Seguridad de la información y la Norma 27001

La importancia de la Norma 27001 en seguridad de la información (SGSI).

En plena era digital, las organizaciones están preocupadas por la seguridad de la información que gestionan, debido a los riesgos y vulnerabilidades que se derivan del tratamiento de estos datos. La norma que contiene los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Información es la ISO 27001. 

• ¿Qué es la ISO 27001 y para qué sirve?

La norma ISO 27001 establece unos requisitos para la gestión de la seguridad de la información (SGSI). Se trata de unas acciones básicas para proteger nuestra información frente a posibles ataques o amenazas externas. Todas y cada una de las fases de ISO 27001 se centran en el control y análisis de riesgos y amenazas dentro de la organización. Por lo tanto, la principal finalidad del SGSI es la de preservar la confidencialidad, integridad y la disponibilidad de la información.

• ¿Por qué es fundamental la ISO 27001 para las empresas?

Los beneficios de implantar la ISO 27001 afectan al ámbito de la empresa en su cumplimiento legal, aspecto funcional de la misma, en la imagen que proyecta, la confianza financiera y en la sensibilización de los trabajadores respecto a la manipulación de la información.

Existen 4 ventajas esenciales para una organización:

1. Cumplir con los requisitos legales: hay cada vez más leyes, normativas y requisitos contractuales que se relacionan con la seguridad de la información. La mayoría de estas leyes se pueden resolver y cumplir con lo implementado en la norma ISO 27001.
2. Obtener una ventaja competitiva: si una organización obtiene la certificación y sus competidores no, le proporciona cierta ventaja sobre éstos a ojos de sus clientes. A nivel comercial aporta credibilidad y confianza entre los clientes de la empresa.
3. Menor impacto financiero: uno de los objetivos principales de la norma ISO 27001 es evitar que se produzcan incidentes de seguridad y, de esta manera, conseguir una reducción en el impacto económico que supone a cualquier empresa
4. Mejor respuesta al cambio: el seguimiento en la correcta implantación de un sistema de gestión de la seguridad de la información (SGSI) ofrece a las empresas una mejor definición de sus procesos y procedimientos, aportando así una mejor adaptación al cambio organizacional.

• ¿Por qué certificarse para ser auditor interno ISO 27001?

Un auditor en ISO 27001 debe demostrar una formación y experiencia adecuadas para revisar periódicamente la auditoría de una organización y comprobar que el sistema de gestión implantado sirve al propósito que estamos persiguiendo, incluyendo la conformidad con la norma de referencia.

Si el objetivo de su empresa es alcanzar el cumplimiento con ISO 27001, u obtener una certificación ISO 27001, necesita contar con personas que tengan un profundo conocimiento de los requisitos de la norma, la forma de implementarla y sobre la realización de auditorías internas del sistema.

Actualmente, según plataformas de empleo como Infojobs y LinkedIn, son muchas las empresas de distintos sectores (como KPMG, Accenture, Sanitas, Banco Santander o BBVA) que buscan personal cualificado y certificado como Auditor IT en Seguridad de la Información.

• Formación online en Ciberseguridad

Como parte de un convenio de colaboración entre TÜV Rheinland y la Universidad Europea, los alumnos y antiguos alumnos del Máster Universitario en Seguridad de la Tecnologías de la Información podrán obtener la certificación en la norma ISO 27001:2013.

El objetivo de este acuerdo es que los alumnos del Máster en Seguridad Informática adquieran la formación necesaria para realizar el examen de certificación que les permita mejorar sus oportunidades laborales y obtener una proyección profesional a nivel internacional.

De esta manera, la preparación del examen para obtener la certificación en la norma ISO 27001:2013 será posible para quienes cursen o hayan cursado materias como Sistemas de Gestión de Seguridad de la Información, Auditoria de Seguridad y Análisis de Riesgos Informáticos, cuyos contenidos están dirigidos a la implementación de Sistemas de Gestión de la Seguridad Informática (SGSI).