27 Jun Consultoría de implantación ISO 27001
En la semana del 21 al 25 de Junio he podido certificarme como Lead Auditor en ISO 27001 (Seguridad de la información).
Ha sido una semana intensa, 40 horas de fuerte formación, roll-playings y mucha, mucha, norma ISO 27001.
He compartido con 8 magníficos profesionales, la mayoría de ellos auditores, la oportunidad de ver como la seguridad de la información se traduce en una serie de clausulas y requisitos que deben de ser aplicados a la empresa.
Sobre a la certificación como auditor de seguridad informática ISO 27001, comentaros que básicamente, aunque supongo que estaréis al día, es un referente mundial en seguridad informática. Actualmente, hay muchos planes AVANZA aprovechados para esta certificación. La normativa ISO 27000 establece 4 clausulas y 133 puntos de control que preparan a una empresa u organización para poder certificarse en ISO 27001.
Aunque uno de los objetivos es que las empresas se auditen y se certifiquen, digamos consiguiendo una ‘medalla’ que reconoce mundialmente sus buenas prácticas, no solo ganan en cuestiones de seguridad sino también en imagen al exterior
Las empresas que deben de seguir el camino de asegurar su SGSI (sistema de gestión de la seguridad de la información) son organizaciones que valoran y dan peso especifico a las TI dentro de su estrategia, independientemente de su tamaño, abarcando sl’s de 8-9 trabajadores hasta multinacionales, pasando por organizaciones públicas.
La ISO 27001 va dirigido a organizaciones que:
- Ven las ventajas de aplicar las buenas prácticas de un estándar de seguridad de la información.
- Las TI son base para su estrategia. Por ejemplo, empresas que dan mucho valor a su TI o que incluso reducen personal en Pro de crear servicios a través de Internet.
- Pertenecen a un grupo y se marca como directriz certificarse en seguridad TI.
Las ventajas de una empresa en el cumplimiento de esta norma son muchas, entre ellas:
– Demostrar la conformidad y la eficacia de las elecciones organizativas y de las actividades operativas puestas en práctica para garantizar la:
- Confidencialidad
- Integridad
- Disponibilidad de la información incluida en el perímetro cubierto por el SGSI (Sistema de gestión de la seguridad de la información)
– Asegurar la continuidad del business:
- Minimización de los daños en caso de incidentes (siendo estos, de hecho, inevitables).
- Maximización de las inversiones efectuadas para la implementación y la gestión de la seguridad.
- Mejora continua de la eficacia organizativa y operativa.
En la consultoría de implantación de ISO 27001 mi objetivo es ofrecer a las empresas el camino para implantar la norma, adecuándose al alcance que la empresa quiera certificar.
Preguntémonos las siguientes cuestiones:
- ¿Sabemos que nuestra organización está procediendo bien para asegurar nuestros sistemas ante intrusos, robos de información, ataques…?
- ¿Estamos aplicando buenas prácticas para proteger nuestras implantaciones LOPD?
- ¿Están nuestros empleados utilizando los SI de forma segura y dentro de la funcionalidad para que hayan sido entregados?
- ¿Los datos privados del negocio a los cuales nadie más que el CEO deberían tener acceso están suficientemente protegidos?
- ¿Estamos cumpliendo el marco legal a nivel de licencias, leyes de propiedad intelectual,…?
La ISO 27001 mide el riesgo de estas y otras muchas cuestiones, para poder aplicar medidas y procedimientos que aseguren un sistema SGSI óptimo y que de respuesta al alineamiento de las Ti con la estrategia empresarial.