Sistema de Gestión de Seguridad de la Información UNE EN ISO 27001
Con un SGSI, la organización conoce los riesgos a los que está sometida su información y los asume, minimiza, transfiere o controla mediante una sistemática definida, documentada y conocida por todos, que se revisa y mejora constantemente.
La información es el mayor activo del que dispone una empresa. La protección de esta información y de sus sistemas es un objetivo primordial en cualquier tipo de organización, y especialmete en una empresa de formación.
Las empresas y sus sistemas de información están expuestos a un número cada vez más elevado de amenazas: los virus informáticos, el “hacking”, incidentes de seguridad causados voluntaria o involuntariamente desde dentro de la propia empresa o aquellos provocados accidentalmente por catástrofes naturales y fallos técnicos.
El Sistema de Gestión de la Seguridad de la Información (SGSI) ayuda a establecer procedimientos en relación a los objetivos de negocio de la organización, con objeto de mantener un nivel de exposición siempre menor al nivel de riesgo que la propia organización ha decidido asumir.
La empresa que desee conseguir la certificación debe seguir las siguientes fases:
2) Planificar el proyecto: implantar en la empresa el sistema de gestión de seguridad de la información según la norma UNE EN ISO 27001.Este sistema deberá tener un historial de funcionamiento demostrable de al menos tres meses antes de solicitar el proceso formal de auditoría para su primera certificación.
3) Solicitud de la auditoría por parte de la empresa interesada a la entidad de certificación y toma de datos por parte de la misma. Respuesta en forma de oferta por parte de la entidad certificadora.
4) Pre-auditoría: opcionalmente, puede realizarse una auditoría previa que aporte información sobre la situación actual y oriente mejor sobre las posibilidades de superar la auditoría real.
6) Auditoría: la fase 1 de la auditoría no necesariamente tiene que ser in situ, puesto que se trata del análisis de la documentación por parte del auditor. El periodo máximo entre la Fase 1 y Fase 2 es de 6 meses.
La fase 2 es la fase de detalle de la auditoría, en la que se revisan in situ las políticas, la implantación de los controles de seguridad y la eficacia del sistema en su conjunto.
7) Certificación: en caso de que el auditor emita un informe favorable, el SGSI de organización será certificado según ISO 27001.
8) Auditoría de seguimiento: semestral o, al menos, anualmente, debe realizarse una auditoría de mantenimiento.
QUÉ HAY QUE HACER PARA MANTENERLA
La certificación dura 3 años, para mantenerla es necesario superar una auditoría de re-certificación cada 3 años, tan formal y completa como la auditoría de certificación.
COSTE
El coste depende de muchos factores diferentes, el tamaño de la empresa, número de clientes anuales, datos con los que trabaja, etc.
El coste de su implantación se situaría en una horquilla presupuestaria de 6.000 a 10.000€. Teniendo presente que si la empresa ya se encuentra certificada de la ISO 9001 los costes serán más bajos.
- Muchos errores se evitan gracias a los controles adoptados; los que se detectan regularmente se solucionan con medidas de coste razonable y sin causar daños, y los que finalmente se producen se solucionan y controlan mediante procedimientos establecidos.
- Se demuestra a clientes, proveedores, inversores, al mercado y a la sociedad en general un alto nivel de concienciación en la protección de la información y conformidad y cumplimento de la legalidad (LOPD).
- No merecer la pena su coste temporal y económico para una empresa de formación.
- Ya es muy difícil cumplir la LOPD y esta norma va más allá.
- En algunas ocasiones es perjudicial para la empresa de formación destruir datos puesto que los puede necesitar para un curso posterior, etc.