Gestión de seguridad de la Información ISO 27001

Certificación ISO 27001 Seguridad de la Información

Los ataques cibernéticos son costosos, perturbadores y una amenaza creciente para las empresas, los gobiernos y la sociedad por igual. Aquí le mostramos cómo proteger sus activos, empresas, negocios, etc. Primero debemos empezar por definir:

¿De qué trata la ISO 27001:2022?

La ISO 27001:2022 es la norma internacional que se rige bajo un estándar que compete a los sistemas de gestión de seguridad de la información, (SGSI) esto con el fin de proporcionar confidencialidad, integridad y disponibilidad continuada de la información, así como cumplimiento legal.

Para abordar los desafíos de ciberseguridad global y mejorar la confianza digital, se acaba de publicar una versión nueva y mejorada, la ISO/IEC 27001:2022. El estándar más conocido del mundo sobre gestión de la seguridad de la información ayuda a las organizaciones a proteger sus activos de información, algo vital en el mundo cada vez más digital de hoy.

En 2022, cerca del 40% de los negocios sufrieron una violación de datos personales o recibieron ataques o extorsiones por medios digitales. Es Por ello que te recomendamos empezar con un proceso de capacitación y certificación, donde todos los miembros de la organización sean capacitados sobre el significado de la norma y cómo se aplica en su organización.

Te dejamos aquí los pasos que debes de seguir para comenzar con este proceso

¿Cómo Obtener la Certificación ISO 27001?

Es importante saber que el proceso para certificar una empresa con la norma ISO 9001, ISO 27001, ISO 14001, etc. Tiene varias etapas previas a la certificación y a continuación, te diremos cuáles son:

1er paso: Decisión de la alta dirección.

Para poder empezar el proceso es necesario que las cabezas de la organización tomen la decisión de obtener una certificación ISO, esta decisión puede ser tomada por que un cliente les está exigiendo la certificación, porque quieren participar en un concurso o licitación, por poder tener el logo de certificación o sencillamente porque quieren mejorar el desempeño de su empresa (este último es el menos común). Sea la razón que sea, una vez que la alta dirección lo ha decido, comienza el reto.

Seguridad de la Información ISO 27001

Otra decisión importante que debe tomar la alta dirección es: si quieren conseguir la certificación por su propia cuenta o prefieren pagarle a un externo que les dé consultoría en la norma ISO que quieran certificar. Cualquiera de las dos opciones es válida, pero conlleva a caminos diferentes.

Por un lado, si deciden contratar a una consultoría será un camino más “fácil” para obtener la certificación, ya que las empresas que se dedican a esto ya tienen experiencia en el tema y saben abordar las dificultades que conlleva una implementación, sin embargo, este servicio suele tener un costo elevado y que es independiente al costo que vendrá más adelante para el servicio de certificación.

Por otro lado, está el camino más “complicado” pero a su vez, menos costoso, que es implementarlo con el propio personal de la empresa, y para lograrlo debemos pasar al siguiente paso.

2do paso: Capacitación.

Ahora que la organización ha decidido conseguir la certificación por su propia cuenta, es necesario que se designe al personal que coordinara la implementación y enviarlo a capacitación. Es importante que se busque a un buen proveedor de capacitación que aporte mucho valor y conocimiento al personal, ya que tomar un curso barato con una persona sin la competencia adecuada no aporta el impulso necesario para comenzar la implementación. Las mejores recomendaciones para tomar cursos son: consultorías, organismos de certificación, o entidades de acreditación.

Existe también otra opción de capacitación que sería el autoestudio, donde la organización compra la norma ISO en la que se quiere certificar y la persona designada la lee y estudia para poder implementarla, no obstante, este camino es el más largo y menos eficaz.

3er paso: Implementación.

Una vez que el personal ha obtenido el conocimiento de la norma ISO que se quiere certificar, es momento de llevarlo a la práctica. Este es el paso más tardado, ya que la persona o personas designadas deberán documentar cómo la empresa va a dar cumplimiento a todos los requisitos de la norma ISO, en este paso se crea toda la información documentada que va a dar soporte al sistema de gestión y el tiempo puede variar de acuerdo con el tamaño de la organización, normalmente se establecen periodos de 6 meses.

Como obtener certificación iso 27001

4to paso: Generar evidencia.

Cuando el sistema de gestión se ha implementado, es necesario ponerlo en marcha y generar la evidencia documental de que funciona. Esto se consigue conservando registros del funcionamiento de los procesos de la empresa, por ejemplo, listas de verificación, contratos, cotizaciones, solicitudes, bitácoras, encuestas de satisfacción, resultados de los objetivos, etc.

Toda esta evidencia es necesaria para determinar si el sistema de gestión es eficaz y se recomienda tener evidencia de por lo menos 3 meses para que sea suficiente.

5to paso: Auditoría interna.

Con la evidencia lista, se debe realizar una auditoría interna, esta auditoría puede ser subcontratada con un consultor ISO, o bien, capacitar a tu propio personal para ser auditor ISO interno. De la auditoría interna se deben generar evidencias como el programa de auditoría y el informe de la auditoría. Si se detectaron no conformidades durante la auditoría interna, estas deben ser atendidas antes de la auditoría de certificación

6to paso: Revisión por la dirección.

El penúltimo paso es la corrección que debe ejecutar la alta dirección donde se verificarán varios puntos como el cumplimiento de los objetivos, la eficacia del control de los riesgos, los resultados de la auditoría interna, entre otras cosas.

De esta revisión se debe generar un informe donde la alta dirección detecte oportunidades de mejora para el sistema de gestión, adecuación de recursos o cambios al sistema de gestión

Beneficios de la certificación ISO 27001

7mo paso: Certificación.

Una vez que se han hecho los pasos anteriores, la organización está lista para recibir una auditoría de certificación por una tercera parte, en este caso, las terceras partes son Organismos de Certificación de Sistemas que estén acreditados ante una Entidad de acreditación, ya sea mexicana o extranjera.

El servicio de estos organismos consiste en una auditoría a todo el sistema de gestión y cuyo resultado, en caso de ser positivo, otorga el Certificado en la norma ISO que se haya solicitado.

¿Cuáles son los beneficios de implementar la ISO 27001?

  • Satisfaces a tus Clientes
  • Tu negocio tiene un constante crecimiento
  • Cumplimiento Legal
  • Evitar extorsiones por fuga de información
  • Obtener valor agregado por encima de tu competencia
  • Prácticas seguras
  • Certificación Global

¿Cuál es el proceso de la Certificación de la ISO 27001?

Si bien, todos los procesos de Certificación están conformados por 3 pasos, aquí te vamos a indicar como eficientar tu proceso de certificación.

¿Aún no sabes como escoger un buen organismo de certificación? Sigue este enlace

Previous Post
Next Post

Comments

Actualización ISO 27001:2022 Seguridad de la información - Análisi

[…] Certificación ISO 27001 Sistema de gestión de seguridad de la información. Clic aquí […]

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *