Certificación ISO/IEC 27001 (ISMS) para la gestión de la seguridad de la información

La norma ISO 27001 es la norma internacional sobre sistemas de gestión que establece los requisitos para un Sistema de Gestión de la Seguridad de la Información (SGSI). La norma proporciona un marco de mejores prácticas para identificar, analizar e implementar controles para gestionar y mitigar los riesgos, reduciendo la probabilidad de una violación de la seguridad de la información.
Cualquier organización, independientemente del tamaño y los sectores, puede utilizar los requisitos y sistemas de control de la norma ISO 27001 para implantar un SGSI eficaz que pueda certificarse de forma independiente.

La certificación ISO 27001 acreditada por un organismo de certificación independiente y de renombre demuestra su compromiso con la seguridad de la información, proporcionando una visión imparcial con respecto a la solidez y efectividad de su SGSI. Esto ayuda a cumplir las obligaciones contractuales y, en muchos casos, actúa como licencia de comercio.

Proteja sus datos y su reputación

La certificación ISO 27001 demuestra que ha establecido un enfoque sistemático y basado en el riesgo para la seguridad de la información que impulsa las prácticas recomendadas en torno a: 

• Identificación de información y riesgos de ciberseguridad
• Análisis de riesgos en función del impacto y la probabilidad
• Evaluación de riesgos y priorización cuando se abordan en función de factores relacionados con su negocio
• Selección de opciones de tratamiento de riesgos

Demuestre el cumplimiento de la legislación, los reglamentos y los requisitos contractuales

La obtención de la certificación ISO 27001 requiere que usted identifique la legislación aplicable, como el RGPD de la UE o normas como HIPAA. Esto tiene un impacto positivo en la gestión de riesgos y el gobierno corporativo, ayudándole a demostrar el cumplimiento y a satisfacer los requisitos contractuales.

Ventaja competitiva

La certificación de LRQA ofrece a las partes interesadas la seguridad de que los riesgos de seguridad, que podrían estar relacionados con las TI, las personas, el medio ambiente y la continuidad de negocios, se han abordado adecuadamente para proteger su información.

La certificación ISO 27001 es una clara declaración de sus aptitudes y demuestra que opera de acuerdo con las buenas prácticas reconocidas internacionalmente, lo que le permite conseguir nuevos negocios.

Las auditorías ISO 27001 siguen el mismo planteamiento que otros sistemas de gestión basados en Annex SL. Puede comenzar con la formación y el análisis de deficiencias, pero el proceso formal implica una auditoría del diseño del SGSI (Etapa 1) y una auditoría de su funcionamiento (Etapa 2). Una persona cualificada e independiente de LRQA revisa técnicamente los resultados de estas auditorías para garantizar la coherencia y la adecuación a las prácticas recomendadas establecidas por los acreditantes.

Una vez que se aprueba su certificación ISO 27001, comienza un ciclo de tres años de auditorías de seguimiento que conducen a una auditoría de renovación para restablecer los próximos tres años. El seguimiento permite que LRQA y su organización gestionen los cambios y garanticen que las auditorías sean relevantes para las necesidades actuales de la industria.

Una vez aprobada, la certificación dura tres años, siempre que se demuestre la eficacia del mantenimiento del sistema a través del sistema de seguimiento.

Una declaración típica del alcance del certificado ISMS incluye actividades relacionadas con la entrega de productos y servicios. No necesita incluir actividades internas ni procesos ISMS. El objetivo es garantizar al lector que la información proporcionada al recibir el producto o servicio está protegida.

La declaración de aplicabilidad hace referencia a la lista de controles seleccionados. No proporciona detalles de esos sistemas de control, sino una referencia trazable a una declaración de control utilizada como base para la última auditoría de la norma ISO 27001. A veces, las organizaciones tienen una versión pública que se puede compartir que simplemente enumera los controles seleccionados del Anexo A de la norma ISO 27001, pero este no es un requisito obligatorio.

El coste se basa en el número de días de auditoría, que está relacionado con el número de empleados en el ámbito del SGSI. El número de días de auditoría se publica en la norma de acreditación, ISO 27006, y está disponible para todos. Contratar a un organismo de certificación acreditado como LRQA le garantiza una propuesta de duración de la auditoría basada en las mejores prácticas del sector que es comparable a la de todos los demás organismos de certificación acreditados.

Por ejemplo, una organización de 100 equivalentes a tiempo completo (ETC) debería esperar una duración de la auditoría inicial (Etapa 1 + Etapa 2) de entre 8 y 12 días, dependiendo del sector en el que operen, de la complejidad de su entorno de trabajo, de si participan en el desarrollo de software o de si necesitan incorporar la seguridad al producto. El programa de seguimiento posterior sería de 3 a 4 días al año y la renovación de 6 a 8 días.

Sí, ya que tanto la ISO 9001 como la ISO 27001 se basan en el modelo genérico de buenas prácticas para los sistemas de gestión (Anexo SL), los procesos de gestión centrales se pueden optimizar para cumplir los requisitos de ambas normas. De hecho, el diseño de un sistema para abordar ambos mejora la eficacia de la gobernanza organizativa. Por ejemplo, los objetivos empresariales, como el crecimiento, a menudo requieren la elaboración de nuevos productos en los que la seguridad se considera, por lo general, un estándar de calidad en línea con las expectativas del mercado. La integración también puede minimizar la duplicación, lo que puede reducir el tiempo de auditoría y ofrecer una opción rentable.

El camino que toma su organización para lograr la certificación ISO 27001 a menudo depende del nivel de madurez de su empresa en cuanto a seguridad de la información y gestión del riesgo en general, entre otros factores. Pero el proceso típico para obtener la certificación ISO 27001 incluye tres pasos principales.

• Fase 1 de la auditoría: revisión y planificación de documentos: Su auditor revisará el diseño y la documentación de sus sistemas de gestión; en la mayoría de los casos, esto se realiza de forma remota.
• Fase 2 de la auditoría: evaluación de la implementación: Su auditor evaluará la aplicación y efectividad de su SGSI de acuerdo con los requisitos de la norma ISO 27001. Si no hay disconformidades, recibirá su certificación. Esta etapa se puede llevar a cabo de forma remota o in situ.
• Promueva su certificación ISO 27001: Su certificación demuestra su compromiso con las buenas prácticas reconocidas internacionalmente y la mejora continua, lo que le permite obtener nuevos negocios y satisfacer las exigencias de los clientes.

La publicación de la norma ISO 27002:2022 proporciona una actualización de la lista de controles presentes en la norma ISO 27001, que data de 2013. La revisión de los sistemas de control refleja los avances relacionados tanto con las amenazas como con las prácticas recomendadas actuales, y el alcance ampliado de la norma ISO 27002 contribuye a garantizar que las medidas de gestión del riesgo sean amplias y eficaces. Las organizaciones pueden utilizar la lista completa de sistemas de control para tratar los riesgos que han detectado o detectar posibles lagunas, lo que les permite mantenerse un paso por delante del complejo y cambiante panorama de amenazas al que se enfrentan los negocios actuales.

Una nueva versión de ISO 27001 fue publicada el 25 de octubre de 2022. Con los nuevos controles descritos por ISO 27002:22, las organizaciones deberán revisar su evaluación de riesgos y determinar si es necesario implementar nuevos tratamientos de riesgos.