Dentro del mercado de la informática el poseer una certificación en seguridad en la información es fundamental, ya que como bien se ha mencionado anteriormente, la protección de la información es fundamental e incluso vital para cualquier empresa u organización, ya que le ayuda a gestionar y proteger sus valiosos activos de información.
¿Qué es una certificación?
La certificación de una organización consiste en que un tercero acreditado, visite una organización, audite su sistema de gestión y emita un certificado que demuestre que esta organización cumple los principios establecidos en la norma de que se trate de certificar.
En esta ocasión hablaremos de la certificación ISO/IEC 27001, que como se ha mencionado en ocasiones anteriores, es la única norma internacional auditable que define los requisitos para un sistema de gestión de la seguridad de la información (SGSI). Dicha norma se ha creado para garantizar la selección de controles de seguridad adecuados.
La implementación de las normas ISO/IEC 27001 ayudan a proteger los activos de información y otorga confianza a cualquiera de las partes interesadas, sobre todo a los clientes. La norma adopta un enfoque por procesos para establecer, implementar, operar, supervisar, revisar, mantener y mejorar un sistema de gestión de la seguridad de la información.
¿Qué ventajas ofrece poseer una certificación ISO/IEC 27001?
El certificar un Sistema de Gestión de la Seguridad de la Información según la norma ISO/IEC 27001 puede aportar las siguientes ventajas a una organización:
-> Demuestra la garantía independiente de los controles internos y cumple los requisitos de gestión corporativa y de continuidad de la actividad comercial.
-> Demuestra independientemente que se respetan las leyes y normativas que sean de aplicación.
-> Proporciona una ventaja competitiva al cumplir los requisitos contractuales y demostrar a los clientes que la seguridad de su información es primordial.
-> Verifica independientemente que los riesgos de la organización estén correctamente identificados, evaluados y gestionados al tiempo que formaliza los procesos, procedimientos y documentación de protección de la información.
-> Demuestra el compromiso de la dirección de la organización con la seguridad de la información.
-> El proceso de evaluaciones periódicas ayudan a supervisar continuamente el rendimiento y la mejora.
-> Demuestra la garantía independiente de los controles internos y cumple los requisitos de gestión corporativa y de continuidad de la actividad comercial.
-> Demuestra independientemente que se respetan las leyes y normativas que sean de aplicación.
-> Proporciona una ventaja competitiva al cumplir los requisitos contractuales y demostrar a los clientes que la seguridad de su información es primordial.
-> Verifica independientemente que los riesgos de la organización estén correctamente identificados, evaluados y gestionados al tiempo que formaliza los procesos, procedimientos y documentación de protección de la información.
-> Demuestra el compromiso de la dirección de la organización con la seguridad de la información.
-> El proceso de evaluaciones periódicas ayudan a supervisar continuamente el rendimiento y la mejora.
¿A que tipo de organizaciones esta orientada la certificación ISO/IEC 27001?
ISO/IEC 27001 es un conjunto de normas adecuadas para cualquier tipo de organización, grande o pequeña, de cualquier sector o parte del mundo. La norma es especialmente aplicada en sectores donde la protección de la información es crítica, como en finanzas, sanidad sector público y tecnología de la información (TI).
Además, la norma ISO/IEC 27001 es muy eficaz para organizaciones que gestionan la información por encargo de otros, por ejemplo, empresas de subcontratación de TI. Ya que garantiza a los clientes que su información está protegida.
Pasos para obtener una certificación ISO/IEC 27001 (o cualquier otra certificación ISO/IEC):
1. Elegir la norma en la que se desea certificar: antes de solicitar la norma deseada se debe estudiar su contenido y familiarizarse con los estándares a aplicar.
2. Contactar a un organismo acreditado para realizar la solicitud de la norma.
3. Cita con el equipo de evaluación: la organización de acreditación proporciona un miembro experto que proporciona ayuda para preparar la evaluación del sistema de gestión de seguridad de la información.
4. Considerar la capacitación: en el caso de ser primera vez tomando una acreditacion por parte de la empresa siempre se recomienda el considerar capacitar al personal correspondiente en el ámbito de las normas de seguridad.
5. Revisión y evaluación: realización de la revisión y análisis de los procesos operativos del sistema de gestión de seguridad de la información existente según la norma e identificar cualquier omisión o punto débil que deba resolverse antes de la evaluación formal. Una vez resueltas las posibles incidencias, se lleva a cabo una evaluación exhaustiva en las instalaciones de la empresa.
6. Certificació: Una vez concluida correctamente la evaluación, se emite un certificado de registro que explica claramente el alcance de la certificación. El certificado extendido, tiene una validez de tres años y un asesor visitará regularmente la organización para ayudar a garantizar que se continúa cumpliendo con los requisitos de la norma, además de brindar ayuda para la mejora continua de los sistemas.