Seguridad de la información con un sistema

El tema de la "seguridad de la información" es cada vez más urgente para las empresas en el curso de la transformación digital. Si no se toman suficientes precauciones de seguridad, existe el riesgo de pérdida y robo de datos por parte de piratas informáticos, de interrupción de la actividad empresarial debido a ataques a través de la web o al uso indebido de los datos. Una opción para un enfoque estructurado es un Sistema de Gestión de la Seguridad de la Información (SGSI) según la norma ISO 27001.

Seguridad de datos e información demostrable

Seguridad como parte de la cultura corporativa

Aplicación efectiva de un proceso de gestión de riesgos

Mejora continua de su nivel de seguridad

Business10.png
Loading...

¿Qué es la ISO 27001?

La norma ISO/IEC 27001 es la principal norma internacional para la implantación de un sistema de gestión integral de la seguridad de la información. Se centra en la identificación, evaluación y gestión de los riesgos de los procesos de tratamiento de la información. La seguridad de la información confidencial se destaca como un elemento estratégico importante.

La información nos rodea por todas partes y forma parte de todos los procesos. A veces puede ser intrascendente, pero con demasiada frecuencia es crítica y confidencial. Para hacer esta importante distinción para su organización, es necesario clasificar la información. Esto se debe a que las medidas de protección de un Sistema de Gestión de Seguridad de la Información (SGSI) según la norma ISO/IEC 27001 se basan en esta clasificación.

Un SGSI crea el marco para proteger los datos operativos y su confidencialidad. Al mismo tiempo, la norma mundialmente reconocida garantiza la disponibilidad de los sistemas informáticos que intervienen en los procesos corporativos. En este contexto, la certificación ISO 27001 envía una fuerte señal al mercado: a saber, la evaluación externa independiente y la confirmación de la eficacia de su SGSI.

Con la EN ISO/IEC 27001:2017-06, se ha publicado una versión coordinada por el Comité Europeo de Normalización (CEN). Combina las dos correcciones (corrigenda) Cor 1:2014 y Cor 2:2015. Los cambios asociados a la corrección solo incluyen una descripción mejorada de los requisitos asociados, pero ningún requisito nuevo y adicional. Por tanto, los certificados según la versión ISO/IEC 27001:2013 mantienen su validez.

Mostrar más
Mostrar menos
SEO19.png
Loading...

¿Para quién es adecuada una certificación según la norma ISO 27001?

La norma de SGSI ISO 27001 se aplica en todo el mundo. Proporciona a las empresas de todos los tamaños y sectores un marco para planificar, implementar y supervisar la seguridad de su información. Los requisitos son aplicables y se aplican a empresas privadas y públicas, así como a organizaciones sin ánimo de lucro.

En Alemania, por ejemplo, las empresas que pertenecen a un Sector de Infraestructuras Críticas (KRITIS) y superan un umbral deben aportar pruebas de cómo garantizan la seguridad de su información. Los sectores KRITIS incluyen la energía, el agua, la sanidad, las finanzas y los seguros, la alimentación, el transporte y el tráfico, las tecnologías de la información y las telecomunicaciones. La prueba correspondiente de la aplicación puede consistir en auditorías, pruebas o certificaciones de seguridad. Para ello, se pueden utilizar como base para la auditoría normas reconocidas como la ISO 27001 o, alternativamente, normas de seguridad específicas del sector reconocidas por la Oficina Federal Alemana de Seguridad de la Información (BSI).

Mostrar más
Mostrar menos
Business11.png
Loading...

¿Qué hace que la norma ISO 27001 sea útil para mi empresa?

La introducción de un SGSI según la norma ISO/IEC 27001 es una decisión estratégica para su empresa. El cumplimiento de los requisitos deliberadamente generales de la norma debe reflejar la situación específica de la empresa. La implantación en la empresa depende de las necesidades y los objetivos, los requisitos de seguridad y los procesos organizativos, así como del tamaño y la estructura de la empresa.

Especialmente valiosa para la práctica es la aplicación de las medidas del anexo A de la norma. Además de la sección de requisitos orientados al sistema de gestión (capítulos 4 a 10), la norma ISO contiene una extensa lista de 35 objetivos de medidas (controles) con 114 medidas concretas para una amplia variedad de aspectos de seguridad a lo largo de 14 capítulos en el Anexo A. Las medidas deben aplicarse en el marco del sistema de gestión. Estas medidas deben aplicarse en el marco del sistema de gestión, en la medida en que sean pertinentes para su empresa.

Se ha demostrado que la alineación coherente de los procesos de la empresa con la norma ISO 27001 conlleva una serie de beneficios:

  • Mejora continua del nivel de seguridad
  • Reducción de los riesgos existentes
  • Cumplimiento de los requisitos de conformidad
  • Mayor concienciación entre los empleados
  • Aumento de la satisfacción de los clientes

Las auditorías internas y las revisiones de la gestión con la participación de la alta dirección son las palancas internas para conseguirlo.

Otros aspectos positivos son que las partes interesadas, como las autoridades de supervisión, las compañías de seguros, los bancos y las empresas asociadas, adquieren un mayor nivel de confianza en su empresa. Esto se debe a que un sistema de gestión certificado indica que su organización trata los riesgos de forma estructurada y se adhiere a la mejora continua (CIP), lo que la hace más resistente a influencias no deseadas.

La norma internacional ISO/IEC 27001 también puede implantarse, funcionar y certificarse independientemente de otros sistemas de gestión como la ISO 9001 (gestión de la calidad) o la ISO 14001 (gestión medioambiental).

Mostrar más
Mostrar menos
Business36.png
Loading...

¿Quién puede llevar a cabo la certificación según la norma ISO 27001?

Para certificar un sistema de gestión de la seguridad de la información, el propio organismo de certificación correspondiente debe estar acreditado según las normas ISO/IEC 17021 e ISO/IEC 27006. La norma ISO/IEC 17021 regula los temas relacionados con la evaluación de la conformidad, concretamente los requisitos para los organismos de inspección que auditan y certifican los sistemas de gestión.

Además, la norma ISO/IEC 27006 define los estrictos requisitos que deben cumplir los organismos de certificación para certificar un SGSI según la norma ISO 27001.

Estos incluyen

  • Evidencia del esfuerzo de auditoría especificado.
  • Requisitos de cualificación de los auditores.

DQS está acreditada por el organismo nacional de acreditación alemán DakkS (Deutsche Akkreditierungsstelle GmbH) y, por tanto, está autorizada a realizar auditorías y certificaciones según la norma ISO 27001.

Independientemente del sector en el que opere su empresa, puede confiar en la experiencia distintiva de los auditores de DQS. Tienen muchos años de experiencia en la evaluación de sistemas de gestión de la seguridad de la información en diversos sectores.

Mostrar más
Mostrar menos
Business28.png
Loading...

¿Cómo funciona la certificación ISO 27001?

Una vez que se hayan implantado todos los requisitos de la norma ISO 27001, podrá obtener la certificación de su sistema de gestión. Pasará por un proceso de certificación de varias etapas en DQS. Si ya existe un sistema de gestión certificado en la empresa, el proceso puede acortarse.

En el primer paso, usted hablará de su empresa y de los objetivos de la certificación ISO 27001 con nosotros. Sobre esta base, recibirá una oferta detallada adaptada a las necesidades individuales de su empresa.

Una reunión de planificación del proyecto puede ser útil para proyectos de mayor envergadura, por ejemplo, para coordinar mejor los calendarios y la realización de auditorías con varias sedes o divisiones. La preauditoría le ofrece la oportunidad de identificar por adelantado los puntos fuertes y el potencial de mejora de su sistema de gestión. Ambos servicios son opcionales.

La auditoría de certificación comienza con el análisis del sistema y la evaluación de su SGSI (fase de auditoría 1). Aquí, el auditor determina si su sistema de gestión está suficientemente desarrollado y preparado para la certificación. En el siguiente paso (etapa de auditoría del sistema 2), su auditor evalúa la eficacia de todos los procesos de gestión in situ, aplicando la norma ISO 27001. El resultado de la auditoría se presenta en una reunión final. Si es necesario, se acuerdan planes de acción.

Tras la auditoría de certificación, los resultados son evaluados por la junta de certificación independiente de DQS. Si se cumplen todos los requisitos de la norma, recibirá el certificado ISO 27001.

Después de la certificación con éxito, los componentes clave de su SGSI se vuelven a auditar in situ al menos una vez al año para garantizar la mejora continua.

El certificado ISO 27001 tiene una validez máxima de tres años. La recertificación se lleva a cabo con suficiente antelación antes de su vencimiento para garantizar el cumplimiento continuo de los requisitos de la norma aplicable. Una vez cumplidos, se emite un nuevo certificado.

Banking13.png
Loading...

¿Cuánto cuesta la certificación ISO 27001?

Los cuatro criterios de evaluación

Aunque la auditoría de la norma ISO 27001 debe realizarse según unas especificaciones estructuradas, el coste depende de varios factores, como la complejidad de su organización. Por lo tanto, no puede haber una oferta única para todas las empresas.

Los costes de la certificación según la norma ISO 27001 se establecen, entre otros, en función de los cuatro criterios siguientes

1. La complejidad de su sistema de gestión de la seguridad de la información.

Se tienen en cuenta los valores críticos (por ejemplo, patentes, datos personales, instalaciones, procesos) de su empresa. El coste de la certificación se basa principalmente en los requisitos de seguridad de la información y el grado de afectación de la confidencialidad, integridad y disponibilidad (VIV) de la información.

2. La actividad principal de su empresa en el ámbito del SGSI

En este punto, los riesgos asociados a los procesos de su empresa en particular desempeñan un papel importante a la hora de determinar el esfuerzo de auditoría necesario. Se tienen en cuenta los requisitos legales, así como los complejos requisitos individuales de los clientes.

3. Las principales tecnologías y componentes utilizados en su SGSI

Durante la auditoría, se examinan tanto la tecnología como los componentes individuales de su SGSI. Entre ellos se encuentran las plataformas informáticas, los servidores, las bases de datos, las aplicaciones y los segmentos de red. La regla básica aquí es: Cuanto mayor sea la proporción de sistemas estándar y menor la complejidad de su TI, menor será el esfuerzo. Los costes de una certificación ISO 27001 también dependen de esto.

4 La proporción de desarrollos internos en su SGSI

Si no hay desarrollo interno y utiliza principalmente plataformas de software estandarizadas, el esfuerzo de una evaluación es menor. Si su SGSI se caracteriza por el uso intensivo de software de desarrollo propio y si este software se utiliza para las áreas centrales del negocio, el esfuerzo para la certificación será mayor.

Para que podamos ofrecerle una visión general de los costes de una certificación del SGSI, necesitamos información precisa sobre su modelo de negocio y el ámbito de aplicación por adelantado. De este modo, podemos ofrecerle una oferta a medida.

Mostrar más
Mostrar menos
Business2.png
Loading...

Lo que puede esperar de nosotros

  • Más de 35 años de experiencia en la certificación de sistemas y procesos de gestión
  • Auditores con experiencia en el sector y expertos con sólidos conocimientos técnicos
  • Información de valor añadido sobre su empresa
  • Certificados con aceptación internacional
  • Conocimientos y acreditaciones para todas las normas pertinentes
  • Asistencia personal y fluida de nuestros especialistas, a nivel regional, nacional e internacional
  • Ofertas individuales con condiciones contractuales flexibles y sin costes ocultos
Contact-latin-america-man-shutterstock_738242395.jpg
Loading...

Solicitud de presupuesto

Su contacto local

"Estaremos encantados de hacerle una oferta personalizada para la certificación ISO 27001 de su SGSI".

La nueva ISO/IEC 27001:2022 - cambios clave

En este blog de DQS encontrará la información más importante sobre los principales cambios y adiciones de la norma ISO 27001:2022 revisada.

Blog DQS