Norma ISO 27001 y seguridad de la información

 

Actualmente, la Norma ISO 27001 es la primera norma a nivel mundial para la seguridad de la información. Por dicha razón, un gran número de empresas han optado por obtener la certificación o norma ISO 27001 mediante la demostración del cumplimiento de los requisitos de seguridad recogidos en la norma, que expondremos en este artículo.

 

1.    ¿Qué es la Norma ISO 27001?

 

La Norma ISO 27001 es un estándar internacional emitido por la Organización Internacional de Normalización (ISO), el cual expone la manera correcta de gestionar la seguridad de la información en el interior de la empresa y por ello directamente ligado a la protección de los datos de carácter personal.

La Norma ISO 27001 realmente es un Sistema de Gestión de la Seguridad, que recoge requisitos y especificaciones, con el fin de que la empresa pueda proteger la confidencialidad, integridad y disponibilidad de su información. Contar, por lo tanto, con un buen asesoramiento en materia de medidas de seguridad relativas a protección de datos personales puede hacer que la certificación se consiga de forma más rápida y eficaz.

Cabe añadir, que se trata de una norma que puede ser aplicada a cualquier tipo de organización, ya sea privada o pública, pequeña o grande, con o sin fines de lucro.

 

2.    ¿Cuál es el funcionamiento de la Norma ISO 27001?

 

Principalmente, el método empleado en la norma se basa en la gestión del riesgo, o lo que es lo mismo, consiste en evaluar los riesgos, analizando los potenciales problemas que podrían afectar a la información; y posteriormente, establecer medidas para mitigar el riesgo, estableciendo las medidas de seguridad pertinentes. En este sentido no habría diferencias notables entre lo establecido en el Reglamento General de Datos y lo señalado por la norma ISO 27001.

Las medidas de seguridad suelen hacerse efectivas mediante políticas, procedimientos, y empleando medios técnicos.

Por tanto, ante la dificultad que puede surgir al intentar gestionar todas las políticas, procedimientos, otras reglas organizacionales y medidas de índole técnica; la Norma ISO 27001 detalla como encuadrar dichos elementos en el sistema de gestión de seguridad de la información (SGSI).

 

3.    ¿Qué beneficios puede aportar a la empresa?

 

En primer lugar, hay que tener en cuenta la importancia de la información que posee la empresa, no sólo como valor añadido de la misma, sino también como parte esencial de la estructura de la misma. Por tanto, resulta vital su protección para evitar su pérdida, alteración, pérdida o acceso de terceros.

 

Además la certificación de la Norma ISO 27001, puede aportar beneficios comerciales, organizacionales y de cumplimiento:

  • Beneficios comerciales: al obtener la certificación, los clientes pueden tomar conciencia de que la organización se preocupa por la seguridad de la información; obteniendo cierta ventaja frente a aquellos que no la poseen.
  • Además, la empresa puede reducir costes en el futuro derivado de los incidentes de seguridad, ya que la implementación de dicha Norma, podrá evitar que se produzcan
  • Organizacionales: anima a las empresas a redactar sus principales procesos, de forma que, a los empleados se les puede comunicar fácilmente qué hay que hacer, como hacerlo y quién debe hacerlo
  • Cumplimiento legal: la Norma ISO 21007 que proporciona una metodología perfecta para cumplir con el gran número de normativa existente relacionada con la seguridad de la información.

 

4.    ¿Cómo se puede obtener la certificación?

 

Para obtener la certificación ISO 27001, primero habrá que empezar por implementarla, siguiendo las siguientes fases establecidas en la misma.

 

1.    Análisis y evaluación de los riesgos

2.    Implementación de controles

3.    Definición de un plan de tratamiento de riesgos

4.    Alcance de la gestión

5.    Contexto de la organización

6.    Partes interesadas

7.    Fijación y medición de objetivos

8.    Proceso documental

 

Norma ISO 27001 Protección de Datos

En Grupoo Adaptalia le asesoramos para obtener la certificación ISO 27001

 

Como vemos y si lo comparamos con la normativa actual de protección de datos, el procedimiento de implementación de la norma es muy similar y es por ello que desde Grupo Adaptalia, podemos asistirle en el procedimiento de implementación descrito en el párrafo anterior. Expertos en consultoría de protección de datos, podemos incluso realizar auditorías, con el fin de comprobar si se está cumpliendo adecuadamente lo dispuesto en el RGPD y por lo tanto, si se está en condiciones de poder superar la auditoría llevada por la entidad de certificación de forma previa. O, si fuera necesario, aportar las medidas correctoras que supongan un adecuado nivel de seguridad en la organización.