Certificar que sus proveedores se adhieren a las normas ISO 27001 es crucial para salvaguardar sus datos. Verifique su certificación para asegurarse de que su información sensible permanece segura y protegida.

Seguridad y privacidad son las palabras clave de la era moderna. Con cada nueva brecha de alto perfil, y con el aumento de las leyes de Protección de Datos a nivel mundial, recae sobre cada empresa y organización la responsabilidad de demostrar que están tomando medidas razonables para proteger la información personal que utilizan. Aquí es donde las normas de seguridad, como la ISO 27001, tienen un papel importante.

¿Qué es la norma ISO 27001?

La norma ISO 27001 le proporciona una forma de demostrar que ha analizado sus negocios, ha identificado los riesgos, ha actuado para minimizar la probabilidad y/o el impacto de estos riesgos y que, a continuación, una parte externa independiente ha comprobado que todo lo que está haciendo es razonable. Como esta comprobación se realiza cada año, es un compromiso continuo de cumplimiento.

A la hora de seleccionar proveedores, ya sea un subcontratista de
que procesará su papeleo, o un proveedor de SaaS que procesará
información en la nube, o cualquier otro servicio en el que vaya a confiar en
sus normas de seguridad para proteger sus datos y su reputación, la ISO 27001 es una certificación valiosa
. Pero, ¿cómo puede estar seguro de que la empresa con la que está tratando
tiene una certificación válida?

Cumplimiento de la norma ISO 27001 frente a certificación ISO 27001

Lo primero que hay que hacer es pedir una copia del certificado ISO. Es habitual encontrar proveedores que afirman con orgullo que están «alineados con la norma ISO 27001», sin embargo, piense en lo que esto significa. Alineado y certificado son cosas muy diferentes. Si una empresa está haciendo todo el trabajo duro para «alinearse» con la norma ISO, ¿por qué no dar el paso final y certificarse? O, ¿han sido certificados anteriormente y se les ha retirado por no cumplir las normas exigidas?

El alcance de la norma ISO 27001

Una vez que reciba el certificado, lo siguiente que debe comprobar es que sea válido y que cubra las áreas para las que pretende utilizar al proveedor. Por tanto, el primer paso aquí es comprobar la fecha de caducidad del certificado. Si ha caducado, no es válido. A continuación, compruebe que el organismo que ha emitido el certificado está acreditado. La lista de miembros del IAF documenta claramente quién está autorizado para acreditar a los organismos de certificación. Por ejemplo, en el Reino Unido es UKAS. A continuación, compruebe que el organismo que ha acreditado el certificado del proveedor aparece en la lista del sitio web del país específico.

Ahora sabemos que el certificado es válido,
pero aún no hemos terminado. A continuación, tenemos que comprobar que el certificado cubre las
actividades que queremos que el proveedor lleve a cabo en los sitios en los que tendrá lugar el trabajo
. La norma ISO 27001 le permite seleccionar en qué se va a certificar y
los sitios específicos a los que se aplica. Este es el alcance de la certificación.

Por ejemplo, supongamos que una empresa que se ocupa de la eliminación segura de papeles amplía sus operaciones a un nuevo emplazamiento. Tienen una certificación ISO para su emplazamiento original. La certificación no cubre el nuevo emplazamiento hasta que complete el proceso de certificación para el mismo. Ahora bien, una certificación puede cubrir varios sitios, pero sólo si se indica explícitamente. ¿O qué pasaría si la misma empresa decidiera adquirir un proveedor de nóminas SaaS? El certificado ISO es sólo para la eliminación segura del papeleo, no cubre la operación SaaS.

Por último, una vez que esté satisfecho de que el certificado
cubre el alcance que usted requiere, debe comprobar los controles que el proveedor
ha implantado para asegurarse de que cumplen sus requisitos y expectativas.
La certificación ISO es un proceso continuo y evolutivo. A medida que la naturaleza de los riesgos
y los requisitos del cliente cambian, también lo hacen los controles. Por lo tanto, compruebe los controles de su proveedor
, si no cumplen sus requisitos, insista en que se establezcan más controles
. Esto le dará la tranquilidad que necesita y, al mismo tiempo,
facilitará la recertificación del proveedor, ya que podrá
demostrar que evalúa activamente los controles que utiliza y los actualiza
según sea necesario.

La forma de seleccionar a los proveedores y de evaluarlos es un aspecto importante para mantener su propia certificación ISO 27001, así que recuerde estos tres pasos:

Primero – compruebe que el certificado del vendedor es válido.

Segundo – compruebe que el ámbito de aplicación es aplicable.

Por último , compruebe que los controles satisfacen sus necesidades y expectativas.

MetaCompliance se enorgullece de cumplir la norma ISO 27001. En MetaCompliance, siempre nos hemos esforzado por ofrecer a nuestros clientes la infraestructura de seguridad de la información más sólida. Esta certificación garantiza que nuestros productos se ajustan a los más altos estándares mediante procesos aprobados y documentados y que estamos comprometidos con el más alto nivel de seguridad de la información. Si desea más información, póngase en contacto con nosotros.