Protegemos y gestionamos con seguridad los datos de su empresa con ISO 27001

ISO 27001 es una norma internacional que permite el aseguramiento, la confidencialidad e integridad de los datos y de la información, así como de los sistemas que la procesan.

Cumplir con los requerimientos legales

Obtener una ventaja comercial

Menores costes

Una mejor organización

ISO 27001 es la norma internacional por excelencia de
protección de datos personales

ISO 27001 - Gestión de la seguridad de la información

¿Cuáles son las ventajas del sistema de Gestión de Seguridad de la Información ISO/IEC 27001?

  • Identificar los riesgos y establecer controles para gestionarlos o eliminarlos
  • Flexibilidad para adaptar los controles a todas las áreas de su empresa o solo a algunas seleccionadas
  • Conseguir que las partes interesadas y los clientes confíen en la protección de los datos
  • Demostrar conformidad y conseguir el estatus de proveedor preferente
  • Cumplir con más requisitos demostrando conformidad
  • ¿Qué es ISO 27001: Gestión de Seguridad de la Información?

    La ISO/IEC 27001 es la norma internacional para la Gestión de Seguridad de la Información. Indica cómo establecer un sistema de Gestión de Seguridad de la Información auditado y certificado de forma independiente. Esto le permite asegurar de un modo más eficaz todos los datos financieros y confidenciales, minimizando así el riesgo de accesos ilegales o sin permiso. Con la norma ISO/IEC 27001 podrá demostrar su compromiso y conformidad con las mejores prácticas globales, indicando a clientes, proveedores y demás partes interesadas que la seguridad constituye una prioridad máxima en su modo de trabajar.

    Implantación del Sistema de Gestión de Seguridad de la Información ISO/IEC 27001

    Asegure sus valiosos activos de información aplicando la norma ISO/IEC 27001 en su empresa. Trabaje con nosotros para crear un sistema de Gestión de Seguridad de la Información (SGSI) diseñado para sus necesidades específicas.

    ¿Está preparado para la implantación?

    Cada empresa tiene un conjunto de datos y unos riesgos de seguridad específicos que gestionar. Asimismo, cada organización se encuentra en una fase diferente en su Gestión de Seguridad de la Información. Por ese motivo, ofrecemos packs a medida que sirvan para dar prioridad a la Seguridad de la Información. Un pack ISO/IEC 27001 puede incluir solamente los productos y servicios que su empresa necesita. Podemos ayudarle a reducir el coste de servicios o productos innecesarios, así como a superar los retos concretos a los que se enfrenta. Le ayudaremos a definir un plan de proyecto ISO/IEC 27001 con los sistemas de los que ya dispone. Y nos aseguraremos de que la seguridad se convierta rápidamente en una prioridad para su forma de trabajar, sin importar la fase en la que se encuentre.

    ¿Por qué es necesaria?

    Ahora bien, ¿por qué es necesario este documento cuando usted ya ha confeccionado el Informe sobe la evaluación de riesgos, que también es obligatorio y que también define los controles necesarios? Estos son los motivos:

  • Ante todo, durante el tratamiento de riesgos usted identificó los controles que debían implementarse porque primero identificó los riesgos que era necesario disminuir. Sin embargo, en la DdA usted también identificó los controles necesarios por otras razones; por ejemplo, por motivos legales, por requisitos contractuales, por otros procesos, etc.

  • Segundo, el Informe sobre la evaluación de riesgos puede resultar bastante largo: algunas organizaciones pueden identificar algunos miles de riesgos (a veces, aún más); por eso, un documento de estas características no resulta realmente útil en el uso operativo diario. En cambio, la Declaración de aplicabilidad es bastante breve ya que tiene 133 filas (cada una representa un control); esto permite que pueda ser presentada ante la gerencia y que pueda ser actualizada.

  • Tercero, y más importante, la DdA debe documentar si cada control aplicable ya está implementado o no. Una estrategia efectiva, y que la mayoría de los auditores buscará, también es describir cómo se implementa cada control aplicable; por ejemplo, haciendo referencia a un documento (política, procedimiento, instrucciones de funcionamiento, etc.) o detallando brevemente el procedimiento vigente o el equipo que se utiliza.

  • De hecho, si solicita la certificación ISO 27001, el auditor de certificación tomará su Declaración de aplicabilidad y recorrerá su empresa verificando si ha implementado los controles de la forma en que lo ha detallado en su DdA. Es el principal documento que utilizan para realizar la auditoría presencial.

    Muy pocas empresas se dan cuenta de que redactando una buena Declaración de aplicabilidad pueden disminuir la cantidad de otros documentos; por ejemplo, si desea documentar un determinado control, pero la descripción del procedimiento para ese control resultaría demasiado breve, lo puede incluir en la DdA. De esta forma, estaría evitando redactar otro documento.

    ¿Por qué es útil?

    Por experiencia, podemos afirmar que la mayoría de las empresas que implementan el sistema de gestión de seguridad de la información de acuerdo a la norma ISO 27001 dedican mucho más tiempo en redactar este documento que lo que habían previsto. El motivo es que deben pensar cómo implementarán sus controles: ¿Comprarán nuevos equipos? ¿Modificarán el procedimiento? ¿Contratarán un nuevo empleado? Estas son decisiones bastante importantes (y, a veces, costosas), por ello no sorprende que requiera mucho tiempo tomarlas. Lo bueno acerca de la DdA es que obliga a las organizaciones a hacer las cosas de forma sistemática. Por lo tanto, no se debería tomar este documento simplemente como uno de esos “documentos innecesarios” que no tienen una utilidad real. Piense que es la principal declaración en la que usted define lo que desea hacer con su seguridad de la información. Si está redactado correctamente, la DdA es un resumen perfecto acerca de lo que se debe hacer en seguridad de la información, por qué se debe hacer y cómo se debe hacer.
    ISO 27001 - Gestión de la seguridad de la información

    Contacte con nosotros para una atención personalizada

    He leido y Acepto el Aviso Legal y la Política de Privacidad

    Nuestros consejos para implantar la norma ISO/IEC 27001

    • Compromiso de los niveles directos. Obtenga compromiso y apoyo de directivos con experiencia.
    • Participación colectiva. Haga que toda la empresa participe con una buena comunicación interna.
    • Comparar. Compare la Gestión de la Seguridad de la Información actual con los requisitos de la norma ISO/IEC 27001.
    • Consultar opiniones. Obtenga la opinión de clientes y proveedores sobre el sistema actual de Gestión de Seguridad de la Información.
    • Definir equipos de trabajo. Establezca un equipo de implantación para conseguir los mejores resultados.
    • Reparto. Asigne y comparta funciones, responsabilidades y plazos.
    • Adaptación. Adapte los principios básicos de la norma ISO/IEC 27001 a su empresa.
    • Motivación. Fomente la implicación del personal con formación e incentivos.
    • Comunicación. Comparta sus conocimientos de la norma ISO/IEC 27001 y anime al personal a formarse como auditores internos.
    • Revisión continua. Revise con regularidad su sistema ISO/IEC 27001 para asegurarse de que lo continúa mejorando.