ISO 27001, la norma que define cómo organizar la - Logicalis

CERTIFICACIONES
ISO 27001,
la norma que define
cómo organizar
la seguridad de la
información en
las organizaciones
En esta nota, descubra por qué esta norma internacional
constituye la base para la gestión de la seguridad de la
información en cualquier tipo de organización.
La información es el
recurso fundamental para el
funcionamiento y supervivencia
de las organizaciones. Por lo
tanto, el hecho de contar con la
certificación ISO 27001 ayuda a
las empresas a gestionar y proteger
su activo más importante.
El estándar ISO 27001 es la
única norma internacional
auditable que define los
requisitos para un Sistema de
Gestión de la Seguridad de la
Información (SGSI). La norma
fue concebida para garantizar
la selección de controles
de seguridad adecuados y
proporcionales, adoptando
un enfoque por procesos para
establecer, implantar, operar,
supervisar, revisar, mantener y
mejorar un SGSI.
Dicho reconocimiento es
particularmente interesante para
las organizaciones en las que la
protección de la información
es crítica, como en finanzas,
sector público y tecnología de la
información (TI). Esto contribuye
entonces a aumentar la confianza
tanto de la empresa como la de los
clientes, ya que les garantiza que
su información está protegida.
La obtención de esta
certificación puede aportar »
Logicalis Now - Marzo 2011 | 51
CERTIFICACIONES
» una serie de ventajas para la
organización, como por ejemplo,
proporcionarle una ventaja
competitiva al cumplir con los
requisitos contractuales y demostrar
a los clientes que la seguridad de su
información es primordial.
Así también, el proceso de
evaluaciones periódicas que
implica dicho reconocimiento
ayuda a supervisar
continuamente el rendimiento
y la mejora de los procesos de
documentación de protección
de la información.
Paso a paso
La implantación de ISO 27001
en una organización puede
tener una duración entre 6 y 12
meses, y en general las empresas
cuentan con el asesoramiento
de consultores externos expertos
en formación y evaluación del
registro para la norma.
Una visión sistémica de la
seguridad de la información
El Sistema de Gestión de Seguridad de
la Información (SGSI) es un conjunto de
procesos requeridos por la norma ISO
27001, que describe un ciclo continuo
de mejoría de la seguridad
de la información.
La certificación es entonces también
una necesidad interna. Sin embargo, el
aspecto comercial no es completamente
irrelevante, más bien en la mayoría de
los casos constituye el estímulo principal
para “invertir en seguridad”.
Una vez que la organización
ha implementado y operado
un SGSI de manera eficiente,
se inicia la primera fase del
proceso de auditoría, que
implica la valoración del sistema
documental y del SGSI para
verificar que se cumplan las
condiciones para continuar con
el proceso de certificación.
Si el resultado de estas evaluaciones
es positivo, entonces se procede a
una segunda fase que implica el
“Seguimos las
mejores prácticas
mundiales de
seguridad de la
información”
En este sentido, para garantizar que la
seguridad de la información se gestione
correctamente, se debe hacer uso de
este proceso sistemático, documentado
y conocido por toda la organización.
El SGSI es implementado
principalmente para permitir a la propia
empresa tener una visión “sistémica”
de la seguridad de la información,
basándose en uno o más estándares
internacionales. Pero además de
procesos, describe también todo el rol
del área de TI, como responsabilidades
y control de presupuestos, entre otros.
52 | Marzo 2011 - Logicalis Now
Por Rodrigo Hiroshi Ruiz Suzuki, CISA, CISM
Consulting Manager de PromonLogicalis
plan de auditoría de certificación
donde se valora la conformidad
y la eficacia del SGSI de la
organización. Al finalizar dicha
auditoría se redacta un informe
que contiene el resultado de la
valoración realizada.
de esto la organización puede
(OdC) y/o por los Organismos
declararse oficialmente como
de Acreditación (OdA).
certificada en conformidad con el
De este modo, el reconocimiento
estándar ISO 27001.
contribuye a que la organización
Formalmente la certificación
cuente con la confianza de
permite la integración de la
clientes y socios estratégicos
empresa en un “registro de las
por su garantía de calidad y
Cuando el resultado es positivo la organizaciones certificadas”.
confidencialidad comercial, al
organización recibe el certificado
tiempo que mejora la imagen de
Es decir, tanto el nombre
correspondiente por el propio
la empresa a nivel internacional
como los datos de la empresa
SGSI, para las actividades
y establece un elemento
son publicados en los registros
detalladas en el campo de
diferenciador de la competencia.
aplicación y referido al perímetro públicos gestionados por los
Organismos de Certificación
descrito en el mismo. A partir
PromonLogicalis
certificada
en ISO 27001
La norma ISO 27001 es la
certificación más importante de
seguridad de la información que
una empresa puede obtener. Este
reconocimiento describe todos los
requisitos de procesos, documentación
y tecnología necesarios para garantizar
que la información de la organización
-que incluye el procesamiento,
almacenamiento y la transmisiónsea tratada de modo seguro.
Obtener esta certificación significa
que la compañía cumple totalmente
con los requisitos de esta norma.
Esta es una buena oportunidad para
demostrar que los procesos de la
empresa están adecuados a las mejores
prácticas mundiales de seguridad, y
también es importante que los socios
y clientes conozcan la excelencia de la
gestión de seguridad.
PromonLogicalis tuvo que
implementar todos los requisitos de
la norma ISO 27001. La primera
certificación fue en 2005, para
Promon Tecnología y Promon
Ingeniería. Fue un trabajo que llevó
más de un año e involucró a equipos
de varias áreas de la organización.
Desde el inicio contamos con el apoyo
y el compromiso de la Dirección de la
compañía. El “kick off” del proyecto
de certificación fue realizado en 2005
por Luiz Ernesto Gemigniani, CEO
del Grupo Promon. Y la política
de seguridad de la información fue
aprobada por Eduardo Cardoso, CEO
de PromonLogicalis.
De esta forma, las acciones necesarias
para la implementación del Sistema
de Gestión de Seguridad de la
Información (SGSI) siempre tuvieron
el apoyo de la Dirección Ejecutiva de
la empresa ya que la seguridad de la
información es algo importante, pero
que puede ser fácilmente dejada de
lado en relación a otras actividades.
Hacerlas sistemáticas es una
oportunidad ideal de garantizar que
siempre habrá mejoras en la gestión
de seguridad.
Es por esto que las organizaciones no
deben dejar de ejecutar las actividades
previstas por la norma, como por
ejemplo, la notificación y detección de
incidentes, así como también deben
promover la mejoría constante de los
niveles de riesgo de la compañía.
Tener la certificación ISO 27001
demuestra al mercado que
seguimos las mejores prácticas
mundiales de seguridad de la
información, al tiempo que asegura de
manera interna que todos
los controles necesarios están
bien implementados.
Logicalis Now - Marzo 2011 | 53