¿Para qué sirve la norma ISO 27001 de Seguridad de la Información?
Esta norma incluye los pasos a seguir para implantar un sistema de gestión de seguridad de la información en una empresa u organización.
En un mundo en el que todo gira entorno a Internet y bases de datos es imprescindible que las empresas que operan en el contexto digital tengan un buen sistema de gestión de seguridad de la información para evitar ataques informáticos que puedan comprometer su actividad.
Una de las maneras de hacer saber a los clientes que se cuenta con ese sistema es a través de una norma ISO que acredite que se ha establecido siguiendo un protocolo internacional. En este caso sería la norma ISO 27001 la encargada de garantizar la ciberseguridad de los sistemas de información. Esta norma no es de obligado cumplimiento, sino que, como cualquier norma ISO, es voluntaria por parte de la empresa. A continuación te explicamos en qué consiste.
1. Qué es la norma ISO 27001 y para qué sirve
La norma ISO 27001 de Seguridad de la Información es un estándar internacional que certifica que quien la posee cumple con una serie de garantías, en este caso de seguridad de la información, y que cuenta con un sistema capaz de afrontar los ataques informáticos, secuestros de información, fraudes u otras amenazas tecnológicas.
Cualquier empresa u organización puede diseñar un sistema de gestión de seguridad de la información basándose en este estándar. Esta norma da confianza y seguridad a los clientes de la compañía, ya que permite saber que cuenta con los controles y procedimientos necesarios tanto para evitar un ciberataque como para solventarlo. Asimismo, el sistema de seguridad de la empresa debe garantizar la confidencialidad de la información, a la que solo accederá el personal autorizado, y que estará disponible para su consulta cuando lo necesiten.
En resumen, la norma ISO 27001 contiene las medidas necesarias para proteger la información de una organización, independientemente de su formato y el sector en el que opere, asegurando la integridad de los datos. Sirve para evaluar los riesgos a los que está expuesto una compañía y a establecer medidas para solventarlos. A su vez, no solo hace referencia a la información almacenada en sistemas informáticos, sino a documentos en papel y cualquier otro tipo de información (correos electrónicos, vídeos, cartas, etc.).
2. Cómo implantar un Sistema de Gestión de la Información con la norma ISO 27001
La norma ISO 27001 fija el protocolo a seguir a la hora de implantar un Sistema de Gestión de la Seguridad de la Información (SGSI) en una empresa. El proceso abarca varias fases, como definir el alcance de este sistema, analizar los riesgos y su gestión, seleccionar qué controles se van a implementar, cómo aplicarlos y finalmente cómo revisar este sistema.
La norma ISO 27001 describe la terminología que se aplica en este estándar, recoge indicaciones para comprender las necesidades de la empresa en materia de seguridad de la información, incluye cómo debe ser la planificación del SGSI y sus objetivos, e incluso cómo mejorarlo una vez evaluado mediante una auditoría interna.
El objetivo de esta certificación, explican desde AENOR (Asociación Española de Normalización y Certificación), es implantar la ciberseguridad orientada a los procesos y objetivos del negocio considerando el análisis de riesgos. Entre los beneficios que implica aplicar esta norma en la empresa se encuentra el cumplimiento de normativas sobre protección de datos y privacidad, así como la optimización de recursos y costes orientados a la ciberseguridad.
3. Cómo ser auditor de la norma ISO 27001
Parte del proceso de implantación del sistema de gestión de seguridad de la información pasa por realizar una auditoría interna que permita adoptar acciones correctivas y preventivas. Para saber si un sistema se está implementando bien, éste debe ser evaluado por un auditor que compruebe y analice las amenazas de seguridad, gestione al equipo y conozca los componentes de SGSI para asegurar su competencia.
De este modo, quienes quieran ser auditores de la norma ISO 27001 pueden hacer uno de los siguientes cursos, que les formarán en el sistema de gestión de seguridad de la información:
· Curso de Implantación y Auditoría ISO 27001 de ACEDIS Formación
· Curso Auditor ISO 27001 en Seguridad de la Información de Euroinnova Formación
· Curso Auditor ISO 27001 en Seguridad de la Información de INESEM Formación Continua
· Postgrado en Sistemas de Gestion Iso 27001: Experto Auditor Iso 27001 + Gestor de Sistemas de Seguridad de la Informacion 27001 de Euroinnova Formación
· Técnico Profesional en Sistema de Gestión de Seguridad de la Información UNE-ISO/IEC 27001:201 de INESEM Formación Continua
