ISO 27001 Aspectos de la información que debe preservar una PYME
ISO 27001
ISO 27001, estamos viendo que puede implantarse en las PYMEs para que éstas dispongan de un SGSI con validez internacional y plenamente fiable y eficaz.
En artículos anteriores hemos descrito la metodología PHVA, aplicada a estas empresas y, concretamente, a todos sus procesos.
Después de la temática anterior es recomendable conocer qué tres características, asociadas a la información, debe preservar cada organización. Éstas son:
- Confidencialidad
Esta característica se basa en la garantía de que la información sea accesible, únicamente para aquellas personas autorizadas a tener acceso.
- Disponibilidad
Su fundamento primordial es asegurar que los usuarios autorizados tendrán acceso cuando lo necesiten a la información y a sus activos asociados.
- Integridad
La información cumple con la integridad cuando se encuentra exacta y completa.
Si se lleva a cabo una correcta gestión de la seguridad de la información se estará contribuyendo a la disminución de los riesgos que la organización soportaría, y a minimizar daños en los activos de la información, en caso de que algún riesgo se materializase.
Una vez que la organización está decidida a implantar un SGSI con ISO-27001 y tiene claro lo que debe preservar, es la hora de proceder para finalmente certificar y auditar el sistema.
El proceso de certificación consta de unas 6 etapas, pudiéndolas resumir del siguiente modo:
- Pre-auditoría
Esta etapa es voluntaria, se puede realizar para obtener información sobre la situación actual de la organización y del sistema y así obtener una orientación sobre las posibilidades de superar la auditoría real.
- Fase 1 de auditoría
Aquí se revisa el alcance, la política de seguridad, el análisis de riesgos, la declaración y aplicabilidad y los procedimientos clave.
- Fase 2 de auditoría
En la fase 2 de la auditoría se lleva a cabo una revisión de las políticas, una auditoría de la implantación de los controles de seguridad y se verifica la efectividad del sistema.
- Certificación
Si tras las fases anteriores se encontrara alguna no conformidad se deberán aplicar acciones correctivas, en caso contrario, si el informe resultante fuera favorable se procederá a la revisión y emisión del certificado.
- Auditoría de seguimiento
Se ejecuta anualmente para mantener el SGSI de ISO 27001.
- Auditoría de re-certificación
Cada tres años, se debe llevar a cabo una auditoría formal completa para renovar la certificación.
La Plataforma Tecnológica ISOTools está al servicio de cualquier PYME que desee automatizar su SGSI y llevar un adecuado control y seguimiento del proceso de certificación del mismo.