Pasos para la certificación de la norma ISO 27001:2013

Inicio / Pasos para la certificación de la norma ISO 27001:2013

Norma ISO 27001: Gestión de la Seguridad de la Información

ISO 27001 es un estándar  que establece las directrices para garantizar la seguridad de la información de las empresas. Su versión más reciente, publicada en el año 2013, se puede complementar con las buenas prácticas o controles que se describen en la norma ISO 27002. Es un plus en competitividad e imagen.

Haz click aquí y descárgate la guía gratuita: Los Modelos de Excelencia en Latinoamérica

¿Qué es la Seguridad de la Información en una empresa?

Las empresas poseen información que por derecho sólo les pertenece a ellas. Se trata de datos que forman parte de la identidad de cada organización o que suponen el material principal con el cual desarrollan sus labores.

Por lo general, dicha información está protegida bajo protocolos de confidencialidad, integridad y reserva. La norma ISO 27001 se creó en 2005 con el ánimo de elaborar un estándar para cubrir una necesidad cada vez más generalizada.

Los avances tecnológicos de las últimas décadas han optimizado múltiples procesos empresariales. Sin embargo, también han traído nuevos retos en materia de seguridad informática, sobre todo tras el auge de Internet.

Aun así, las soluciones no pasan por darle la espalda a estos avances. Por el contrario, se trata de aprovechar tal coyuntura para garantizar la seguridad de la información y los datos que forman parte de la esencia de las organizaciones.

La #ISO27001 se creó con el ánimo de elaborar un estándar para cubrir una necesidad cada vez más generalizada

Click To Tweet

Cómo certificarse con ISO 27001: pasos y recomendaciones

Aplicar la norma ISO 27001 depende del tipo de organización. Algunas, por ejemplo, lo hacen para salvaguardar datos o informaciones relativas a su desempeño, sus labores, sus estados financieros y otros elementos internos.

Otras, sin embargo, requieren de este tipo de acciones para garantizar el buen uso de informaciones relativas a sus clientes, que son el principal activo de su desempeño. Las empresas de telefonía móvil o aquellas que supongan la recolección de datos personales escenifican muy bien este segundo grupo.

ISO 27001 es un estándar que puede aplicarse a cualquier empresa. Veamos cuáles son los pasos esenciales en dicho proceso de certificación:

a) Etapa previa:

En esta fase del proceso, la empresa debe implementar 14 pasos básicos que describe la norma ISO 27001 para poder iniciar el proceso como tal:

– Obtener el apoyo de la dirección en todo el proceso implementación.

– Utilizar una metodología de gestión de proyectos.

– Definir el alcance del Sistema de Seguridad.

– Redactar una política específica.

– Definir una metodología de evaluación de riesgos.

– Redactar el Plan de Tratamiento de Riesgos.

– Definir la forma en que se medirán los avances.

– Implementación de controles.

– Capacitar y formar a los equipos de trabajo.

– Realizar las operaciones diarias descritas en la norma.

– Monitorizar las acciones.

– Realizar una auditoría con personal que pertenezca a la empresa.

– Efectuar una revisión por parte de la dirección.

– Implementar las medidas correctivas pertinentes.

b) Auditoría de revisión:

Tan pronto se solicite a ISO la voluntad de certificarse, un grupo de profesionales externos a la propia organización revisará la documentación requerida en la norma.

c) Auditoría principal:

Una vez se ha verificado que la organización cuenta con la documentación requerida, el grupo de auditores hará una visita a la empresa para confirmar que ésta cumple con los indicadores mínimos establecidos en la norma ISO 27001. Si no es así, se le dará un plazo para aplicar los correctivos necesarios y volver a presentarse ante los auditores. Pero si la respuesta es positiva, la empresa quedará certificada.

d) Revisiones periódicas:

Luego de que se ha emitido el certificado, la certificadora realizará durante los siguientes tres años una serie de auditorías periódicas para monitorizar los esfuerzos de la organización en materia de Seguridad de la Información. La idea es que los controles se mantengan y no se minimicen los esfuerzos durante ese período.

Implicaciones de la Gestión de Riesgos y Seguridad

La Seguridad de la Información se enmarca dentro de la Gestión de los Riesgos y la Seguridad, una categoría que engloba todos aquellos esfuerzos de las empresas por identificar las amenazas a las que están expuestas en el desempeño de sus tareas. Es un elemento estructural y que debe asumirse como valor corporativo.

La plataforma tecnológica ISOTools permite una eficaz y sencilla adaptación a la norma ISO 27001. Optimiza la información complementaria sobre buenas prácticas y ayuda a empalmar el proceso con normativas similares.

 

Haz click aquí y descárgate la guía gratuita: Los Modelos de Excelencia en Latinoamérica

Nueva llamada a la acción

¿Desea saber más?

Entradas relacionadas

Esquema Nacional De Seguridad (ENS)
Esquema Nacional de Seguridad (ENS): la importancia de la auditoría
24 abril, 2024
En un mundo donde la información es un activo de gran valor, la seguridad cibernética es una prioridad...
Ver más
Lean Six Sigma
Integración de Lean Six Sigma y Normas ISO para la Excelencia Operativa
23 abril, 2024
La búsqueda constante de la excelencia operativa es fundamental para el éxito a largo plazo...
Ver más
Pensamiento Estrategico
¿Cómo integrar el Pensamiento Estrategico con la Norma ISO 45001?
22 abril, 2024
Integrar el Pensamiento Estrategico con la Norma ISO 45001 es esencial para que las organizaciones...
Ver más
50 Excelentes De ISOTools
Ya puedes leer los 50 Excelentes de ISOTools en 2023
19 abril, 2024

Nos complace presentaros una vez más los 50 excelentes de ISOTool...

Ver más

Volver arriba