Blog - 14 DE MARZO
Desde nuestros inicios, en Novis México hemos implementado las mejores prácticas en nuestros servicios y operaciones, por lo que, obtener una certificación en ISO 27001, demuestra que nos preocupamos por mantener todo en orden y que se ha implementado un conjunto de controles seguridad adecuados para proteger sus activos de información, incluyendo datos sensibles y confidenciales, de amenazas internas y externas. Justo a estas alturas, nos mantenemos motivados por ofrecer seguridad y calidad y por cumplir las regulaciones y normas del país, con esto en mente, en Novis continuamente buscamos estar en constante evolución e implementamos las mejores prácticas en nuestros servicios y nuestras operaciones. Gracias a esto nos encontramos en constantes mejoras para poder ofrecerle seguridad a nuestros clientes y socios, y el mantenernos certificados con el ISO 27001, forma parte de nuestras responsabilidades y estrategias para mantener una gestión adecuada en temas de Seguridad de la Información. Confirmando así nuestro compromiso de mejora continua hacia quienes confían en nosotros y poder brindarles completa seguridad a nuestros clientes y también a nuestros socios. Sin embargo, si te estás preguntando que involucra el contar con una certificación en ISO 27001, aquí te lo contamos más a detalle.
Contenido
La seguridad de la información es un tema que debe ser importante para cualquier empresa en cualquier parte del mundo, independientemente del tamaño o del sector de actividad al que pertenezca, esto es, porque la información es uno de los activos más valiosos de una empresa, y su protección es fundamental para garantizar la continuidad de la organización y para poder seguir contando con la confianza de los clientes/usuarios o socios de negocios. Tomando en cuenta este contexto, es importante hablar de las normas que se pueden aplicar para poder proteger la información que se encuentra en las organizaciones y es por este motivo que contamos con normas como la norma ISO 27001, la cual es una herramienta clave para establecer un Sistema de Gestión de Seguridad de la Información (SGSI) efectivo y eficiente.
De acuerdo con el sitio de Tecon, la seguridad de la información se puede definir como un conjunto de medidas preventivas y reactivas que permiten resguardar y proteger la información. Dicho de otro modo, son todas aquellas políticas de uso y medidas que afectan al tratamiento de los datos que se utilizan en una organización. También se puede decir que es un proceso integrado que permite protección de la identificación, gestión de la información y los riesgos a los que esta se puede ver desafiada.
Esta gestión se hace a través de estrategias y acciones de mitigación para asegurar y mantener de manera confidencial los datos de una empresa, por ejemplo, y por lo cual en Novis se tomó la decisión de implementar un SGSI que nos llevó a una certificación ISO 27001, siempre viendo la forma de predicar con el ejemplo para todos los que estén a nuestro alrededor.
La seguridad de la información puede involucrar diversas cosas, pero todas deben de girar en torno a la información; la comunicación, la identificación de problemas, el análisis de riesgos y la confidencialidad son un ejemplo de ello.
La Organización Internacional de Estandarización (ISO), a través de las normas recogidas en ISO / IEC 27000, estableció una implementación efectiva de la seguridad de la información empresarial, la cual se desarrolló en la norma ISO 27001, la cual se trata de una norma internacional que establece los requisitos para un Sistema de Gestión de Seguridad de la Información (SGSI).
Esta norma debe de proporcionar un marco para que las organizaciones de todo el mundo puedan identificar, evaluar y gestionar los riesgos relacionados con la seguridad de la información, esto con el único objetivo de protegerla de posibles amenazas tanto internas como externas.
De acuerdo con UNIR, la norma define de manera genérica, independientemente de los factores ambientales de organización como el entorno, contexto, activos de las TIC, información, cultura organizacional, etc.
Los procesos de la organización, como políticas, procedimientos, procesos, etc., cómo se planifica, implanta, verifica y controla un Sistema de Gestión de Seguridad de la Información, a partir de la realización de un análisis de riesgos y de la planificación e implantación de la respuesta a los mismos para su mitigación. Es decir, cualquier empresa u organización puede desplegar un SGSI siguiendo este estándar.
Esta norma también busca cumplir principalmente con tres principios: Confidencialidad, Integridad y Disponibilidad de la información, todos estos conocidos en el mundo de la seguridad de la información como CID:
Para poder contar con una certificación en ISO 27001, en Novis pasamos por el cumplimiento de algunos requisitos específicos para la gestión de la seguridad de la información, incluyendo la evaluación de riesgos, la selección de controles de seguridad y la gestión de incidentes de seguridad.
Requisitos imprescindibles a cumplir:
Para obtener la certificación ISO 27001, la empresa debe pasar por el proceso de implementación de la norma para después pasar por una auditoría externa a través de una organización certificada.
Se ejecuta una evaluación inicial de la empresa. Esto implica evaluar la madurez de la seguridad de la información en la organización, identificar las áreas de riesgo y determinar qué controles de seguridad existen actualmente.
Una vez ejecutada la evaluación inicial, lo que le sigue es el desarrollar un plan de implementación. Este plan debe incluir un cronograma detallado y un conjunto de actividades que deben llevarse a cabo para implementar el SGSI. También se debe incluir una lista de controles de seguridad necesarios.
Esta parte implica implementar los controles de seguridad identificados en el plan efectuado y el desarrollo de los procedimientos necesarios para mantener y mejorar el SGSI. Durante este paso, es importante que todos los empleados estén involucrados y asegurarse de que entiendan la importancia de la seguridad de la información.
Una vez implementado el SGSI, la empresa debe llevar a cabo una auditoría interna para asegurarse de que todos los controles de seguridad hayan sido implementados correctamente y que el SGSI funciona de acuerdo a lo planeado. La auditoría interna debe ser realizada por un auditor que no haya estado involucrado en la implementación del SGSI.
La auditoría externa de certificación es la última etapa para la obtención de la certificación ISO 27001. Esta auditoría de certificación es realizada por una organización de certificación independiente, que evalúa si el SGSI cumple con los requisitos de la norma ISO 27001 y consta de las siguientes fases:
Aquí los auditores externos verifican si se han realizado los procedimientos y controles de la norma ISO 27001. Además, comparten los resultados por si detectaron brechas, las cuales deben ser solucionadas.
Cuando ya se cumplieron todos los requisitos y el análisis que ejecutó el auditor externo arrojó que se puede continuar con el proceso, se inicia la segunda fase, la cual consiste en evaluar la implementación de los procedimientos y controles de la organización para certificar que están funcionando efectivamente conforme a lo exige la certificación.
El o los auditores suelen hacer una visita a la empresa para así poder corroborar que todas las actividades dentro de la organización estén en cumplimiento con la norma ISO 27001. Se revisarán los registros y documentación relacionados con el SGSI, se entrevistará al personal y se procederán inspecciones físicas.
Después de que se haya procedido la auditoría externa de certificación, la empresa debe de recibir el informe de auditoría que incluye cualquier hallazgo y recomendación de mejora. Si la organización ha cumplido con todos los requisitos de la norma, se le otorgará la certificación ISO 27001.
Después de comprobar que todo esté en orden y otorgar el certificado ISO 27001, la empresa estará recibiendo visitas periódicas de auditores para garantizar que el sistema de gestión siga cumpliendo con lo indicado y que se esté mejorando constantemente. Por ejemplo, a finales del 2022, en Novis cerramos el año con un resultado positivo en la auditoría externa en ISO 27001, la cual se debe realizar anualmente, y con la cual logramos obtener nuestra certificación actualizada.
El contar con una certificación ISO 27001 en México, es de gran utilidad para las empresas que desean mejorar su seguridad de la información. La norma proporciona una guía detallada para la implementación de un SGSI, lo que permite a las empresas evaluar y gestionar los riesgos de seguridad de la información.
La implementación de la norma ISO 27001 en las empresas mexicanas ayuda de manera exponencial a estas a reducir el riesgo de ciberataques., Los cuales son una amenaza que continúa creciendo año con año y no solo en México, sino en todo el mundo, lo cual coloca a las organizaciones en un punto de vulnerabilidad, sobre todo para aquellas que tienen y guardan información confidencial de valor o personal. Así que, al implementar un SGSI de acuerdo con la norma ISO 27001, ayudará a todas las empresas a identificar y disminuir los riesgos de ciberseguridad, reduciendo así, las probabilidades de algún ataque cibernético y minimizar el impacto de cualquier incidente de seguridad digital. Con el análisis de riesgos y su plan de acción, se puede planificar y dirigir los controles para evitar que se saque provecho de los puntos débiles del sistema.
Otro beneficio del ISO 27001 es que puede ayudar a las organizaciones a cumplir con las regulaciones y normativas en materia de seguridad de la información. En México, por ejemplo, existen regulaciones específicas en materia de privacidad y protección de datos, como la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP).
La cual tiene como objetivo el regular el manejo de datos personales en poder de las empresas y, la implementación del ISO 27001 contribuye a que las empresas puedan cumplir con estas regulaciones y demostrar su compromiso con la privacidad y la seguridad de los datos.
Otro aspecto que beneficia a las empresas es que al seguir las prácticas de la norma y contar con el certificado ISO 27001, demuestra el compromiso de la empresa con la seguridad de la información. Lo que conlleva a afianzar o conseguir la confianza de los clientes con la empresa, lo que también puede desencadenar en aumentar el número de oportunidades de negocios, tomando en cuenta que muchas empresas, cuando contratan, exigen que sus proveedores o socios, tengan este tipo de certificaciones como garantía de cumplimiento de las leyes.
Por otro lado, al contar con un análisis de riesgos que esté bien estructurado, los recursos suelen usarse para reducir riesgos de forma general, en vez de enfocarse en un área determinada, dejando las otras expuestas, lo que se traduce como una disminución de costos en estos procesos; Además de esto, el ISO 27001 deja muy en claro que la organización debe comprometerse a mejorar sus procesos de gestión siempre que sea necesario. Por lo que, deben de realizarse auditorías dentro de la empresa, para que se tenga la oportunidad de hacer una revisión, el análisis y contemplar los puntos que tengan oportunidad de mejora, para así realizar los cambios en ciertos procesos, en caso de ser necesario. Para todo esto, se debe de tener en cuenta que también debe de existir una organización interna, ya que, la norma establece que es necesario determinar y establecer responsabilidades, así como responsables. Esto se debe de hacer con el fin de acabar con las dudas de quién decide o cuida de determinado asunto o proceso.
¡Recibe gratis más contenido sobre
el mundo SAP!
Suscríbete
a nuestro blog.
COMPARTIR
Gestión empresarial- 24 DE SEPTIEMBRE
Conoce las diferencias e importancia de un Plan de Recuperación de Desastres y un Plan de Continuidad de Negocio
El mundo empresarial actual se encuentra en constante cambio y evolución. Las organizaciones no solo[...]
Leer más
SAP- 11 DE AGOSTO
Diferencias entre roles y perfiles en SAP: Funciones y definiciones
Comprender las diferencias entre roles y perfiles es crucial para la seguridad y eficiencia de[...]
Leer más
Gestión empresarial- 15 DE MAYO
Tecnología, principal herramienta para la toma de decisiones
La tecnología es una de las herramientas indispensables para la toma de decisiones dentro de[...]
Leer más
