¿En qué consiste la Certificación ISO 27001 y cuáles son las fases para su implementación?
La certificación ISO 27001 es una norma internacional emitida por la Organización Internacional de Normalización (ISO), a través de la cual se desarrolla cómo gestionar la seguridad de la información en una empresa. Es el estándar internacional para la gestión de la seguridad de la información en las organizaciones, tanto para la información física como para la digital. Es parte de la familia de estándares ISO 27000, las cuales ayudan a las organizaciones a mantener sus bienes de información seguros. La revisión más reciente de esta norma fue publicada en 2013 y ahora su nombre completo es ISO/IEC 27001:2013. La primera revisión se publicó en 2005 y fue desarrollada en base a la norma británica BS 7799-2.
ISO 27001 puede ser implementada en cualquier tipo de organización, con o sin fines de lucro, privada o pública, pequeña o grande. Esta normativa proporciona una metodología para implementar la gestión de la seguridad de la información en una organización. También permite que una empresa sea certificada, es decir, que una entidad de certificación independiente confirma que la seguridad de la información ha sido implementada en esa organización cumpliendo con la norma ISO 27001.
ISO 27001 se ha convertido en la principal norma a nivel mundial para la seguridad de la información y muchas empresas han certificado su cumplimiento. Siendo adoptada por miles de empresas, públicas y privadas alrededor del mundo, y estableciendo un enfoque sistemático para la gestión de la información organizacional confidencial, asegurando que ésta, se mantenga protegida y disponible. En general, es un estándar amplio que cubre la seguridad técnica, física, de personal y de procesos en la compañía.
¿Qué le aporta a su empresa la normativa ISO 27001 y como realizamos la implantación en NOÁTICA?
La implantación de la norma ISO 27001 por nuestra empresa de programadores informáticos, le aporta la ventaja de garantizar que la información que maneja la empresa está bien protegida, de la mano de unos profesionales con más de 20 años de experiencia en el sector de la informática a nivel nacional, como es nuestra empresa NOÁTICA. La implementación de la normativa ISO 27001, además, le ayudará a reducir los costes que podrían derivarse de incidentes de seguridad en la empresa., estableciendo seguridad adicional en el ámbito del cumplimiento normativo, dotándole de la seguridad que goza al tener el departamento jurídico de NOÁTICA a su disposición para cumplir con toda la normativa.
Por otro lado, contar con un Sistema de Gestión de Seguridad de la Información (SGSI) también facilitará a la organización cumplir con todos los requerimientos legales que ya existen en el ámbito de la protección de la información. Por ejemplo, permitirá cumplir correctamente con el nuevo Reglamento General de Protección de Datos (RGPD), siendo nuestra empresa de servicios programación a medida pionera en el sector de la implantación de la norma ISO 27001 y contando con un departamento jurídico experto en derecho tecnológico y seguridad de la información.
Fases para la implantación de un Sistema de Gestión de Seguridad de la Información en su empresa por NOÁTICA.
Las fases del proceso de implantación de un SGSI basado en la norma ISO 27001 que llevamos a cabo en nuestra empresa de programadores informáticos, los resumimos en los siguientes puntos principalmente.
- Apoyo de la dirección: La dirección de la organización debe apoyar desde el principio la implantación del SGSI, y respaldar y supervisar las medidas adoptadas.
- Alcance e inventario de activos: Para describir la extensión y los límites del SGSI. Será necesario elaborar y mantener un inventario de toda la información que tiene valor para la empresa y es de contenido sensible.
- Análisis de riesgos: Se realizará un plan de análisis y de tratamiento de riesgos en la empresa.
- Desarrollo e implementación del programa de implantación del SGSI.
- Herramientas de operación del sistema: Se trata de los documentos que sustentan la operatividad del SGSI, contando entre otros, con el plan de continuidad.
- Auditoría interna: importante realizar un plan de auditorías internas, para revisar el Sistema de Gestión de Seguridad de la Información dentro del proceso de mejora continua en la empresa.
- Medidas de corrección: que se aplicarán en base a las detecciones en las auditorías, proponiéndose medidas de corrección de errores.
- Auditoría de certificación: La tiene que realizar una entidad externa y certificada. Si se supera, se obtiene la certificación ISO/IEC 27001.
- Operación integrada en la rutina del SGSI: Aquí los procesos, políticas y controles de la norma se encuentran ya de pleno integrdos en el funcionamiento rutinario de la organización.
- Auditorías anuales : Se realizarán auditorias anuales de vigilancia.
Plazo de ejecución y planificación de actividades
La duración del proyecto será de 3 a 4 meses, a partir de la aceptación de esta oferta. Para cumplir con la planificación, se requerirá el compromiso decidido del equipo directivo de la organización y la participación de todas las personas de la organización en la medida que les afecten los requisitos del Sistema de Gestión. Plan de trabajo:
Condiciones económicas para la implementación de la ISO 27001
Las condiciones económicas para la implementación de la norma ISO 27001 abarcan diversos aspectos que se detallan a continuación de manera formal y seria. El costo total del proyecto contempla los siguientes elementos: en primer lugar, se incluye el diagnóstico realizado por un experto en seguridad de la información, quien brindará asistencia y apoyo a lo largo de todo el desarrollo del proyecto. En segundo lugar, se contempla la adaptación de la documentación necesaria y la implantación de la norma ISO/IEC 27001:2013. Asimismo, se realizará una auditoría interna del sistema de gestión una vez que se haya llevado a cabo la implementación.
Es importante destacar que el tiempo estimado para la realización de este proyecto oscila entre 15 y 22 horas mensuales, dependiendo de la complejidad y el alcance de la organización. En cuanto al costo total del proyecto, este se determinará de acuerdo al presupuesto acordado. Es relevante tener en cuenta que los gastos correspondientes a la certificación por parte de la entidad certificadora no están incluidos en el precio estipulado. Asimismo, los gastos relacionados con actividades formativas tampoco se encuentran contemplados en el costo mencionado.
Contacte con NOÁTICA – Programadores y Servicios Informáticos
Somos expertos en mantenimiento informático, outsourcing informático, la virtualización de servidores, seguridad informática, programación y desarrollo de software a medida para empresas. Nuestros programadores informáticos trabajan con una larga lista de lenguajes de programación y entornos de desarrollo.
Para cualquier consulta, no dude en ponerse contacto a través del formulario de contacto de nuestra página Web, estaremos encantados de atenderle.