Certificación ISO/IEC 27001 (SGSI) para la gestión de la Seguridad de la Información
Obtenga la certificación y la formación de la mano de los expertos de LRQA
LRQA es uno de los principales proveedores de aseguramiento de la norma ISO 27001
Un enfoque basado en normas para gestionar los riesgos de Seguridad de la Información. Para cualquier organización, independientemente de su tamaño o sector, la norma ISO/IEC 27001 proporciona una base sólida para una estrategia exhaustiva en materia de información y seguridad de la información. La norma describe un marco de buenas prácticas para los SGSI con el fin de mitigar los riesgos y proteger los datos críticos para el negocio a través de la identificación, el análisis y los controles prácticos. La certificación ISO 27001 demuestra que dispone de los procesos y controles necesarios para defender la información de su organización, y la de sus clientes, frente a un panorama de amenazas cada vez más complejo. Consulte las Preguntas frecuentes sobre la norma y nuestra oferta.
Nuestros servicios ISO/IEC 27001
Nuestros auditores son expertos en la evaluación de la norma ISO 27001, lo que le ayudará a garantizar que sus Sistemas de Gestión de Seguridad de la Información cumplen los requisitos y directrices más recientes. Vamos más allá de la prestación de servicios de certificación con nuestros programas de formación líderes en el sector, diseñados para mejorar las competencias de su equipo.
Formación
Amplíe sus conocimientos sobre la norma ISO 27001 con una gama de cursos diseñados para diferentes niveles de experiencia, impartidos en múltiples modalidades de aprendizaje.
Gap análisis
Un servicio optativo en el que uno de nuestros auditores expertos le ayudará a detectar cualquier área crítica, de alto riesgo o vulnerable de su sistema con carácter previo a su auditoría oficial de la norma ISO 27001.
Certificación ISO 27001 acreditada
Un proceso independiente de dos fases que proporciona una visión clara de sus competencias y le ayuda a obtener nuevas oportunidades de negocio y generar confianza entre las partes interesadas.
Auditorías integradas
Si ha implantado varios sistemas de gestión, podría aprovechar las ventajas que ofrece la integración de un sistema de auditoría y seguimiento más eficaz y rentable.
Un enfoque integral de la información y la Ciberseguridad
Nuestra amplia experiencia y conocimientos técnicos, respaldados por nuestra amplia cartera de Ciberseguridad, nos permite trabajar en colaboración con su negocio, ayudando a identificar las amenazas específicas a las que se enfrenta antes de proporcionar soluciones para mitigarlas. Podemos certificar sus Sistemas de Gestión, identificar vulnerabilidades y ayudar a prevenir ataques e incidentes que podrían afectar a la integridad de su marca, a las finanzas y a las operaciones de negocio.
Nuestros servicios de análisis de brechas
Taller de Gestión ISO/IEC 27001:2022
Diseñado para la alta dirección, los responsables de toma de decisiones y los propietarios de riesgos, este taller de un día convierte la norma ISO 27001 en actividades y objetivos específicos, medibles, alcanzables, relevantes y con límite de tiempo (SMART), los cuales pueden incorporarse en un proyecto o en actividades de rutina empresarial.
Al finalizar, recibirá un alcance de certificación del SGSI que podrá utilizar como parte de la cláusula 4 de la norma, así como en su revisión de gestión y otros procesos relacionados.
El taller incluye ideas para involucrar al resto de su organización y demuestra cómo cualquier trabajo que pueda estar realizando para otros regímenes de seguridad o cumplimiento (como PCI DSS) puede incorporarse en su SGSI conforme a ISO/IEC 27001:2022.
Revisión del Sistema de Gestión de la Seguridad de la Información (SGSI)
Esta revisión se centra en los requisitos clave de la norma y está diseñada para la alta dirección, los responsables de toma de decisiones y los propietarios de riesgos. Determinará el nivel de cumplimiento de su organización con las cláusulas 4 a 10 de ISO/IEC 27001:2022 y le proporcionará una hoja de ruta personalizada, adaptada a los objetivos de su negocio, para lograr el cumplimiento total.
Revisión de Controles de Seguridad
Nuestros expertos utilizarán una combinación de métodos sustantivos y de cumplimiento para evaluar sus controles de seguridad en comparación con los Controles del Anexo A de ISO/IEC 27001, con el apoyo de ISO/IEC 27002:2017. Esta revisión abarcará toda su organización y le proporcionará una indicación de su postura de seguridad y niveles de riesgo, además de permitirle crear actividades/objetivos SMART para abordar esos riesgos. Otros resultados clave incluyen una Declaración de Aplicabilidad (para la cláusula 6) y la creación de una hoja de ruta de implementación.
Nuestros servicios de soporte para la implementación
Gestión de Riesgos
La gestión de riesgos es el núcleo de ISO/IEC 27001. Trabajando junto a usted, creamos un sistema de gestión de riesgos que incorpora los requisitos de la norma y se adapta a su organización. Este sistema de gestión de riesgos se integrará en su SGSI y sustentará un proceso de evaluación de riesgos (incluyendo evaluación y tratamiento de riesgos de seguridad de la información), necesario para la certificación junto con su Declaración de Aplicabilidad.
Servicio de Gestión de Riesgos de Terceros
La gestión de riesgos de terceros es esencial para proteger sus datos y cumplir con la norma ISO 27001. Nuestros expertos trabajarán con usted para determinar los niveles de riesgo de sus terceros y diseñar un proceso de evaluación para gestionarlos. También podemos apoyarlo realizando evaluaciones de riesgo en su nombre y reportando cualquier riesgo a un propietario de riesgo dentro de su organización, con actividades de remediación sugeridas.
Servicio de Auditoría Interna
La auditoría interna es fundamental para mantener la integridad y efectividad de su sistema de gestión de seguridad de la información. Al realizar auditorías internas regulares, no solo identifica áreas de mejora, sino que también asegura la alineación con las normas de ISO 27001 y los requisitos regulatorios.
Nuestro equipo puede intervenir sin problemas para realizar auditorías internas exhaustivas en su nombre, garantizando el cumplimiento de la cláusula 9.2 de ISO 27001 y fomentando una cultura de mejora continua. Con nuestra asistencia, podrá navegar con confianza el proceso de auditoría, identificar oportunidades de mejora y mantener su compromiso con la excelencia en seguridad de la información. A medida que su familiaridad con la norma y los procesos aumenta, puede optar por internalizar esta función o conservar a LRQA para que continúe proporcionando este elemento clave de la norma en su nombre.
Nuestros servicios de soporte continuo
Taller de Integración
Sabemos que mantener múltiples certificaciones competitivas y viables puede ser complejo y desafiante, especialmente durante cambios. Nuestros expertos brindan orientación proactiva y práctica para que el gobierno corporativo y el cumplimiento se conviertan en un activo estratégico en lugar de una tarea abrumadora.
Como parte de nuestro taller de integración, revisaremos cada uno de los regímenes de cumplimiento que opera y identificaremos cómo cada uno puede beneficiar al otro, ya sea mediante la racionalización de la documentación o el aumento de actividades de aseguramiento cruzado. Luego, elaboraremos un conjunto de recomendaciones sobre cómo alinear los diferentes sistemas de gestión y regímenes de cumplimiento en su organización de manera práctica, para lograr mayores garantías, mayor reutilización de sus sistemas de gestión y/o menor esfuerzo para gestionarlos.
Soporte de Certificación y Acompañamiento
Entendemos que el cambio en los negocios es constante, ya sea por cambios en la fuerza laboral, en la dirección estratégica o en la estructura organizativa. Además, el entorno regulatorio en rápida evolución significa que mantener su certificación puede resultar confuso y difícil. Nos dedicamos a comprender los requisitos regulatorios globales en todos los sectores y mercados, proporcionando estrategias personalizadas para ayudarle a cumplir con ellos.
Nuestro servicio de soporte de certificación y acompañamiento se adapta completamente a sus necesidades e incluye, por ejemplo, presidir sus revisiones de gestión o ayudar a revisar su programa de gestión de riesgos. Sea lo que sea que necesite, le ayudamos a asegurar que su negocio y su cadena de suministro se mantengan en cumplimiento sin sacrificar el crecimiento.
Soporte de Políticas y Documentación
En un entorno de cambios rápidos, donde la tecnología conecta negocios en distintas ubicaciones y donde la recolección, monitoreo y análisis de datos tiene un potencial transformador, las empresas deben asegurarse de que sus políticas estén alineadas con la legislación en evolución. Incumplir la legislación puede tener costos significativos, con grandes multas por violaciones y potencial daño reputacional.
Sabemos que crear y monitorear todas sus políticas es una tarea que consume mucho tiempo. Muchas organizaciones no tienen la experiencia o el conocimiento interno para producir o mantener políticas, y muchas luchan para responder a consultas sobre políticas. LRQA puede ayudar.
Ya sea de forma presencial o remota, nuestros expertos crean una plantilla para la documentación de sus políticas y trabajan con usted para producir los documentos de política para su revisión y aprobación final. Donde estos documentos ya existen, podemos realizar revisiones periódicas en el intervalo que usted elija, para que esté seguro de que su negocio sigue cumpliendo, permitiéndole enfocarse en impulsar su organización hacia adelante, de forma segura y protegida.
Suscríbase a la serie sobre Ciberseguridad
Suscríbase ahora en la serie gratuita de LRQA sobre Ciberseguridad. Diseñada para informarle y guiarle a través del complejo mundo de la Seguridad de la Información. En esta serie, nos centramos específicamente en la Directiva NIS2 y la norma ISO 27001.
Suscríbase ahora.¿Por qué trabajar con nosotros?
Capacidad global
Operamos en más de 55 países, con más de 250 especialistas dedicados a la ciberseguridad y más de 300 auditores de Seguridad de la Información altamente cualificados en todo el mundo, podemos ofrecer un servicio local con una dedicación a la excelencia coherente a nivel mundial.
Ejecución flexible
La mayoría de las veces, todos nuestros servicios de formación y certificación pueden impartirse presencialmente o en remoto mediante el uso de una tecnología segura. Si opta por nuestros métodos de prestación de servicios en remoto, recibirá la misma calidad de servicio con diversas ventajas añadidas como la flexibilidad, rapidez y acceso a expertos internacionales.
Una historia de primicias
Fuimos los primeros en recibir la acreditación UKAS para ofrecer servicios de certificación de una amplia gama de estándares en todo el mundo. Seguimos siendo fundamentales en el desarrollo de una variedad de normas y marcos específicos en diferentes sectores.
Especialización especializada
Nuestros expertos en ciberseguridad cuentan con múltiples certificaciones y acreditaciones de proveedores, así como con acreditaciones altamente respetadas en la industria, incluyendo CREST, PCI SSC, ISC2, BCI, el Chartered Institute of IT y NCSC CHECK.
¿Qué es la norma ISO 27001?
La ISO 27001 es una norma internacional de Sistemas de Gestión que establece los requisitos de un Sistema de Gestión de la Seguridad de la Información (SGSI). La norma proporciona un marco normativo de buenas prácticas para identificar, analizar e implementar los controles necesarios para gestionar y mitigar los riesgos, reduciendo la probabilidad de que se produzca una vulneración de la Seguridad de la Información.
Cualquier organización, independientemente del tamaño y el sector, puede aprovechar los requisitos y sistemas de control de la norma ISO 27001 para implantar un SGSI eficaz que pueda certificarse de forma independiente.
La certificación acreditada ISO 27001 proporcionada por un organismo de certificación independiente y respetable demuestra su compromiso con la seguridad de la información, proporcionando una perspectiva imparcial con respecto a la solidez y efecacia de su SGSI. Esto contribuye al cumplimiento de las obligaciones contractuales y, en muchos casos, hace las veces de licencia para hacer negocios.
¿Cuáles son las ventajas de la norma ISO 27001 y por qué es tan importante?
Proteja sus datos y reputación
La certificación ISO 27001 demuestra que ha establecido un enfoque sistemático basado en los riesgos para la seguridad de la información que impulsa las mejores prácticas en torno a:
- Identificar los riesgos para la seguridad de la información y ciberseguridad
- Analizar los riesgos en función del impacto y la probabilidad
- Evaluar los riesgos y priorizar el momento del abordaje en función de factores relacionados con su negocio
- Seleccionar las opciones de tratamiento del riesgo
Demuestre el cumplimiento de la legislación, los reglamentos y los requisitos contractuales
Para obtener la certificación ISO 27001, es necesario que conozca la legislación aplicable como, por ejemplo, el Reglamento General de Protección de Datos de la UE o reglamentos como la HIPPA. Tiene un impacto positivo en la gestión del riesgo y la gestión corporativa, le ayuda a demostrar el cumplimiento y a cumplir los requisitos contractuales.
Ventaja competitiva
La certificación de LRQA ofrece a los clientes y las partes interesadas la confianza de que los riesgos de seguridad, que podrían estar relacionados con las TI, las personas, el medio ambiente y la continuidad de negocio, se aborden adecuadamente para proteger su información.
La certificación ISO 27001 es una confirmación clara de sus capacidades, demuestra que opera de acuerdo con las mejores prácticas reconocidas internacionalmente y esto le permite obtener nuevas oportunidades de negocio.
¿Cómo funcionan las auditorías de la norma ISO 27001?
Las auditorías de la norma ISO 27001 siguen el mismo planteamiento que otros sistemas de gestión basados en el Anexo SL. Puede comenzar con la formación y el gap analysis, pero el proceso formal implica una auditoría del diseño del SGSI (fase 1) y una auditoría de su funcionamiento (fase 2). Los resultados de estas auditorías los revisa técnicamente una persona cualificada e independiente de LRQA para asegurar la consistencia y la adecuación a las prácticas recomendadas establecidas por los acreditadores.
Tras la aprobación del certificado de la norma ISO 27001, comienza un ciclo de tres años de auditorías de seguimiento que conduce a una auditoría de renovación para los tres años siguientes. El seguimiento permite que LRQA y su organización gestionen los cambios y garanticen que las auditorías sean relevantes para las necesidades actuales de la industria.
¿Cuánto dura el certificado ISO 27001?
Una vez aprobada, la certificación dura tres años, siempre que se demuestre la eficacia del mantenimiento del sistema a través del programa de seguimiento.
¿Qué se incluye en el ámbito de aplicación habitual del SGSI y en una declaración de aplicabilidad?
Una declaración típica del alcance del certificado de SGSI incluye actividades relacionadas con el suministro de productos y servicios. No necesita incluir actividades internas ni procesos de SGSI. El objetivo es garantizar al lector la protección de la información proporcionada al recibir el producto o servicio.
La declaración de aplicabilidad hace referencia a la lista de controles seleccionados. No proporciona detalles de esos sistemas de control, sino una referencia rastreable a una declaración de control utilizada como base para la última auditoría de la norma ISO 27001. A veces, las organizaciones tienen una versión pública que se puede compartir que simplemente enumera los controles seleccionados del Anexo A, pero no es un requisito obligatorio.
¿Cuánto cuesta obtener la certificación ISO IEC 27001?
El gasto se basa en el número de días de auditoría que se corresponde con el número de empleados dentro del alcance del SGSI. El número de días de auditoría se publica en la norma de acreditación ISO 27006, disponible para consulta. La implicación de una entidad de certificación acreditada como LRQA le garantiza la obtención de un plazo de auditoría basado en las prácticas recomendadas de la industria que es comparable a todos los demás organismos de certificación acreditados.
Por ejemplo, una organización con 100 miembros de personal a tiempo completo (ETC) debería prever una auditoría inicial (fase 1 + fase 2) con una duración de entre 8 y 12 días, en función de los sectores en los que opere, la complejidad de su entorno laboral, si participa en el desarrollo de programas informáticos o si necesita integrar la seguridad en el producto. El programa de seguimiento posterior sería de 3-4 días/año y la renovación de 6-8 días.
Ya contamos con la norma ISO 9001, ¿podemos integrarla con la norma ISO 27001?
Sí, ya que tanto la norma ISO 9001 como la norma ISO 27001 se basan en el modelo genérico de buenas prácticas para los sistemas de gestión (Anexo SL), los procesos de gestión fundamentales se pueden optimizar para cumplir los requisitos de ambas normas. De hecho, el diseño de un sistema para abordar ambos mejora la eficacia de la gobernanza organizativa. Por ejemplo, los objetivos empresariales como el crecimiento, a menudo requieren el desarrollo de nuevos productos en los que la seguridad se considera, por lo general, un estándar de calidad en línea con las expectativas del mercado. La integración también puede minimizar las duplicidades, y esto puede reducir el tiempo de auditoría y ofrecer una opción rentable.
¿Cuál es el proceso de certificación habitual de la norma ISO 27001?
El camino que sigue su organización para obtener la certificación de la norma ISO 27001 suele depender del nivel de madurez de su empresa en cuanto a seguridad de la información y la gestión del riesgo en general, entre otros factores. Pero el proceso habitual para obtener la certificación ISO 27001 incluye tres pasos principales.
- Auditoría etapa 1 - Revisión y planificación de documentación: Su auditor revisará el diseño y la documentación de sus sistemas de gestión; en la mayoría de los casos, esto se realiza de forma remota.
- Auditoría etapa 2 - Evaluación de la aplicación: Su auditor evaluará la aplicación y efectividad del SGC existente de acuerdo con los requisitos de la norma ISO 27001. Si no existen no conformidades, recibirá la certificación. Esta etapa se puede llevar a cabo de forma remota o in situ.
- Promueva su certificación ISO 27001: Su certificación demuestra su compromiso con las buenas prácticas reconocidas internacionalmente y la mejora continua, esto le permite conseguir nuevos negocios y satisfacer las exigencias de los clientes.
¿Qué es la norma ISO 27002:2022 y qué impacto tiene?
La publicación de la norma ISO 27002:2022 proporciona una actualización de la lista de sistemas de control incluidos en la norma ISO 27001, que se remonta a 2013. La revisión de los sistemas de control refleja los avances relacionados tanto con las amenazas como con las prácticas recomendadas actuales, y la ampliación del alcance de la norma ISO 27002 contribuye a garantizar que las medidas de gestión del riesgo sean extensas y eficaces. Las organizaciones pueden utilizar la lista exhaustiva de sistemas de control para tratar los riesgos que han identificado o descubrir posibles lagunas, y esto les permite mantenerse un paso por delante del complejo y cambiante panorama de amenazas al que se enfrentan los negocios actuales.
¿Se está desarrollando una nueva versión de la norma ISO 27001?
Está previsto que se publique una nueva versión de la norma ISO 27001 a finales de octubre de 2022. Incluirá los nuevos sistemas de control descritos en la norma ISO 27002:2022, que exigirán a las organizaciones revisar su evaluación de riesgos y determinar si deben implementarse nuevos tratamientos de riesgos.