Realizamos auditorias y gestión de riesgos internas para tus sistemas de información siguiendo la Norma ISO 27001. Además, también ofrecemos labores de asesoría y consultoría para la implementación de dicha Norma en tu empresa y poder obtener así la correspondiente certificación ISO.
Auditoria y gestión de riesgos en sistemas de información
Gestión de la Seguridad de la Información
Implementación del Certificado ISO 27001 para la auditoria y gestión de riesgos
Te guiamos en el proceso de implementación de la ISO 27001 de Seguridad de la Información en tu empresa para poder diferenciarte de la competencia y ofrecer un signo de certificación distintivo a tus clientes.
La norma ISO 27001 de Seguridad de la Información es un estándar internacional que certifica que quien la posee cumple con una serie de garantías, en este caso de seguridad de la información, y que cuenta con un sistema capaz de afrontar los ataques informáticos, secuestros de información, fraudes u otras amenazas tecnológicas.
Cualquier empresa u organización puede diseñar un sistema de gestión de seguridad de la información basándose en este estándar. Esta norma da confianza y seguridad a los clientes de la compañía, ya que permite saber que cuenta con los controles y procedimientos necesarios tanto para evitar un ciberataque como para solventarlo. Asimismo, el sistema de seguridad de la empresa debe garantizar la confidencialidad de la información, a la que solo accederá el personal autorizado.
La norma ISO 27001 fija el protocolo a seguir a la hora de implantar un Sistema de Gestión de la Seguridad de la Información (SGSI) en una empresa. El proceso abarca varias fases, como definir el alcance de este sistema, analizar los riesgos y su gestión, seleccionar qué controles se van a implementar, cómo aplicarlos y finalmente cómo revisar este sistema.
La norma ISO 27001 describe la terminología que se aplica en este estándar y recoge indicaciones para comprender las necesidades de la empresa en materia de seguridad de la información. Incluye cómo debe ser la planificación del SGSI y sus objetivos, e incluso cómo mejorarlo una vez evaluado mediante una auditoría interna.
El objetivo de esta certificación, explican desde AENOR, es implantar la ciberseguridad orientada a los procesos y objetivos del negocio considerando el análisis de riesgos. Entre los beneficios que implica aplicar esta norma en la empresa se encuentra el cumplimiento de normativas sobre protección de datos y privacidad. Ademas, se trabaja la optimización de recursos y costes orientados a la ciberseguridad.
Fases para obtener la certificación ISO 27001
Auditorias y Gestión de Riesgos informáticos con MAGERIT
Uso del software PILAR – La tecnlogía del CNI
Los activos están expuestos a amenazas que, cuando se materializan, degradan el activo, produciendo un impacto. Si estimamos la frecuencia con que se materializan las amenazas, podemos deducir el riesgo al que está expuesto el sistema.
Degradación y frecuencia califican la vulnerabilidad del sistema. El gestor del sistema de información dispone de salvaguardas, que o bien reducen la frecuencia de ocurrencia, o bien reducen o limitan el impacto. Dependiendo del grado de implantación de estas salvaguardas, el sistema pasa a una nueva estimación de riesgo que se denomina riesgo residual.
PILAR dispone de una biblioteca estándar de propósito general, y es capaz de realizar calificaciones de seguridad respecto de normas ampliamente conocidas como son:
- ISO/IEC 27002 (2005, 2013) – Código de buenas prácticas para la Gestión de la Seguridad de la Información
- ENS – Esquema Nacional de Seguridad