ISO 27001 indicada por la empresa propietaria

¿Qué es exactamente el Sistema de Gestión de Seguridad de la Información Certificado ISO 27001 y qué estándares se deben cumplir para obtenerlo? ¿Realmente aporta valor real al mercado de la información y por qué las instituciones financieras más grandes, como los bancos, le dan tanta importancia?

(Datos transparentes) (6 de noviembre de 2020)

Estándar del sistema de gestión de seguridad de la información ISO 27001

Disfrutando del Datos transparentes en la cuarta auditoría sucesiva de ISO 27001, revelamos algunos secretos mayores y menores de este estándar internacional:

  • Qué es ISO / IEC 27001 y quién lo estableció
  • Por qué ¿Se dice que aporta valor al mercado de la información
  • Por qué vale la pena comprobar si la empresa que nos proporciona o procesa los datos los tiene
  • TOP ISO 27001 Q & A para com empresas que se preguntan si obtenerla (entre otras, cuál es la parte más difícil de todo el proceso de certificación)
  • 4 pasos clave de todo el proceso de solicitud de un certificado .

¿Qué es exactamente el sistema de gestión de seguridad de la información certificado por ISO / IEC 27001?

En términos generales, el Sistema de Gestión de Seguridad de la Información (SGSI) que cumple con la norma internacional ISO / IEC 27001 es un conjunto de reglas que definen la introducción y mejora de un sistema de identificación de riesgos evaluado independientemente y un sistema de seguridad preciso en una empresa en todas las áreas de actividad .

Este certificado internacional y respetado a nivel mundial y los requisitos para obtenerlo han sido establecidos por la Organización Internacional de Normalización (ISO), que es actualmente la organización no gubernamental más grande del mundo que establece estándares comerciales, y la Comisión Electrotécnica Internacional (IEC), que es la organización de desarrollo de estándares de tecnología global más conocida. Los estándares preparados por estos organismos forman la base de los estándares nacionales y la referencia para contratos y licitaciones internacionales.

El cumplimiento del estándar ISO / IEC 27001 demuestra ser el más alto protección de todos los datos comerciales y confidenciales, minimizando así el riesgo de acceso no autorizado a ellos.

La obtención de este certificado se ubica junto a las empresas más grandes del mundo mercado. Esta es una distinción especial, porque todavía son pocas las empresas que se ocupan de la provisión de información económica y empresarial o la implementación de herramientas de apoyo al análisis de información para que las empresas puedan presumir de cumplir con este estándar.

¿Qué valor tiene? ¿Llevar ISO 27001 al mercado de la información?

Cuando pensamos en respaldar nuestro propio negocio con información empresarial externa, lo que tenemos en cuenta en primer lugar es su puntualidad y credibilidad. Nadie necesita información desactualizada, ya que hay una versión más nueva y modificada. Adivinaciones, opiniones, datos poco fiables no son algo en lo que queramos basar nuestras decisiones.

Si consideramos detenidamente el procedimiento para adquirir información de la empresa, llegamos rápidamente a una conclusión más: no solo es importante lo que compramos, sino también de quién. Cómo se almacena la información, quién tiene acceso a ella y cómo se protege contra las fugas no deseadas son igualmente importantes. Recordemos, por ejemplo, la filtración de datos de alto perfil de los datos personales de los clientes de Zoom de este año.

Digámoslo de nuevo:

a quién le compramos información.

Esta es una de las razones por las que las instituciones más poderosas, como los bancos, deciden cooperar solo con empresas certificadas por la norma ISO / IEC 27001.

ISO 27001 de la perspectiva de la empresa que la tiene: TOP Q & A

¿Qué significa en la práctica obtener la certificación ISO / IEC 27001? ¿Cómo afecta las operaciones comerciales?

El proceso mismo de obtener el cumplimiento de la norma aporta un valor considerable a los procesos internos de la empresa, su misión y objetivos – permite organizar las prácticas aplicadas y apoya el desarrollo de buenos hábitos de cuidado de la seguridad de la información por parte de los empleados de la empresa en todos los niveles.

Como único estándar de este tipo, también permite verificar si las soluciones adoptadas por la empresa realmente se encuentran al más alto nivel o si el sistema de seguridad debe mejorarse. Este conocimiento es siempre valioso para una empresa orientada al desarrollo.

Externamente, sin embargo, la obtención de ISO 27001 abre la puerta a la cooperación con los clientes más exigentes, como bancos o corporaciones globales. En otras palabras, influye positivamente en el crecimiento de la confianza de los clientes y la credibilidad de la empresa en el mercado.

Si el valor de la norma ISO 27001 contribuye al aumento de la confianza del cliente y la credibilidad de la empresa, ¿por qué ¿Tan pequeñas empresas que brindan información no solicitan este certificado?

El procedimiento para obtener la ISO / IEC 27001 es largo, complicado y requiere que la empresa cumpla con requisitos muy precisos en cuanto al sistema de identificación de riesgos y la seguridad económica, información comercial y confidencial. Un sistema de gestión de seguridad de la información certificado se asocia comúnmente con muchos meses de preparación y capacitación, por lo que la mayoría de las empresas creen que solo está disponible para los jugadores más grandes con un capital sustancial y cientos de empleados.

Ya sean pequeñas o ¿Las empresas medianas también pueden obtener la certificación ISO 27001?

Sí, y lo sabemos por experiencia propia. En Transparent Data no tenemos cientos de empleados y aun así logramos romper el estereotipo de que el tamaño importa. Somos una casa de software de datos relativamente pequeña, pero a cambio somos muy ágiles y rápidos, por lo tanto, a pesar del mayor número de obligaciones que recayeron sobre nosotros junto con la preparación para la auditoría de certificación, pasamos por todo el procedimiento sin problemas.

¿Cuánto tiempo es válida la certificación ISO 27001?

Estándar de 3 años, pero al menos una vez al año el organismo de certificación acude a la empresa para volver a comprobar el cumplimiento de las normas ISO 27001 y si la empresa realmente se esfuerza por mejorar los sistemas. A diferencia de la mayoría de los otros estándares, éste es, por tanto, único. El trabajo no termina con conseguirlo. Aún debe estar preparado para conservarlo.

¿Es difícil cumplir con los estándares internacionales de seguridad de gestión de la información? ¿Está ISO 27001 relacionada con la implementación de procedimientos complicados?

Si usted es una empresa que ha estado operando en el mercado durante muchos años y tiene clientes grandes y exigentes en su cartera, entonces la mayoría de los procedimientos de seguridad son ya en la práctica, y si no, su implementación no le causará muchos problemas. Al menos ese fue nuestro caso. Como proveedores de datos, tuvimos que mejorar nuestros procedimientos más de una o dos veces para cumplir con los muy altos requisitos de seguridad de las instituciones financieras mucho antes de proceder con la certificación ISO / IEC 27001. Es por eso que la implementación no fue particularmente difícil para nosotros.

Sin embargo, toda la experiencia resultó ser muy valiosa desde el punto de vista de la cultura organizacional; ya hemos hecho muchas cosas antes de ISO 27001, pero solo verlos escritos en forma de requisitos nos hizo plenamente conscientes de por qué lo hacemos. Como organización, definitivamente nos hemos beneficiado de ella.

¿Cuál es la parte más difícil de todo el proceso de certificación ISO 27001?

Probablemente no deberíamos hablar de ello en voz alta, pero Seamos transparentes: la parte más difícil es la parte formal, es decir, montones de documentos a la espera de ser completados. Desafortunadamente, debe reservar algunas semanas para esta actividad y recordar que cada cambio en la empresa, aunque sea un poco como reemplazar una computadora, requiere completar no un documento adicional, sino una carpeta completa de documentos.

¿Existen políticas específicas que definan el estándar de administración de seguridad de la información?

La más importante Lo que hay que desarrollar es el Libro del Sistema Integrado de Gestión, que define todo el alcance de las obligaciones que se deben cumplir para cumplir con la norma ISO. Contiene la lista completa de procedimientos, instrucciones, políticas, recursos de la empresa y cuadros de responsabilidades de gestión.

A continuación tenemos, entre otros, la Política de Seguridad de la Información, que define el alcance de las responsabilidades y obligaciones relacionadas con el procesamiento. de datos personales (por ejemplo, deberes del administrador de seguridad de la información, administrador de sistemas de TI, representante de gestión de sistemas integrados y otros empleados de la empresa). También describe qué tipos de datos gestionamos como empresa, en qué sistemas se procesan o de qué conjuntos de datos somos el controlador.

Otras políticas principales incluyen, por ejemplo, la Política de Gestión de Continuidad del Negocio, cuyo objetivo es garantizar la estabilidad del trabajo en el ámbito del tratamiento de la información. Debe incluir, entre otros escenarios de conducta en caso de un ciberataque, falla del sistema, corte de energía, incendios, desastres, ausencia de empleados clave o pérdida de activos importantes para la empresa.

¿Cómo es todo el proceso de solicitud de un certificado ISO 27001?

Todo el proceso de solicitud de un certificado ISO 27001 se puede dividir en 4 pasos clave:

  1. Lo que debe hacer al principio es un estudio exhaustivo de los requisitos contenidos en ISO 27001, y luego analizar todos los documentos que la empresa ya tiene en términos de ellos. Si encontramos deficiencias o inconsistencias, tenemos que ajustar nuestras políticas internas a un estándar internacional y editar o crear nuevos documentos.
  2. El siguiente paso es capacitar a todos los empleados y a todo el personal de gestión en las políticas vigentes en la norma ISO / IEC 27001. Esto requiere , por supuesto, la designación de las personas adecuadas en la empresa, que serán responsables del proyecto de la A a la Z.
  3. Solo podrá comenzar a implementar la seguridad necesaria sy vástagos, y deben «trabajar» en el entorno cotidiano natural de la empresa durante un mínimo de varios meses , y si realmente funcionan debe ser confirmado por una auditoría interna, lo que significa que alguien de la empresa debe ser un auditor interno certificado u obtener los permisos correspondientes.
  4. Si ya hemos completado la creación de toda la documentación, la capacitación de los empleados y en la práctica cumplimos con los estándares indicados, solo entonces tenemos luz verde para comenzar los esfuerzos oficiales para obtener un certificado. Luego, necesitamos encontrar un organismo de certificación de sistemas de gestión externo y estar listos para una auditoría externa independiente . Solo después de esta evaluación formal, la empresa recibe el certificado.

El valor real de ISO 27001 en los negocios (perspectiva del cliente)

Explicar la importancia de la 27001 en el área de datos de la empresa, podemos comparar las empresas que proporcionan información comercial con las casas de moneda. Cada empresa suministra al mercado información económica, es decir, oro. Estas empresas más conscientes intentan incrementar la seguridad de sus clientes y la suya propia tomando precauciones especiales, como proteger el convoy o cerraduras de seguridad adicionales. ISO 27001 en esta comparación es una unidad especial y una cadena de 15 mm de grosor con tres candados: uno para la combinación, el otro para la huella dactilar y el tercero para lo que acaba de desayunar.

También le puede gustar :

(

El problema de los sistemas heredados – el ABC de la deuda tecnológica

Sistemas heredados – este nombre refleja perfectamente tanto su naturaleza obsoleta como problemática. Esas aplicaciones y…

medium.com

) (

¿Cómo lidiar con los sistemas heredados? Estrategias para salir de la deuda tecnológica

Crear un nuevo sistema desde cero, refactorizar y reescribir el código – estas son tres estrategias para salir de…

medium.com

) (

Automatización de la incorporación de clientes B2B con datos regulatorios

Cómo acortar el proceso de registro de clientes comerciales y acelerar la incorporación? Qué campos del registro …

medium.com

)