ISO 27001

ISO 27001, estamos viendo que puede implantarse en las PYMEs para que éstas dispongan de un SGSI con validez internacional y plenamente fiable y eficaz.

En artículos anteriores hemos descrito la metodología PHVA, aplicada a estas empresas y, concretamente, a todos sus procesos.

Después de la temática anterior es recomendable conocer qué tres características, asociadas a la información, debe preservar cada organización. Éstas son:

• Confidencialidad

Esta característica se basa en la garantía de que la información sea accesible, únicamente para aquellas personas autorizadas a tener acceso.

• Disponibilidad

Su fundamento primordial es asegurar que los usuarios autorizados tendrán acceso cuando lo necesiten a la información y a sus activos asociados.

• Integridad

La información cumple con la integridad cuando se encuentra exacta y completa.

Si se lleva a cabo una correcta gestión de la seguridad de la información se estará contribuyendo a la disminución de los riesgos que la organización soportaría, y a minimizar daños en los activos de la información, en caso de que algún riesgo se materializase.

Una vez que la organización está decidida a implantar un SGSI con ISO-27001 y tiene claro lo que debe preservar, es la hora de proceder para finalmente certificar y auditar el sistema.

El proceso de certificación consta de unas 6 etapas, pudiéndolas resumir del siguiente modo:

• Pre-auditoría

Esta etapa es voluntaria, se puede realizar para obtener información sobre la situación actual de la organización y del sistema y así obtener una orientación sobre las posibilidades de superar la auditoría real.

• Fase 1 de auditoría

Aquí se revisa el alcance, la política de seguridad, el análisis de riesgos, la declaración y aplicabilidad y los procedimientos clave.

• Fase 2 de auditoría

En la fase 2 de la auditoría se lleva a cabo una revisión de las políticas, una auditoría de la implantación de los controles de seguridad y se verifica la efectividad del sistema.

• Certificación

Si tras las fases anteriores se encontrara alguna no conformidad se deberán aplicar acciones correctivas, en caso contrario, si el informe resultante fuera favorable se procederá a la revisión y emisión del certificado.

• Auditoría de seguimiento

Se ejecuta anualmente para mantener el SGSI de ISO 27001.

• Auditoría de re-certificación

Cada tres años, se debe llevar a cabo una auditoría formal completa para renovar la certificación.

La Plataforma Tecnológica ISOTools está al servicio de cualquier PYME que desee automatizar su SGSI y llevar un adecuado control y seguimiento del proceso de certificación del mismo.