Nadie pone en duda el valor de los datos que se almacenan y tratan dentro de una organización. Se puede decir que los datos hacen parte de los activos más valiosos de una organización. Los avances tecnológicos han hecho que esos datos dependan de sistemas y servicios de información.
Esos sistemas, por su propia naturaleza de accesibilidad, están expuestos a amenazas de seguridad. Por ello todos esos datos de las organizaciones, incluyendo todos aquellos que son confidenciales, están expuestos y necesitan estar asegurados. Un Sistema de Gestión de Seguridad de la Información (SGSI) garantiza la seguridad, integridad y confidencialidad de la información de la organización.
El daño asociado a un robo de datos va más allá del valor de dichos datos y tiene trascendencia a nivel reputacional. Por ello la ISO 27001 tiene una importancia esencial para las organizaciones.
La ISO 27001 hace parte de la familia de normas ISO 27000 que se ocupan de la información y la ciberseguridad. Para ello ofrece un grupo bien detallado de controles que se basa en buenas prácticas en seguridad de la información.
El objetivo de la ISO 27001 es definir los requisitos de los sistemas de gestión de la seguridad de la información. Esto parte de un análisis de riesgos y una declaración de aplicabilidad.
Y no es un asunto que deba preocupar solo a grandes empresas o aquellas del sector financiero. Virtualmente toda empresa, sea del sector o del tamaño que sea, puede ser blanco de un robo o mal uso de datos.
Toda organización que almacena y procesa datos personales o relativos a su actividad comercial con otras empresas puede sufrir no solo un riesgo de pérdida de dichos datos sino un riesgo de pérdida de su reputación hacia el mercado en que se desarrolla.
Cuando sucede un robo de datos, el proceso de recuperación puede ser más largo y complejo de lo que se piensa y el tiempo en que esta situación se da es desastroso.
No debemos confiarnos en que una póliza de seguro nos cubre de este tipo de eventualidades porque si la aseguradora ve que no aplicamos las medidas de seguridad adecuadas puede rechazar la reclamación que le hagamos.
Con la ISO 27001 usted le dice a sus clientes y partners que su organización mantiene seguros todos los datos que tiene de ellos.
La ISO 27001 le permite demostrar que cumple con los requisitos reglamentarios y contractuales en relación a seguridad de datos, privacidad y gobierno de TI.
Contar con la ISO 27001 exige algo más que el hito de obtener la certificación. Son necesarias auditorías periódicas que le permitan asegurarse que continua cumpliendo con sus obligaciones en lo relativo a la seguridad de los datos.
Contar con la ISO 27001 es contar con un marco de sistemas y procesos con que protegerse del riesgo de acceso no deseado a datos y su mal uso.
La implementación y certificación final de la norma ISO la estructuramos en los siguientes 5 pasos por los que le guiaremos hasta su objetivo final:
Examinamos sus actividades clave bajo la óptica de sus clientes. Definimos resultados razonables y acordamos fechas de entrega.
Diseñamos y construimos un manual que cumpla con el estándar tomando como base los objetivos que habíamos definido inicialmente.
Formamos a la persona designada como auditor interno. Adicionalmente se puede ofrecer formación personalizada al resto de personal.
Un auditor externo verificará que los procesos clave han sido correctamente implementados y el personal fue capacitado.
Tras demostrar que cumple con las normas ISO obtendrá su certificación. Ésta le abrirá la puerta a nuevas oportunidades.
La certificación es la forma de demostrarse a sí mismo y al mercado que su organización ha implementado el enfoque que dicta la norma. Un enfoque que ya se ha aplicado una y otra vez para transformar otras muchas organizaciones.
El enfoque del proceso de trabajo para lograr una certificación ISO es:
Ofrecemos una tarifa fija y un enfoque flexible para aplicar el estándar en su organización.
Conozcámonos y hablemos para entender mejor sus necesidades y hacerle una propuesta sin compromiso.