Certificación ISO/IEC 27001 (SGSI) para la gestión de la Seguridad de la Información

Diseñado para la alta dirección, los responsables de toma de decisiones y los propietarios de riesgos, este taller de un día convierte la norma ISO 27001 en actividades y objetivos específicos, medibles, alcanzables, relevantes y con límite de tiempo (SMART), los cuales pueden incorporarse en un proyecto o en actividades de rutina empresarial.

Al finalizar, recibirá un alcance de certificación del SGSI que podrá utilizar como parte de la cláusula 4 de la norma, así como en su revisión de gestión y otros procesos relacionados.

El taller incluye ideas para involucrar al resto de su organización y demuestra cómo cualquier trabajo que pueda estar realizando para otros regímenes de seguridad o cumplimiento (como PCI DSS) puede incorporarse en su SGSI conforme a ISO/IEC 27001:2022.

Esta revisión se centra en los requisitos clave de la norma y está diseñada para la alta dirección, los responsables de toma de decisiones y los propietarios de riesgos. Determinará el nivel de cumplimiento de su organización con las cláusulas 4 a 10 de ISO/IEC 27001:2022 y le proporcionará una hoja de ruta personalizada, adaptada a los objetivos de su negocio, para lograr el cumplimiento total.

Nuestros expertos utilizarán una combinación de métodos sustantivos y de cumplimiento para evaluar sus controles de seguridad en comparación con los Controles del Anexo A de ISO/IEC 27001, con el apoyo de ISO/IEC 27002:2017. Esta revisión abarcará toda su organización y le proporcionará una indicación de su postura de seguridad y niveles de riesgo, además de permitirle crear actividades/objetivos SMART para abordar esos riesgos. Otros resultados clave incluyen una Declaración de Aplicabilidad (para la cláusula 6) y la creación de una hoja de ruta de implementación.

La gestión de riesgos es el núcleo de ISO/IEC 27001. Trabajando junto a usted, creamos un sistema de gestión de riesgos que incorpora los requisitos de la norma y se adapta a su organización. Este sistema de gestión de riesgos se integrará en su SGSI y sustentará un proceso de evaluación de riesgos (incluyendo evaluación y tratamiento de riesgos de seguridad de la información), necesario para la certificación junto con su Declaración de Aplicabilidad.

La gestión de riesgos de terceros es esencial para proteger sus datos y cumplir con la norma ISO 27001. Nuestros expertos trabajarán con usted para determinar los niveles de riesgo de sus terceros y diseñar un proceso de evaluación para gestionarlos. También podemos apoyarlo realizando evaluaciones de riesgo en su nombre y reportando cualquier riesgo a un propietario de riesgo dentro de su organización, con actividades de remediación sugeridas.

La auditoría interna es fundamental para mantener la integridad y efectividad de su sistema de gestión de seguridad de la información. Al realizar auditorías internas regulares, no solo identifica áreas de mejora, sino que también asegura la alineación con las normas de ISO 27001 y los requisitos regulatorios.

Nuestro equipo puede intervenir sin problemas para realizar auditorías internas exhaustivas en su nombre, garantizando el cumplimiento de la cláusula 9.2 de ISO 27001 y fomentando una cultura de mejora continua. Con nuestra asistencia, podrá navegar con confianza el proceso de auditoría, identificar oportunidades de mejora y mantener su compromiso con la excelencia en seguridad de la información. A medida que su familiaridad con la norma y los procesos aumenta, puede optar por internalizar esta función o conservar a LRQA para que continúe proporcionando este elemento clave de la norma en su nombre.

La ISO 27001 es una norma internacional de Sistemas de Gestión que establece los requisitos de un Sistema de Gestión de la Seguridad de la Información (SGSI). La norma proporciona un marco normativo de buenas prácticas para identificar, analizar e implementar los controles necesarios para gestionar y mitigar los riesgos, reduciendo la probabilidad de que se produzca una vulneración de la Seguridad de la Información. 
Cualquier organización, independientemente del tamaño y el sector, puede aprovechar los requisitos y sistemas de control de la norma ISO 27001 para implantar un SGSI eficaz que pueda certificarse de forma independiente.

La certificación acreditada ISO 27001 proporcionada por un organismo de certificación independiente y respetable demuestra su compromiso con la seguridad de la información, proporcionando una perspectiva imparcial con respecto a la solidez y efecacia de su SGSI. Esto contribuye al cumplimiento de las obligaciones contractuales y, en muchos casos, hace las veces de licencia para hacer negocios.

Proteja sus datos y reputación

La certificación ISO 27001 demuestra que ha establecido un enfoque sistemático basado en los riesgos para la seguridad de la información que impulsa las mejores prácticas en torno a: 

• Identificar los riesgos para la seguridad de la información y ciberseguridad
• Analizar los riesgos en función del impacto y la probabilidad
• Evaluar los riesgos y priorizar el momento del abordaje en función de factores relacionados con su negocio
• Seleccionar las opciones de tratamiento del riesgo

Demuestre el cumplimiento de la legislación, los reglamentos y los requisitos contractuales

Para obtener la certificación ISO 27001, es necesario que conozca la legislación aplicable como, por ejemplo, el Reglamento General de Protección de Datos de la UE o reglamentos como la HIPPA. Tiene un impacto positivo en la gestión del riesgo y la gestión corporativa, le ayuda a demostrar el cumplimiento y a cumplir los requisitos contractuales.

Ventaja competitiva

La certificación de LRQA ofrece a los clientes y las partes interesadas la confianza de que los riesgos de seguridad, que podrían estar relacionados con las TI, las personas, el medio ambiente y la continuidad de negocio, se aborden adecuadamente para proteger su información.

La certificación ISO 27001 es una confirmación clara de sus capacidades, demuestra que opera de acuerdo con las mejores prácticas reconocidas internacionalmente y esto le permite obtener nuevas oportunidades de negocio.

Las auditorías de la norma ISO 27001 siguen el mismo planteamiento que otros sistemas de gestión basados en el Anexo SL. Puede comenzar con la formación y el gap analysis, pero el proceso formal implica una auditoría del diseño del SGSI (fase 1) y una auditoría de su funcionamiento (fase 2). Los resultados de estas auditorías los revisa técnicamente una persona cualificada e independiente de LRQA para asegurar la consistencia y la adecuación a las prácticas recomendadas establecidas por los acreditadores.

Tras la aprobación del certificado de la norma ISO 27001, comienza un ciclo de tres años de auditorías de seguimiento que conduce a una auditoría de renovación para los tres años siguientes. El seguimiento permite que LRQA y su organización gestionen los cambios y garanticen que las auditorías sean relevantes para las necesidades actuales de la industria.

Una vez aprobada, la certificación dura tres años, siempre que se demuestre la eficacia del mantenimiento del sistema a través del programa de seguimiento.

Una declaración típica del alcance del certificado de SGSI incluye actividades relacionadas con el suministro de productos y servicios. No necesita incluir actividades internas ni procesos de SGSI. El objetivo es garantizar al lector la protección de la información proporcionada al recibir el producto o servicio.

La declaración de aplicabilidad hace referencia a la lista de controles seleccionados. No proporciona detalles de esos sistemas de control, sino una referencia rastreable a una declaración de control utilizada como base para la última auditoría de la norma ISO 27001. A veces, las organizaciones tienen una versión pública que se puede compartir que simplemente enumera los controles seleccionados del Anexo A, pero no es un requisito obligatorio.

El gasto se basa en el número de días de auditoría que se corresponde con el número de empleados dentro del alcance del SGSI. El número de días de auditoría se publica en la norma de acreditación ISO 27006, disponible para consulta. La implicación de una entidad de certificación acreditada como LRQA le garantiza la obtención de un plazo de auditoría basado en las prácticas recomendadas de la industria que es comparable a todos los demás organismos de certificación acreditados.

Por ejemplo, una organización con 100 miembros de personal a tiempo completo (ETC) debería prever una auditoría inicial (fase 1 + fase 2) con una duración de entre 8 y 12 días, en función de los sectores en los que opere, la complejidad de su entorno laboral, si participa en el desarrollo de programas informáticos o si necesita integrar la seguridad en el producto. El programa de seguimiento posterior sería de 3-4 días/año y la renovación de 6-8 días.

Sí, ya que tanto la norma ISO 9001 como la norma ISO 27001 se basan en el modelo genérico de buenas prácticas para los sistemas de gestión (Anexo SL), los procesos de gestión fundamentales se pueden optimizar para cumplir los requisitos de ambas normas. De hecho, el diseño de un sistema para abordar ambos mejora la eficacia de la gobernanza organizativa. Por ejemplo, los objetivos empresariales como el crecimiento, a menudo requieren el desarrollo de nuevos productos en los que la seguridad se considera, por lo general, un estándar de calidad en línea con las expectativas del mercado. La integración también puede minimizar las duplicidades, y esto puede reducir el tiempo de auditoría y ofrecer una opción rentable.

El camino que sigue su organización para obtener la certificación de la norma ISO 27001 suele depender del nivel de madurez de su empresa en cuanto a seguridad de la información y la gestión del riesgo en general, entre otros factores. Pero el proceso habitual para obtener la certificación ISO 27001 incluye tres pasos principales.

• Auditoría etapa 1 - Revisión y planificación de documentación: Su auditor revisará el diseño y la documentación de sus sistemas de gestión; en la mayoría de los casos, esto se realiza de forma remota.
• Auditoría etapa 2 - Evaluación de la aplicación: Su auditor evaluará la aplicación y efectividad del SGC existente de acuerdo con los requisitos de la norma ISO 27001. Si no existen no conformidades, recibirá la certificación. Esta etapa se puede llevar a cabo de forma remota o in situ.
• Promueva su certificación ISO 27001: Su certificación demuestra su compromiso con las buenas prácticas reconocidas internacionalmente y la mejora continua, esto le permite conseguir nuevos negocios y satisfacer las exigencias de los clientes.

La publicación de la norma ISO 27002:2022 proporciona una actualización de la lista de sistemas de control incluidos en la norma ISO 27001, que se remonta a 2013. La revisión de los sistemas de control refleja los avances relacionados tanto con las amenazas como con las prácticas recomendadas actuales, y la ampliación del alcance de la norma ISO 27002 contribuye a garantizar que las medidas de gestión del riesgo sean extensas y eficaces. Las organizaciones pueden utilizar la lista exhaustiva de sistemas de control para tratar los riesgos que han identificado o descubrir posibles lagunas, y esto les permite mantenerse un paso por delante del complejo y cambiante panorama de amenazas al que se enfrentan los negocios actuales.

Está previsto que se publique una nueva versión de la norma ISO 27001 a finales de octubre de 2022. Incluirá los nuevos sistemas de control descritos en la norma ISO 27002:2022, que exigirán a las organizaciones revisar su evaluación de riesgos y determinar si deben implementarse nuevos tratamientos de riesgos.