CERTIFICACIONES ISO 27001, la norma que define cómo organizar la seguridad de la información en las organizaciones En esta nota, descubra por qué esta norma internacional constituye la base para la gestión de la seguridad de la información en cualquier tipo de organización. La información es el recurso fundamental para el funcionamiento y supervivencia de las organizaciones. Por lo tanto, el hecho de contar con la certificación ISO 27001 ayuda a las empresas a gestionar y proteger su activo más importante. El estándar ISO 27001 es la única norma internacional auditable que define los requisitos para un Sistema de Gestión de la Seguridad de la Información (SGSI). La norma fue concebida para garantizar la selección de controles de seguridad adecuados y proporcionales, adoptando un enfoque por procesos para establecer, implantar, operar, supervisar, revisar, mantener y mejorar un SGSI. Dicho reconocimiento es particularmente interesante para las organizaciones en las que la protección de la información es crítica, como en finanzas, sector público y tecnología de la información (TI). Esto contribuye entonces a aumentar la confianza tanto de la empresa como la de los clientes, ya que les garantiza que su información está protegida. La obtención de esta certificación puede aportar » Logicalis Now - Marzo 2011 | 51 CERTIFICACIONES » una serie de ventajas para la organización, como por ejemplo, proporcionarle una ventaja competitiva al cumplir con los requisitos contractuales y demostrar a los clientes que la seguridad de su información es primordial. Así también, el proceso de evaluaciones periódicas que implica dicho reconocimiento ayuda a supervisar continuamente el rendimiento y la mejora de los procesos de documentación de protección de la información. Paso a paso La implantación de ISO 27001 en una organización puede tener una duración entre 6 y 12 meses, y en general las empresas cuentan con el asesoramiento de consultores externos expertos en formación y evaluación del registro para la norma. Una visión sistémica de la seguridad de la información El Sistema de Gestión de Seguridad de la Información (SGSI) es un conjunto de procesos requeridos por la norma ISO 27001, que describe un ciclo continuo de mejoría de la seguridad de la información. La certificación es entonces también una necesidad interna. Sin embargo, el aspecto comercial no es completamente irrelevante, más bien en la mayoría de los casos constituye el estímulo principal para “invertir en seguridad”. Una vez que la organización ha implementado y operado un SGSI de manera eficiente, se inicia la primera fase del proceso de auditoría, que implica la valoración del sistema documental y del SGSI para verificar que se cumplan las condiciones para continuar con el proceso de certificación. Si el resultado de estas evaluaciones es positivo, entonces se procede a una segunda fase que implica el “Seguimos las mejores prácticas mundiales de seguridad de la información” En este sentido, para garantizar que la seguridad de la información se gestione correctamente, se debe hacer uso de este proceso sistemático, documentado y conocido por toda la organización. El SGSI es implementado principalmente para permitir a la propia empresa tener una visión “sistémica” de la seguridad de la información, basándose en uno o más estándares internacionales. Pero además de procesos, describe también todo el rol del área de TI, como responsabilidades y control de presupuestos, entre otros. 52 | Marzo 2011 - Logicalis Now Por Rodrigo Hiroshi Ruiz Suzuki, CISA, CISM Consulting Manager de PromonLogicalis plan de auditoría de certificación donde se valora la conformidad y la eficacia del SGSI de la organización. Al finalizar dicha auditoría se redacta un informe que contiene el resultado de la valoración realizada. de esto la organización puede (OdC) y/o por los Organismos declararse oficialmente como de Acreditación (OdA). certificada en conformidad con el De este modo, el reconocimiento estándar ISO 27001. contribuye a que la organización Formalmente la certificación cuente con la confianza de permite la integración de la clientes y socios estratégicos empresa en un “registro de las por su garantía de calidad y Cuando el resultado es positivo la organizaciones certificadas”. confidencialidad comercial, al organización recibe el certificado tiempo que mejora la imagen de Es decir, tanto el nombre correspondiente por el propio la empresa a nivel internacional como los datos de la empresa SGSI, para las actividades y establece un elemento son publicados en los registros detalladas en el campo de diferenciador de la competencia. aplicación y referido al perímetro públicos gestionados por los Organismos de Certificación descrito en el mismo. A partir PromonLogicalis certificada en ISO 27001 La norma ISO 27001 es la certificación más importante de seguridad de la información que una empresa puede obtener. Este reconocimiento describe todos los requisitos de procesos, documentación y tecnología necesarios para garantizar que la información de la organización -que incluye el procesamiento, almacenamiento y la transmisiónsea tratada de modo seguro. Obtener esta certificación significa que la compañía cumple totalmente con los requisitos de esta norma. Esta es una buena oportunidad para demostrar que los procesos de la empresa están adecuados a las mejores prácticas mundiales de seguridad, y también es importante que los socios y clientes conozcan la excelencia de la gestión de seguridad. PromonLogicalis tuvo que implementar todos los requisitos de la norma ISO 27001. La primera certificación fue en 2005, para Promon Tecnología y Promon Ingeniería. Fue un trabajo que llevó más de un año e involucró a equipos de varias áreas de la organización. Desde el inicio contamos con el apoyo y el compromiso de la Dirección de la compañía. El “kick off” del proyecto de certificación fue realizado en 2005 por Luiz Ernesto Gemigniani, CEO del Grupo Promon. Y la política de seguridad de la información fue aprobada por Eduardo Cardoso, CEO de PromonLogicalis. De esta forma, las acciones necesarias para la implementación del Sistema de Gestión de Seguridad de la Información (SGSI) siempre tuvieron el apoyo de la Dirección Ejecutiva de la empresa ya que la seguridad de la información es algo importante, pero que puede ser fácilmente dejada de lado en relación a otras actividades. Hacerlas sistemáticas es una oportunidad ideal de garantizar que siempre habrá mejoras en la gestión de seguridad. Es por esto que las organizaciones no deben dejar de ejecutar las actividades previstas por la norma, como por ejemplo, la notificación y detección de incidentes, así como también deben promover la mejoría constante de los niveles de riesgo de la compañía. Tener la certificación ISO 27001 demuestra al mercado que seguimos las mejores prácticas mundiales de seguridad de la información, al tiempo que asegura de manera interna que todos los controles necesarios están bien implementados. Logicalis Now - Marzo 2011 | 53
© Copyright 2024