La información es un activo de vital importancia para todo tipo de organizaciones. Las nuevas tecnologías nos permiten tener más información y de forma más rápida, permitiéndonos analizar y tomar decisiones que pueden suponer el éxito o el fracaso con respecto a nuestros competidores. Por este motivo es fundamental proteger nuestra información y los sistemas que la procesan.
La norma ISO 27001 proporciona un modelo para la creación, documentación e implantación de un sistema de gestión de la seguridad de la información (SGSI).
La norma ISO 27001 se integra perfectamente con otros sistemas de gestión como son los sistemas de gestión de la calidad, bajo la norma ISO 9001 y los sistemas de gestión ambiental bajo la norma ISO 14001.
¿Qué beneficios ofrece la norma ISO 27001?
La implantación de un sistema de seguridad de la información bajo la norma ISO 27001 ofrece los siguientes beneficios:
Reduce el riesgo de pérdida, robo o corrupción de información.
Permite establecer una metodología de gestión de la seguridad clara
Mejora la imagen de la empresa, diferenciándose con respecto a la competencia.
Permite a la empresa ganar cuota de mercado gracias a la confianza que genera entre los clientes y socios estratégicos.
Permite continuar con las operaciones necesarias del negocio tras incidentes de gravedad.
Permite a la empresa medir la eficacia de su sistema de gestión de acuerdo con normas nacionales e internacionales a través de la certificación de terceros.
Establece los cimientos a través de los que mejorar continuamente sus procesos internos y reforzar la habilidad de la organización para alcanzar los objetivos estratégicos, en este caso la seguridad de la información
Aspectos claves de la norma ISO 27001
El sistema de gestión de seguridad de la información bajo la norma ISO 27001 debe contar con el compromiso y el apoyo de la dirección de la organización.
Es fundamental realizar una evaluación de riesgos adecuada a cada organización.
La empresa debe tener un responsable de seguridad de la información, que con independencia de otras funciones lidere el proyecto internamente, en colaboración con la consultora ACMS. Dicha persona debe tener cierta autoridad dentro de la organización.
La documentación del sistema de seguridad de la información debe ser sencilla, práctica y operativa, evitando la burocratización del sistema.
La organización debe estar adecuadamente formada y concienciada en lo relativo a seguridad de la información.
El sistema de seguridad de la información debe estar totalmente integrado en la organización.
Nuestra metodología de trabajo
Para implantar un sistema de seguridad de la información bajo la norma ISO 27001 realizamos las siguientes actividades:
Toma de datos.
Inventario de activos
Identificar amenazas y vulnerabilidades
Análisis y evaluación de riesgos
Identificar y evaluar opciones para el tratamiento del riesgo
Selección de controles según Anexo A de la ISO 27001
Desarrollo de la documentación
Formación
Implantación
Auditoria interna
Revisión por la dirección
Acompañamiento a certificación
ACMS desarrolla la documentación, en total colaboración con el cliente, evitando en la medida de lo posible la burocratización del sistema, y aumentando su flexibilidad ante cualquier cambio por modificación de técnicas, recurso, etc.
La documentación del sistema de gestión de seguridad de la información es perfectamente integrable con otros sistemas de gestión como los sistemas de gestión de la calidad bajo la norma ISO 9001 y los sistemas de gestión ambiental bajo la norma ISO 14001. En esta línea la documentación estará formada por:
Política de gestión de la energía
Manual
Procedimientos
Cuadros de gestión
Registros
Y todos aquellos que, sin ser obligatorios, puedan ser necesarios por las características de la empresa.
Una vez que hemos documentado, implantado y auditado el sistema de gestión de seguridad de la información bajo la Norma ISO 27001, presentamos el proyecto a certificación, ante la entidad certificadora elegida por el cliente. Durante la certificación acompañamos a nuestro cliente con el fin de ayudarle ante los problemas que puedan surgir.
El GRUPO ACMS Consultores, cuando participa en el proyecto en su totalidad, garantiza por contrato la certificación en la primera auditoria de la entidad certificadora, en caso contrario pagamos los costes de las siguientes auditorias hasta la obtención del certificado.
