¿Qué es la ISO 27001?
La ISO 27001 es una norma internacional que establece un marco para el SGSI o Sistema de Gestión de la Seguridad de la Información en el contexto de la organización. La norma internacional de SGSI que las empresas pueden certificar, la ISO 27001, se conoce oficialmente como ISO/IEC 27001:2013 y fue creada por un comité compuesto por expertos de la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC).
La ISO 27001:2013 no debe confundirse con la ISO/IEC 27000:2018, otra norma ISO/IEC 27000, que pretende definir las terminologías comunes utilizadas en el cuerpo de normas del SGSI.
¿Por qué es importante?
La norma ISO 27001 es importante porque establece un punto de referencia para el tipo de marco de SGSI que las empresas u organizaciones pueden implementar y ajustar según sus necesidades. Establece un estándar mínimo para el sistema de gestión de la seguridad de la información que puede esperarse de cualquier empresa, independientemente de su tamaño, industria o ubicación, que busque ser reconocida como poseedora de un sólido SGSI.
Industrias y organizaciones que se enfrentan a desafíos en materia de seguridad de la información
A medida que la tecnología digital se convirtió en parte integrante de las operaciones cotidianas de las empresas y organizaciones, también lo hizo la necesidad de proteger la información digital que conlleva el funcionamiento de estas empresas. Estos son algunos de los campos que se enfrentan a los retos de la seguridad de la información:
- Sanidad
- Servicios públicos
- Logística
- Banca y Finanzas
- Entidades gubernamentales
Para conseguir un sistema de gestión de la seguridad de la información sólido será necesario un esfuerzo concertado dentro de una organización y los conocimientos necesarios para mantenerlo.
¿Cuáles son los requisitos de la norma ISO 27001?
Una de las ventajas de aplicar la norma ISO 27001 es que exige que se demuestre que los procesos existentes contribuyen a mantener la seguridad de la información y que se tienen en cuenta las necesidades exclusivas de la empresa para mantener un SGSI sólido.
A continuación se describen las cláusulas 4.1 a 10.2, que son los requisitos básicos de la norma ISO 27001. Ayudan a descubrir las deficiencias de los procesos y a evaluar la preparación de una organización para la certificación ISO 27001.
- 4. Contexto de la organización
- 4.1 Entender la organización y su contexto
- 4.2 Comprender las necesidades y expectativas de las partes interesadas
- 4.3 Determinación del alcance del sistema de gestión de la seguridad de la información
- 4.4 Sistema de gestión de la seguridad de la información
- 5. Liderazgo
- 5.1 Liderazgo y compromiso
- 5.2 Política
- 5.3 Funciones, responsabilidades y autoridades de la organización
- 6. Planificación
- 6.1 Acciones para hacer frente a los riesgos y oportunidades
- 6.2 Objetivos de seguridad de la información y planes para alcanzarlos
- 7. Apoyar
- 7.1 Recursos
- 7.2 Competencia
- 7.3 Concienciación
- 7.4 Comunicación
- 7.5 Información documentada
- 8. Operación
- 8.1 Planificación y control de las operaciones
- 8.2 Evaluación de los riesgos para la seguridad dela información
- 8.3 Tratamiento de los riesgos para la seguridad de la información
- 9. Evaluación del rendimiento
- 9.1 Seguimiento, medición, análisis y evaluación
- 9.2 Auditoría interna
- 9.3 Revisión de la gestión
- 10. Mejora
- 10.1 No conformidad y acción correctiva
- 10.2 Mejora continua
¿Cómo obtener la certificación ISO 27001?
La norma ISO/IEC 27001:2013 es la norma internacional de SGSI de la familia ISO 27000 que las empresas pueden certificar. Las organizaciones y empresas pueden seguir estos pasos para preparar la certificación ISO 27001:
Paso 1: Revisar la norma y descubrir las lagunas de los procesos internos
Familiarícese con la norma ISO/IEC 27001:2013 y compruebe cómo se alinean sus procesos internos actuales con ella. Compruebe su actual SGSI y estos tres en particular -política de seguridad de la información, declaración de aplicabilidad y plan de tratamiento de riesgos de seguridad de la información- porque la norma exige estos documentos para que una organización obtenga la certificación.
Paso 2: Realizar una auditoría interna
Evalúe la preparación de su organización realizando una auditoría interna utilizando una lista de comprobación de la norma ISO 27001 que tenga en cuenta los tres documentos y otros detalles sobre su SGSI que los auditores de terceros examinarán durante la auditoría de certificación real.
Paso 3: Conseguir un auditor reputado para la certificación
Una vez que haya realizado su propia auditoría interna y haya preparado su organización lo mejor posible, póngase en contacto con un auditor externo que pueda realizar una auditoría objetiva con el fin de obtener una certificación para su empresa.
Una vez certificada, la empresa debe mantener su conformidad. La realización de auditorías internas periódicas puede ayudar a garantizar que el SGSI implantado sigue siendo eficaz contra las amenazas a la seguridad de la información y se ajusta a las normas mundiales.
¿Cómo puede SafetyCulture (iAuditor) ayudar a su organización a obtener la certificación?
SafetyCulture (iAuditor) by SafetyCulture es utilizado por los líderes del sector para alinearse con normas internacionales como la ISO 27001 y cumplir con la normativa aplicable. SafetyCulture (iAuditor) puede ayudar a las empresas a prepararse para la certificación ISO 27001 mediante lo siguiente
- Llevar a cabo auditorías internas para descubrir las deficiencias de los procesos utilizando plantillas como la lista de comprobación de la norma ISO 27001:2013 que los usuarios pueden personalizar para adaptarse a las necesidades de la organización
- Captar las áreas de mejora y registrar eficazmente las acciones correctivas realizadas para preparar la certificación
- Información segura a la que sólo puede acceder el personal autorizado a través de la nube, un sistema que ya cumple con la norma ISO 27001
- Mantener el cumplimiento de la norma mediante revisiones periódicas del SGSI vigente