La ISO 27001 es una norma internacional de Seguridad de la Información que pretende asegurar la confidencialidad, integridad y disponibilidad de la información de una organización y de los sistemas y aplicaciones que tratan dicha información.

Pero definamos qué son esos tres conceptos:

  • Confidencialidad de la información: que sólo las personas autorizadas puedan acceder a ella
  • Integridad de la información: garantizar que no ha sido manipulada de manera no autorizada.
  • Disponibilidad de la información: que pueda ser accedida por las personas autorizadas en el momento en que lo necesiten.

La ISO 27001 define, de manera genérica, cómo se planifica, implanta, verifica y controla un Sistema de Gestión de Seguridad de la Información, comenzando con la realización de un análisis de riesgos y, a partir de este, se va planificando e implementando la respuesta a los mismos hasta lograr su mitigación.

La ISO 27001 es fundamental para gestionar la seguridad de la información en organismos y empresas independientemente de su tamaño, objetivos o estructura.

La certificación de un Sistema de Gestión de Seguridad de la Información en la ISO 27001 es un proceso mediante el cual una entidad de certificación externa, independiente y acreditada audita el sistema, determinando su conformidad con la norma ISO/IEC 27001, verifica su grado de implantación real y cuál es su eficacia.

ISO 17001 Seguridad de la InformacionObtener una certificación ISO 27001 supone realizar:

  • Diagnóstico de la situación inicial a través de entrevistas con los responsables de los departamentos implicados.
  • Análisis de riesgos, de todo tipo, no solo de aspectos técnicos relativos a la seguridad en sí, sino también físicos, organizativos y legales.
  • Diseño de un Plan de Acción con un cronograma de actuación.
  • Elaboración de Políticas y Procedimientos que recojan fielmente los mecanismos a implementar para garantizar la seguridad de la información.
  • Planificación de las auditorías tanto internas como externas de verificación y certificación.

Ventajas de contar con un SGSI certificado en la ISO 27001

  • Reduce el riesgo de que se produzcan pérdidas o fugas de información en las organizaciones, así como que pueda corromperse al manipularla.
  • Al ser un proceso de mejora continua, se hace una revisión constante de los riesgos a los que está expuesta la organización.
  • Establece una metodología gracias a la cual se puede gestionar la seguridad de la información de forma clara y concisa.
  • Implanta medidas de seguridad para que las personas autorizadas (y solamente las personas autorizadas) puedan acceder a la información.
  • Otorga a la organización una garantía frente a clientes y socios estratégicos ya que muestra a la misma como un organismo preocupado por la confidencialidad y seguridad de la información que es depositada en la misma.
  • Permite a las organizaciones continuar operando con normalidad en caso de producirse problemas importantes.
  • Hace que la organización esté cumpliendo con la legislación vigente en materia de protección de datos (RGPD) y propiedad intelectual.
  • Favorece una reducción de los costes al mejorar el funcionamiento de los procesos a través de políticas, procedimientos e instrucciones de trabajo.
  • Se convierte en un elemento favorable para la empresa frente a la competencia, pues el contar con un SGSI le hace aumentar su imagen a nivel internacional.
  • Facilita la homologación como proveedores. Cada vez más, se solicitan evaluaciones para homologar los proveedores a través de cuestionarios que contemplan aspectos como calidad, medio ambiente, cumplimiento legal o seguridad. Disponer de sistemas de gestión certificados facilita este proceso y ahorra pasar largas, ya que la certificación demuestra que el sistema ha sido auditado por un tercero
  • Contribuye al incremento en la motivación del personal, ya que se desempeñan en una organización comprometida con la seguridad de la información.
  • Reducimos el riesgo de tener un incidente de seguridad. La certificación no significa «riesgo 0» o «ausencia total de riesgo». Sí, significa disponer de una herramienta eficaz para poder identificar los riesgos y, así, minimizarlos y aumentar el nivel de seguridad.

Además de todo lo anterior, si se llegara a producir un incidente, la certificación nos ayuda a minimizar los daños y contener los costes al haber diseñado un Plan de Continuidad de Negocio.