​Ing. Sistemas  Auditoría

¿QUE ES?

 

Es una norma internacional emitida por la Organización Internacional de Normalización (ISO) y describe cómo gestionar la seguridad de la información en una empresa. La revisión más reciente de esta norma fue publicada en 2013 y ahora su nombre completo es ISO/IEC 27001:2013. La primera revisión se publicó en 2005 y fue desarrollada en base a la norma británica BS 7799-2.
ISO 27001 puede ser implementada en cualquier tipo de organización, con o sin fines de lucro, privada o pública, pequeña o grande. Está redactada por los mejores especialistas del mundo en el tema y proporciona una metodología para implementar la gestión de la seguridad de la información en una organización. También permite que una empresa sea certificada; esto significa que una entidad de certificación independiente confirma que la seguridad de la información ha sido implementada en esa organización en cumplimiento con la norma ISO 27001.

 

¿POR QUE ES IMPORTANTE?

 

Hay 4 ventajas comerciales esenciales que una empresa puede obtener con la implementación de esta norma para la seguridad de la información:

 

• Cumplir con los requerimientos legales  – cada vez hay más y más leyes, normativas y requerimientos contractuales relacionados con la seguridad de la información. La buena noticia es que la mayoría de ellos se pueden resolver implementando ISO 27001 ya que esta norma le proporciona una metodología perfecta para cumplir con todos ellos.

 

• Obtener una ventaja comercial – si su empresa obtiene la certificación y sus competidores no, es posible que usted obtenga una ventaja sobre ellos ante los ojos de los clientes a los que les interesa mantener en forma segura su información.

 

• Menores costos – la filosofía principal de ISO 27001 es evitar que se produzcan incidentes de seguridad, y cada incidente, ya sea grande o pequeño, cuesta dinero; por lo tanto, evitándolos su empresa va a ahorrar mucho dinero. Y lo mejor de todo es que la inversión en ISO 27001 es mucho menor que el ahorro que obtendrá.

 

• Una mejor organización – en general, las empresas de rápido crecimiento no tienen tiempo para hacer una pausa y definir sus procesos y procedimientos; como consecuencia, muchas veces los empleados no saben qué hay que hacer, cuándo y quién debe hacerlo. La implementación de ISO 27001 ayuda a resolver este tipo de situaciones ya que alienta a las empresas a escribir sus principales procesos (incluso los que no están relacionados con la seguridad), lo que les permite reducir el tiempo perdido de sus empleados.

 

 

¿QUE SE NECESITA PARA IMPLEMENTAR?

 

Para implementar la norma ISO 27001 en una empresa, usted tiene que seguir estos 16 pasos:

 

1. Obtener el apoyo de la dirección.

2. Utilizar una metodología para gestión de proyectos

3. Definir el alcance del SGSI

4. Redactar una política de alto nivel sobre seguridad de la información

5. Definir la metodología de evaluación de riesgos

6. Realizar la evaluación y el tratamiento de riesgos

7. Redactar la Declaración de aplicabilidad

8. Redactar el Plan de tratamiento de riesgos

9. Definir la forma de medir la efectividad de sus controles y de su SGSI

10. Implementar todos los controles y procedimientos necesarios1

11. Implementar programas de capacitación y concienciación

12. Realizar todas las operaciones diarias establecidas en la documentación de su SGSI

13. Monitorear y medir su SGSI

14. Realizar la auditoría interna

15. Realizar la revisión por parte de la dirección

16. Implementar medidas correctivas

 

 

La certificación ISO / IEC 27001

 

Al igual que otras normas de sistemas de gestión ISO, la certificación de la norma ISO / IEC 27001 es posible, pero no es obligatorio. Algunas organizaciones optan por aplicar la norma con el fin de beneficiarse de las mejores prácticas que contiene, mientras que otros deciden que también quieren obtener la certificación para tranquilizar a los clientes y los clientes que se han seguido sus recomendaciones. ISO no realiza la certificación.