ISO 27001 – La auditoría de los controles de la Seguridad de la Información
ISO 27001
ISO 27001 aporta a la información una importancia fundamental en el funcionamiento de las organizaciones. En algunos casos, es incluso decisiva para la supervivencia de la organización.
Por esto motivo, el desarrollo de la Seguridad de la Información basada en la norma ISO27001 permitirá conocer el nivel de seguridad que realmente existe de la información de la compañía, además de tener los elementos suficientes para abordar inversiones futuras sin necesidad de seguir sólo los criterios de capacidad sino que se podrán utilizar los criterios de seguridad.
Adoptar ISO-27001 en los controles de la Seguridad de la Información fomentará la protección de los activos de información, además de otorgar confianza.
Dicha norma, sigue un enfoque por procesos para constituir, establecer, operar, comprobar, mantener y mejorar un SGSI.
El servicio de Auditoria de seguridad lleva a cabo la evaluación del sistema de información, identifica vulnerabilidad y prácticas no recomendadas.
Una vez que la organización ha realizado el Sistema General Seguridad Información (SGSI) y con un historial de al menos 3 meses, ya se puede pasar al proceso de auditoría que se ejecuta de la siguiente forma:
- Petición de la auditoría por parte del interesado a la entidad de certificación y toma de datos por parte de la misma.
- Compromiso.
- Respuesta por parte de la entidad certificadora.
- Nombramiento de auditores, fijación de fechas y establecimiento conjunto del plan de auditoría.
- Fase 1 de la auditoría: en esta fase se destacan los posibles incumplimientos de la norma.
- Fase 2 de la auditoría: en esta etapa se fijan los controles de seguridad y le eficacia del sistema en su conjunto.
- Certificación: si se llevan a cabo conformidades graves durante la auditoría la organización debe actuar contra ello realizando acciones de corrección. En el caso de que no se haya producido conformidades, el auditor ya podrá publicar un informe favorable y el SGSI de la empresa será certificado según la norma ISO-270001.
- Auditoría de seguimiento: su finalidad es comprobar la buena utilización del SGSI y el mejor rendimiento.
- Auditoría de recertificación: se debe repetir todo el proceso cada tres años debido a que el proceso caduca en dicho plazo.
La adopción de esta norma supondrá ventajas como pueden ser un importante compromiso con la Seguridad de la Información debido a que el sistema garantiza y demuestra la eficacia de los esfuerzos y los medios utilizados por la empresa.
También, permite demostrar a las autoridades competentes que la organización observa todas las normas y leyes aplicables, por lo que genera credibilidad y confianza.
Por otro lado, la certificación de dicha norma brinda una diferenciación sobre el mercado y la competencia que hace acceder con mayor facilidad al trabajo con las Administraciones Públicas.
Por último, se lleva a cabo un incremento de la mejora de la sensibilización de los trabajadores en relación a la seguridad y a sus responsabilidades en la organización.
ISOTools es una Plataforma Tecnológica que origina informes que nos dan a conocer oportunidades de mejora, conformidades o debilidades para nuestro SGSI.