Certificación ISO27001
Sistemas de Gestión de Seguridad de la Información
¿Tiene valor su información confidencial para su competencia? ¿Están protegidas sus bases de datos? ¿Dispone de un plan de continuidad de negocio y recuperación ante desastres? ¿Qué ocurriría si perdiera todos sus activos de información? ¿Cuánto tiempo subsistiría sin información? ¿Cumple la LOPD, LSSICE y los derechos de propiedad intelectual?
La información es un activo vital para el éxito y la continuidad de cualquier organización por lo que su protección debe ser un objetivo de primer nivel. La certificación ISO 27001, se está convirtiendo en una obligación para cualquier empresa que desee competir en el mercado. Además, la entrada en vigor del reglamento que describe el Esquema Nacional de Seguridad, obliga a las administraciones a valorar especialmente estas certificaciones en sus proveedores.
Obtener una certificación en la norma ISO27001 supone decir a sus clientes, empleados y proveedores que se preocupa por la Gestión de la Seguridad de la Información y que presta un servicio seguro y de calidad reconocida. Cumplir la norma es además una garantía de continuidad del servicio porque se han adoptado las medidas oportunas.
¿Qué es la ISO27001?
La ISO 27001 es un estándar de seguridad de la información creado para ayudar a las organizaciones a proteger sus activos, como datos, documentos, aplicaciones y sistemas, de los riesgos a la seguridad.
Esta norma abarca una variedad de temas relacionados con la seguridad de la información, desde la protección de los sistemas de información hasta el control de acceso a los recursos de la red. Establece un marco de gestión de seguridad de la información para la gestión de riesgos que ayuda a las empresas a identificar, evaluar y tratar los riesgos asociados a la seguridad de la información.
Además, es un estándar muy importante para las organizaciones que desean asegurar la confidencialidad, integridad y disponibilidad de la información.
Proporciona una estructura organizada para la gestión de los riesgos de seguridad de la información. Esto ayuda a las empresas a establecer controles para garantizar que se sigan procedimientos adecuados para proteger los datos.
¿Es obligatorio tener la norma ISO27001?
La ISO 27001 no es obligatoria, pero un cliente podría exigir su cumplimiento para garantizar que sus proveedores son seguros. Cada vez más las organizaciones son conscientes de los riesgos que corre su información, y quieren que sea tratada con máximo celo por empresas seguras y confiables.
Este estándar es reconocido a nivel internacional para la gestión de la seguridad de la información. Muchas empresas eligen implementarla voluntariamente para demostrar su compromiso con la protección de la información y mejorar su seguridad en general. La implementación de la ISO 27001 puede ayudar a una empresa a proteger su información valiosa y ganar la confianza de sus clientes y socios comerciales.
¿Cómo puedo certificarme en ISO27001?
Para obtener la certificación en ISO 27001, su empresa debe implementar un sistema de gestión de la seguridad de la información (SGSI) que cumpla con los requisitos establecidos en el estándar.
Luego, debe realizar una auditoría por un organismo de certificación acreditado para verificar que su SGSI cumple con los requisitos de la norma. Si la auditoría es satisfactoria, se le otorgará la certificación ISO 27001. Es importante tener en cuenta que la certificación debe renovarse periódicamente para asegurarse de que su SGSI sigue cumpliendo con los requisitos del estándar.
En Legitec acompañamos a nuestros clientes desde el principio hasta el final del proceso. En primer lugar se traza un plan director de seguridad, planificando el proyecto y como se va a dar cumplimiento a los más de 114 controles que la norma exige, y una vez ejecutado el proyecto se guía la fase de auditoría, acompañando en todo momento al cliente hasta que obtiene el certificado.
En Legitec contamos con una amplia experiencia y podemos ayudarte a optimizar este proceso, reduciendo costos y quebraderos de cabeza para cumplir los controles, al mismo tiempo que garantizar el éxito en el proceso con la consiguiente certificación de tu empresa.
Contacta con nosotros sin compromiso.
Esta Norma se basa en el “ciclo de Demming” PDCA (Plan/Do/Check/Act), creado inicialmente para los Sistemas de Gestión de la Calidad ISO 900x, y adoptado por la Norma ISO 27001 dado que ésta, en su planteamiento, realmente se gestiona como Sistema de Gestión de la Calidad de la Seguridad de la Información, es decir, como una especialidad de la misma. De hecho, varios puntos son compatibles entre ambas Normas favoreciendo la integración de sistemas. La naturaleza dinámica y cíclica de un SGSI especificada en la ISO27K nos lleva a una mejora continua basado en el ciclo de calidad de Deming o ciclo PDCA (Plan-Do-Check-Act).
Estudio previo
Durante esta fase se determinarán los requerimientos del sistema y se definirá el alcance inicial del mismo. Esto determinará cómo continuar con el proyecto en las siguientes fases para implantar el modelo.
Planificación
Ésta corresponde a la fase “Plan” del ciclo de calidad de Deming. Entre otras tareas se realizarán las siguientes:
Definir el alcance del SGSI, la política de seguridad ,la metodología de evaluación de riesgos de la organización. Se identifican los activos, amenazas, vulnerabilidades e impactos relacionados con las actividades que queden dentro del alcance del sistema o que puedan afectar la eficacia del mismo. Con esta información se podrá identificar y evaluar opciones de tratamiento del riesgo. Del estudio realizado se plantearán las mejores opciones de tratamiento del riesgo según los objetivos, umbrales de aceptación del riesgo, etc…
Seleccionar objetivos de control y controles para el tratamiento. Se obtiene la autorización de dirección para implantar y operar el SGSI y se prepara una declaración de aplicabilidad de los controles de la norma.
Implementación
Esta fase corresponde con la implantación y operación del sistema. Los distintos pasos que se prevén son los siguientes:
Definir un plan de tratamiento del riesgo, Implementar el plan , los objetivos de control identificados como necesarios, así como la asignación de las responsabilidades. Se implementar los controles seleccionados para alcanzar los objetivos de control y se definen las medidas de la efectividad del sistema. Se implantan programas de aprendizaje y conocimiento que permite que exista el nivel de conocimiento y sensibilidad necesario en la organización para la operación de un SGSI. Se gestionan las operaciones y recursos del SGSI.
Revisión y auditoría interna
Se ejecutarán procedimientos de monitorización para detectar errores, identificar debilidades de seguridad de forma temprana e incidentes y comprobar el adecuado cumplimiento de las actividades de seguridad asignadas a personas o implantadas a través de tecnología de la información. Tratará de determinar las acciones efectuadas para atender las brechas de seguridad detectadas.
Se revisará el SGSI y se medirá la efectividad de los controles. Se revisarán las evaluaciones de riesgos y el nivel de riesgo residual/aceptable. Se realizarán auditorías internas del SGSI.
Actuar
Implementar cualquier mejora identificada. Necesario tras la fase anterior.
Llevar a cabo las acciones correctivas y preventivas apropiadas ya que estas son el mecanismo de mejora del SGSI.
Comunicar las acciones y las mejoras a las partes interesadas. Esta comunicación es esencial para mantener el SGSI activo y operativo.
Comprobar la eficacia de las acciones. Hay que asegurar que la mejora está alineada con los objetivos de negocio. Muchas medidas pueden parecer atractivas o necesarias, pero si no se miran desde la perspectiva de los objetivos planteados, el esfuerzo puede ser inútil.
De forma periódica, como mínimo anualmente, es necesario realizar auditorías internas para comprobar si los controles, procesos y procedimientos del Sistema de Gestión de Seguridad de la Informaciónson conformes a la norma y la legislación, y que los objetivos de Seguridad de la organización, están alineados, implementados y mantenidos con eficacia y tienen el rendimiento esperado.
En la auditoría interna Legitec determina si el sistema de gestión:
Es conforme con las disposiciones planificadas, con los requisitos de la norma y con los requisitos del SGSI establecidos por la organización, y se ha implementado y se mantiene de manera eficaz.
LEGITEC realiza las auditarías del Sistema de Gestión emitiendo el correspondiente informe proponiendo las No Conformidades que sean detectadas así como haciendo las recomendaciones que el auditor considere adecuados.
Después de realizar la Auditoría Interna, LEGITEC apoya al Responsable de Seguridad para que implante las medidas correctoras y preventivas que sean necesarias.
En Legitec ofrecemos formación a la carta en relación a la norma ISO 27001 y la implantación de sistemas de gestión de seguridad de la información. Nuestra oferta formativa puede ser presencial o a través de nuestro aula virtual. Contacte con nuestro departamento de formación: formacion@legitec.com
Consultores Especializados
Contacta con nosotros y obtén más información
sobre ISO 27001 sin compromiso.
Procedimientos
Nuestros procedimientos siguen los estándares ISO9001 a ISO27001. Mejoramos continuamente la calidad y la seguridad.
Calidad y Precio
Desde nuestro inicio hemos invertido en tecnología para evitar gastar tiempo en tareas repetitivas y centrándonos en la calidad del servicio.
Soporte Constante
Atendemos cualquier consulta en cualquier momento gracias a nuestro amplio equipo de juristas y técnicos.
Atención Cercana
Nos gusta la cercanía. El contacto es constante desde que empieza a trabajar con nosotros, nunca tendrá la sensación de estar abandonado.
Adecuado al Cliente
En proyectos de consultoría no vale “copiar y pegar”. Una buena consultoría precisa de escuchar al cliente y adaptarse de manera específica a su casuística.
Rápidos
Su tiempo vale dinero y lo sabemos. Nuestra preparación y especialización, nos permite ser rápidos dando respuestas a los clientes. No le haremos esperar.
Contacta con nosotros
Obtén más información sobre nuestros servicios de consultoría y auditoría sobre Sistemas de Gestión de Seguridad de la Información (ISO 27001)
