La seguridad y la privacidad son las palabras clave de la era moderna. Con cada nueva infracción de alto nivel y con el aumento de las leyes de protección de datos en todo el mundo, la responsabilidad recae en todas las empresas y organizaciones para demostrar que están tomando medidas razonables para proteger la información personal que utilizan. Aquí es donde las normas de seguridad, como la ISO 27001, tienen un papel importante.
¿Qué es la ISO 27001?
La norma ISO 27001 le permite demostrar que ha analizado sus negocios, ha identificado los riesgos, ha actuado para minimizar la probabilidad y/o el impacto de estos riesgos y ha hecho que una parte externa independiente compruebe que todo lo que está haciendo es razonable. Como esta comprobación se realiza cada año, es un compromiso continuo de cumplimiento.
A la hora de seleccionar proveedores, ya sea un subcontratista que vaya a procesar su trabajo en papel, o un proveedor de SaaS que vaya a procesar información en la nube, o cualquier otro servicio en el que vaya a confiar en sus normas de seguridad para proteger sus datos y su reputación, la ISO 27001 es una certificación valiosa. Pero, ¿cómo puede estar seguro de que la empresa con la que trata tiene una certificación válida?
ISO 27001 Conforme vs. ISO 27001 Certificada
Lo primero que hay que hacer es pedir una copia del certificado ISO. Es habitual encontrar proveedores que afirman con orgullo que están "alineados con la ISO 27001", sin embargo, piense en lo que esto significa. Alineado y certificado son cosas muy diferentes. Si una empresa está haciendo todo el trabajo duro para "alinearse" con la norma ISO, ¿por qué no dar el paso final y certificarse? O bien, ¿ha sido certificada previamente y se le ha retirado por no cumplir las normas requeridas?
Alcance de la norma ISO 27001
Una vez que reciba el certificado, lo siguiente que debe comprobar es que sea válido y que cubra las áreas para las que pretende utilizar al proveedor. Por tanto, el primer paso es comprobar la fecha de caducidad del certificado. Si ha caducado, no es válido. A continuación, compruebe que el organismo que ha emitido el certificado está acreditado. La lista de miembros del IAF documenta claramente quién está autorizado a acreditar organismos de certificación. Por ejemplo, en el Reino Unido es UKAS. A continuación, compruebe que el organismo que ha acreditado el certificado del proveedor aparece en la lista del sitio web del país en cuestión.
Ahora sabemos que el certificado es válido, pero aún no hemos terminado. A continuación, tenemos que comprobar que el certificado cubre las actividades que queremos que realice el proveedor en los lugares en los que se llevará a cabo el trabajo. La norma ISO 27001 permite seleccionar en qué se va a certificar y los sitios específicos a los que se aplica. Este es el alcance de la certificación.
Por ejemplo, supongamos que una empresa que se dedica a la eliminación segura de papeles amplía sus operaciones a un nuevo emplazamiento. Tiene una certificación ISO para su sede original. La certificación no cubre el nuevo emplazamiento hasta que se complete el proceso de certificación para el mismo. Ahora bien, una certificación puede abarcar varios centros, pero sólo si se indica explícitamente. ¿Y si la misma empresa decidiera adquirir un proveedor de nóminas SaaS? El certificado ISO es sólo para la eliminación segura de papeles, no cubre la operación de SaaS.
Por último, una vez que esté convencido de que el certificado cubre el ámbito de aplicación que necesita, debe comprobar los controles que el proveedor tiene en marcha para asegurarse de que cumplen sus requisitos y expectativas. La certificación ISO es un proceso continuo y evolutivo. A medida que la naturaleza de los riesgos y los requisitos del cliente cambian, también lo hacen los controles. Por tanto, compruebe los controles de su proveedor y, si no cumplen sus requisitos, insista en que se establezcan más controles. Esto le dará la tranquilidad que necesita y, al mismo tiempo, facilitará la recertificación del proveedor, ya que podrá demostrar que evalúa activamente los controles que utiliza y los actualiza según sea necesario.
La forma de seleccionar y evaluar a los proveedores es un aspecto importante para mantener su propia certificación ISO 27001, así que recuerde estos tres pasos:
En primer lugar , compruebe que el certificado del proveedor es válido.
Ensegundo lugar , compruebe que el ámbito de aplicación es el adecuado.
Por último , compruebe que los controles se ajustan a sus necesidades y expectativas.
MetaCompliance se enorgullece de cumplir con la norma ISO 27001. En MetaCompliance, siempre nos hemos esforzado por ofrecer a nuestros clientes la infraestructura de seguridad de la información más sólida. Esta certificación garantiza que nuestros productos se ajustan a los más altos estándares a través de procesos aprobados y documentados y que estamos comprometidos con el más alto estándar de seguridad de la información. Para más información, póngase en contacto con nosotros.