1. ¿Qué es la ISO 27001?

La ISO 27001 es una norma desarrollada por la Organización Internacional de Normalización, cuyo propósito principal es ayudar a gestionar la seguridad de la información en una empresa.

Este estándar internacional establece los requisitos necesarios para la implementación, mantenimiento y mejora continua de un Sistema de Gestión de la Seguridad de la Información (SGSI). Los objetivos del SGSI son preservar la confidencialidad, integridad y disponibilidad de la información consiguiendo así protegerla contra cualquier amenaza, indistintamente del formato de la misma y garantizando, por tanto, la continuidad de las actividades de la empresa en todo momento.

2. Fases para su implementación.

A la hora de realizar una ISO 27001, debemos tomar como eje central la Evaluación de Riesgos ya que será el punto en el que se apoyará la empresa para definir el alcance y ámbito de aplicación de la norma, así como las políticas y medidas a implantar.

A pesar de que existen numerosas metodologías estandarizadas para la evaluación de riesgos, las fases sugeridas para dicha Norma son las siguientes:

                                                      Fuente: normas-iso.com

• Identificar los Activos de Información, entendiendo como activo todo lo que tiene valor para la organización, ya sea desde el punto de vista físico o intelectual, así como la reputación, la marca, etc. Además, también es necesario identificar a las personas responsables de éstos.
• Identificar las Vulnerabilidades de cada activo: debilidades que lo hacen susceptible de ataques o daños.
• Identificar Amenazas: cosas que pueden suceder y dañar el activo, como por ejemplo un virus o un incendio.
• Identificar Requisitos Legales que la empresa tiene para con su clientela, personas socias y/o negocios proveedores.
• Identificar los Riesgos: tener en cuenta la disponibilidad, confidencialidad e integridad del activo para definir la probabilidad de que las amenazas o vulnerabilidades que tenga puedan causar un daño total o parcial en el mismo.
• Cálculo del Riesgo: se utiliza para determinar los riesgos que deber ser controlados con prioridad.

Riesgo = impacto x probabilidad de la amenaza

• Plan de Tratamiento del riesgo: se define la política de tratamiento de los riesgos en función de lo anterior y de la política definida por la dirección.

3. ¿Qué empresas deben implantar una ISO 27001?

Todas aquellas que tengan presencia en Internet, desde una página web hasta empresas dedicadas a prestar servicios tercerizados, así como empresas de banca y seguros y aquellas que manejen información sensible. Es decir, si tu empresa tiene un sitio web, recaba información de clientes y para las operaciones usa email, mensajería, almacenamiento de archivos, bases de datos o algún otro servicio digital, sería recomendable que implantaras la ISO 27001 ya que, a nivel mundial, es la norma de referencia para certificar la seguridad de la información en las organizaciones sin importar su tamaño y actividad.

4. ¿Qué beneficios puede aportarle a mi empresa esta certificación?

Disponer de una certificación de la Norma ISO 27001 le otorga a tu empresa la capacidad de diferenciarse de la competencia, puesto que deja constancia de la mejora en lo que a eficacia, coherencia y fiabilidad de los servicios se refiere, puesto que corrobora que se ha hecho un trabajo previo para conocer y verificar los riesgos de la organización y proceder a su subsanación, de manera que queda proporcionada la existencia de seguridad frente a posibles ciberataques. Por otro lado, también se reduce el riesgo de la empresa a recibir litigios y sanciones por la protección de datos, puesto que ésta también queda recogida en la certificación. Todo ello conlleva un ahorro de costes final para la organización.

En Ingade contamos con el mejor equipo especializado en Seguridad de la Información y, no solo te asesorarán, sino que también te escucharán y te acompañarán durante todo el proceso para intentar facilitarte todo el procedimiento y, de manera conjunta, que logres alcanzar la certificación que te distinga de la competencia y constate que cuidas al máximo detalle a tu clientela.