Gestión de Seguridad de la Información ¿Certificarse en ISO 27001 o Migrar a la Nube?

Las amenazas a los activos de información

En la actualidad, las empresas se enfrentan a muchos riesgos e inseguridades procedentes de focos diversos y los activos de información son uno de los activos más importantes.

Estos se encuentran ligados o asociados a riesgos y amenazas que explotan una amplia tipología de vulnerabilidades.

La seguridad de estos activos de información, está en función de la correcta gestión de una serie de factores como: la capacidad, la elaboración de un plan de contingencia frente a los incidentes, el análisis de riesgos, las competencias, el grado de involucración de la Dirección, las inversiones en seguridad y el grado de implementación de controles.

La norma ISO 27001 es una solución que permite evaluar todo tipo de riesgos o amenazas susceptibles de poner en peligro la información de una organización y en base a la cual puede desarrollarse un Sistema de Gestión de Seguridad de la Información.

¿Quiénes están obligados a implementar esta norma?

El Certificado ISO 27001 es una normativa de la Organización Internacional de Normalización (ISO) sobre la gestión de la seguridad de la información. Click To Tweet

Cualquier empresa puede acogerse a esta norma y seguir una metodología orientada a implementar la gestión de la seguridad de la información en una organización concreta.

El Certificado ISO 27001 es, en definitiva, la norma más importante del mundo en cuanto a la seguridad de la información, y permite a empresas públicas o privadas demostrar la seguridad de las mismas mediante la obtención del certificado pertinente expedido por una entidad independiente.

El uso de esta normas ayuda las empresas a administrar la seguridad de activos tales como información financiera, propiedad intelectual, detalles de los empleados o información que le haya sido confiada por terceros.

ISO 27001: 2014 obligatorio en el Estado Peruano

Todas las entidades integrantes del Sistema Nacional de Informática, deben implementar la NTP ISO/IEC 27001:2014. Ésta normativa permite continuar mejorando la seguridad en los sistemas de información del Estado, los servicios públicos en línea, las aplicaciones móviles, afianzar el uso de las firmas digitales, promover el uso del DNI electrónico, el IPv6, la digitalización de documentos, el cloud computing, la protección de datos personales, así como impulsar el desarrollo del Gobierno Electrónico en las regiones del país, beneficiando a los ciudadanos y empresas a nivel nacional. 

¿Cuáles son los pasos a seguir para obtener la certificación ISO 27001?

Para conseguir la certificación ISO 27001 no basta con llegar a la entidad de certificación y hacer la solicitud. Se deben realizar un proceso muy complejo que puede en algunos casos tomar más de 1 año. Esto se debe a que requiere de que se cumplan 5 puntos fundamentales pero que requieren bastante atención:

Compromiso de la Dirección

Muchas empresas pasan por alto este paso, y este es el motivo por el que suelen fallar las certificaciones. Sin la voluntad y disposición suficiente de la directiva de la empresa no se puede lograr la certificación.

El presupuesto

Existen una serie de costos que de seguro tendrá que cubrir como puede ser la adquisición de la norma ISO 27001, la formación de los trabajadores, la tecnología, la contratación de un auditor, etc. La mayor parte de la tecnología que se usa está disponible, pero sus empleados tendrán que organizarse con el fin de comenzar a utilizar dicha tecnología de una manera mucho más segura.

Implementación

Para implementar la norma ISO 27001 se deben organizar los procesos de seguridad de la empresa, por lo que no se puede delegar a una sola persona de todo este trabajo, ni tampoco se puede encargar una persona que lleve muy poco tiempo en la empresa o que tenga poca experiencia.

Todos los miembros de la empresa tiene que participar en el proceso mediante los canales establecidos. La comunicación interna tiene que ser más eficaz que nunca.

No debe saltarse ningún paso durante la implementación

Existen muchas personas que omiten pasos cruciales en la norma ISO 27001, como la evaluación del riesgo, sólo para saltar a la aplicación real. La norma ISO 27001 se encuentra escrita de una manera secuencial y eso es por un motivo.

La elección de la entidad de certificación

No todos los organismos de certificación son iguales. El precio es importante, pero es más importante que los auditores conozcan las actividades que realiza su industria, que tengan una buena reputación y que puedan certificar la norma.

Tiempo

Si se encuentra preparado, puede ser que la implantación y certificación demore de unos 4 a 6 meses en una empresa pequeña, hasta 10 meses para una organización de tamaño mediano y alrededor de 12 meses para una organización grande.

Sistemas de gestión de seguridad de la información

Actualmente muchas compañías requieren esta certificación ISO a los proveedores de servicios en la nube y su mantenimiento a lo largo de la vida de un contrato de servicios. De esta forma la empresa puede cumplir con la normativa sin tener que pasar por el complicado proceso de su implementación.

Al contratar los Servicios Gestionados de un proveedor, este se ocupa de todo. Puede incluso contratar servicios de AWS que ya incluyen certificación ISO 27001. Si su empresa u organización requiere implementar la certificación ISO 27001, contáctenos para darle una mejor atención.