La familia ISO/IEC 27000 está constituida por una serie de normas de seguridad de la información. De todas las normas estándares de esta familia (ISO/IEC 27000, 27001, 27002, etc.), la ISO 27001, publicada en 2013, es la única certificable por una entidad acreditadora y, además, está reconocida internacionalmente. Si estás interesado en ser auditor ISO 27001 y quieres prepararte para obtener la certificación, en este post te damos las pautas a seguir.
El principal objetivo de la norma ISO/IEC 27001 es implantar la seguridad de la información, su confidencialidad y disponibilidad, orientada a los procesos y objetivos de negocio de las organizaciones en base a un análisis de riesgos de TIC.
Las organizaciones que implantan un Sistema de Gestión de la Seguridad de la Información (SGSI) conforme a la ISO/IEC 27001 pueden optar por certificar dicho sistema. Para ello, deberán superar una auditoría de certificación conducida por un auditor externo a la organización y perteneciente a una entidad auditora acreditada.
¿Qué elementos debo proteger en mi empresa?
Cuando nos ponemos a analizar la información sobre la que tenemos la responsabilidad de proteger, deberemos pensar en que no importa si esta información se almacena en las oficinas de su empresa o en algún lugar de la nube; no importa si se accede a esta información desde su red local o mediante acceso remoto.
Por ejemplo, si se utilizan portátiles que sus empleados necesitan para el desempeño de su trabajo, esto no significa que estos portátiles estén fuera del alcance del SGSI. Por tanto, deben incluirse en su alcance si a través de estos portátiles los empleados pueden acceder a su red local y a informaciones sensibles o a los servicios que se encuentran en su red.
En el caso de que vayamos elegidos certificar nuestro sistema SGSI la definición del alcance tiene su importancia.
El auditor en la etapa de certificación verificará si todos los elementos del SGSI cumplen sus requisitos y están correctamente implantados pero solo dentro de su alcance; no comprobará los departamentos o sistemas que no están incluidos en el alcance definido para el SGSI.