos de gestión in situ, aplicando la norma ISO 27001. El resultado de la auditoría se presenta en una reunión final. Si es necesario, se acuerdan planes de acción.
Tras la auditoría de certificación, los resultados son evaluados por la junta de certificación independiente de DQS. Si se cumplen todos los requisitos de la norma, recibirá el certificado ISO 27001.
Después de la certificación con éxito, los componentes clave de su SGSI se vuelven a auditar in situ al menos una vez al año para garantizar la mejora continua.
El certificado ISO 27001 tiene una validez máxima de tres años. La recertificación se lleva a cabo con suficiente antelación antes de su vencimiento para garantizar el cumplimiento continuo de los requisitos de la norma aplicable. Una vez cumplidos, se emite un nuevo certificado.
¿Cuánto cuesta la certificación ISO 27001?
Los costes de la certificación según la norma ISO 27001 se establecen, entre otros, en función de los cuatro criterios siguientes
1. La complejidad de su sistema de gestión de la seguridad de la información.
Se tienen en cuenta los valores críticos (por ejemplo, patentes, datos personales, instalaciones, procesos) de su empresa. El coste de la certificación se basa principalmente en los requisitos de seguridad de la información y el grado de afectación de la confidencialidad, integridad y disponibilidad (VIV) de la información.
2. La actividad principal de su empresa en el ámbito del SGSI
En este punto, los riesgos asociados a los procesos de su empresa en particular desempeñan un papel importante a la hora de determinar el esfuerzo de auditoría necesario. Se tienen en cuenta los requisitos legales, así como los complejos requisitos individuales de los clientes.
3. Las principales tecnologías y componentes utilizados en su SGSI
Durante la auditoría, se examinan tanto la tecnología como los componentes individuales de su SGSI. Entre ellos se encuentran las plataformas informáticas, los servidores, las bases de datos, las aplicaciones y los segmentos de red. La regla básica aquí es: Cuanto mayor sea la proporción de sistemas estándar y menor la complejidad de su TI, menor será el esfuerzo. Los costes de una certificación ISO 27001 también dependen de esto.
4 La proporción de desarrollos internos en su SGSI
Si no hay desarrollo interno y utiliza principalmente plataformas de software estandarizadas, el esfuerzo de una evaluación es menor. Si su SGSI se caracteriza por el uso intensivo de software de desarrollo propio y si este software se utiliza para las áreas centrales del negocio, el esfuerzo para la certificación será mayor.
Para que podamos ofrecerle una visión general de los costes de una certificación del SGSI, necesitamos información precisa sobre su modelo de negocio y el ámbito de aplicación por adelantado. De este modo, podemos ofrecerle una oferta a medida.