Seguridad y privacidad son las palabras clave de la era moderna. Con cada nueva brecha de alto perfil y con el aumento de las leyes de protección de datos en todo el mundo, la responsabilidad recae en todas las empresas y organizaciones. protección de datos en todo el mundo, recae en todas las empresas y organizaciones la responsabilidad de demostrar que toman medidas razonables para proteger la información personal que utilizan. que utilizan. Aquí es donde las normas de seguridad, como la ISO 27001, desempeñan un papel importante. un papel importante.
¿Qué es la ISO 27001?
La norma ISO 27001 le permite demostrar que ha analizado sus negocios, ha identificado los riesgos, ha actuado para minimizar la probabilidad y/o el impacto de estos riesgos y ha hecho que una parte externa independiente compruebe que todo lo que está haciendo es razonable. Como esta comprobación se realiza cada año, es un compromiso continuo de cumplimiento.
A la hora de seleccionar proveedores, ya sea un proveedor externo que procesará su papeleo, o un proveedor de SaaS que procesará información en la nube, o cualquier otro servicio en el que confíe en sus normas de seguridad para proteger sus datos y su reputación. sus normas de seguridad para proteger sus datos y su reputación, la norma ISO 27001 es una certificación valiosa. Pero ¿cómo puede estar seguro de que la empresa con la que está tratando tiene una certificación válida? tiene una certificación válida?
ISO Cumplimiento de la norma ISO 27001 frente a certificación ISO 27001
Lo primero que hay que hacer es pedir una copia del certificado ISO. Es habitual encontrar proveedores que afirman con orgullo que están "alineados con la ISO 27001", sin embargo, piense en lo que esto significa. Alineado y certificado son cosas muy diferentes. Si una empresa está haciendo todo el trabajo duro para "alinearse" con la norma ISO, ¿por qué no dar el paso final y certificarse? O bien, ¿ha sido certificada previamente y se le ha retirado por no cumplir las normas requeridas?
El sitio Alcance de la norma ISO 27001
Una vez que reciba el certificado, lo siguiente que debe comprobar es que sea válido y que cubra las áreas para las que pretende utilizar al proveedor. Por tanto, el primer paso es comprobar la fecha de caducidad del certificado. Si ha caducado, no es válido. A continuación, compruebe que el organismo que ha emitido el certificado está acreditado. La lista de miembros del IAF documenta claramente quién está autorizado a acreditar organismos de certificación. Por ejemplo, en el Reino Unido es UKAS. A continuación, compruebe que el organismo que ha acreditado el certificado del proveedor aparece en la lista del sitio web del país en cuestión.
Ahora sabemos que el certificado es válido, pero aún no hemos terminado. A continuación, tenemos que comprobar que el certificado cubre las actividades que queremos que realice el proveedor en los lugares en los que se llevará a cabo el trabajo. el trabajo. La norma ISO 27001 permite seleccionar en qué se va a certificar y los sitios específicos a los que se aplica. Este es el alcance de la certificación.
Por ejemplo, supongamos que una empresa que se dedica a la eliminación segura de papeles amplía sus operaciones a un nuevo emplazamiento. Tiene una certificación ISO para su sede original. La certificación no cubre el nuevo emplazamiento hasta que se complete el proceso de certificación para el mismo. Ahora bien, una certificación puede abarcar varios centros, pero sólo si se indica explícitamente. ¿Y si la misma empresa decidiera adquirir un proveedor de nóminas SaaS? El certificado ISO es sólo para la eliminación segura de papeles, no cubre la operación de SaaS.
Por último, una vez que esté seguro de que el que el certificado cubre el ámbito que necesita, debe comprobar los controles que el para asegurarse de que cumplen sus requisitos y expectativas. La certificación ISO es un proceso continuo y evolutivo. A medida que cambian y los requisitos de los clientes, también cambian los controles. Por tanto, compruebe los controles Si no cumplen sus requisitos, insista en que se establezcan más controles. controles adicionales. Esto le dará la tranquilidad que necesita y, al mismo tiempo, facilitará la recertificación. al mismo tiempo, facilitará la recertificación del proveedor, ya que podrá demostrar que evalúa activamente los controles que utiliza y los actualiza y los actualiza cuando es necesario.
La forma de seleccionar y evaluar a los proveedores es un aspecto importante para mantener su propia certificación ISO 27001, así que recuerde estos tres pasos:
En primer lugar , compruebe que el certificado del proveedor es válido.
Ensegundo lugar , compruebe que el ámbito de aplicación es el adecuado.
Por último , compruebe que los controles se ajustan a sus necesidades y expectativas.
MetaCompliance se enorgullece de cumplir con la norma ISO 27001. En MetaCompliance, siempre nos hemos esforzado por ofrecer a nuestros clientes la infraestructura de seguridad de la información más sólida. Esta certificación garantiza que nuestros productos se ajustan a los más altos estándares a través de procesos aprobados y documentados y que estamos comprometidos con el más alto estándar de seguridad de la información. Para más información, póngase en contacto con nosotros.
