Certificación ISO-27001

 

 

Los clientes están preocupados, y con razón, por confiar sus datos confidenciales a terceros.

Interfax Communications Ltd., desarrollador de ShieldQ, mantenido un sistema de gestión de la seguridad de la información (ISMS) reforzado para proteger los datos de los clientes de cualquier amenaza interna o externa, deliberada o accidental. La compañía ha ido un paso más allá y ha conseguido la codiciada certificación ISO 27001 a través de Certification Europe.

ISO 27001 es el estándar internacionalmente reconocido y respetado que determina si una compañía sigue las mejores prácticas en lo que respecta a la seguridad de la información. Este estándar, completamente neutral, emplea un exigente enfoque basado en los riesgos para determinar la seguridad de la información en organizaciones, estructuras de TI de evaluación, procedimientos y personas.

La certificación no es obligatoria: las compañías que quieren garantizar a sus clientes la seguridad de sus datos se somenten a exigentes auditorías, que pueden marcar la diferencia entre instituir las mejores prácticas y procedimientos para garantizar la máxima protección de datos de los clientes y tener un sistema de seguridad que no está totalmente optimizado.

Realmente hay muy pocas empresas que hayan conseguido la certificación ISO 27001. Según ISO.org, solo 27 536 empresas en todo el mundo consiguieron la certificación en 2015, entre las que se encuentran Xerox, Pfizer y Vodafone. Otras, confían en la certificación ISO 27001 de centros de datos externos y no certifican sus propios sistemas.

El logro de esta certificación hace de ShieldQ el único servicio multicanal de almacenamiento y gestión de datos que garantiza la seguridad de los datos de sus clientes, dentro y fuera, gracias a sus acreditaciones ISO 27001 y PCI DSS nivel 1.

¿Cómo se evalúa la norma ISO 27001?

Solo pueden conceder la certificación ISO 27001 organizaciones autorizadas, como Certification Europe, tras una evaluación especializada que concluya que la información está protegida de manera satisfactoria.

El proceso, de tres etapas, comprende:

Etapa 1: análisis no formal de los ISMS para garantizar que los documentos clave existen y están actualizados, incluyendo:

  • Una política de seguridad corporativa.
  • Un plan de tratamiento del riesgo.

  • Una declaración de aplicabilidad (cómo se implementa una gran parte de la seguridad de la información).

Etapa 2: pruebas independientes de los ISMS con respecto a los requisitos especificados en ISO/IEC 27001. Una vez que el cuerpo certificador ha determinado que los ISMS de la compañía, los procedimientos y las personas cumplen con los estándares de la norma ISO 27001, a la compañía se le conceden tres años de certificación.

Etapa 3: la empresa está sometida a continuas revisiones y auditorías periódicas para confirmar que la organización sigue conforme al estándar. El ciclo se repite cada tres años.

¿Cuál es la diferencia entre una empresa que posea la certificación ISO 27001 y una que no la tiene?

Esta tabla describe cómo se protegen los datos en una empresa certificada según la norma ISO 27001, como Interfax:

    Interfax: empresa acreditada 
Invierte en un ISMS, para proteger los datos críticos de los clientes
Empresa no acreditada
No invierten en ISMS, corren el riesgo y arriesgan los datos de los clientes
Mantiene los datos confidenciales protegidos Prioriza en invertir en las mejores prácticas de seguridad de la información y certificación Sin un buen ISMS, el sistema puede ser un "cubo con agujeros"
Posibilita intercambios seguros de información Canales auditados y seguros de comunicación No se puede decir si es segura
Grarantiza que cumple con la legalidad (GDPR de la UE) ISO 27001 prepara a las empresas para las estrictas reglas del reglamento GDPR

Solo se necesita una exposición para recibir una fuerte multa del GDPR: hasta el 2% anual de las ventas mundiales

Ayuda a la empresa a cumplir con otras regulaciones (PCI DSS) Al tener estándares de seguridad similares, es más fácil cumplir con las normas de seguridad para tarjetas de crédito PCD DSS Si no cumplen, las empresas deben empezar una inversión lenta y cara en sistemas de seguridad
Grarantiza una entrega de servicio consistente Los requisitos de la norma ISO 27001 garantizan que no habrá alteraciones en el flujo de trabajo Sin los controles adecuados, puede haber alteraciones
Construye una cultura corporativa de seguridad Todo el personal es entrenado y examinado en seguridad y protección de datos para garantizar que todas las interacciones se manejan con las mayores medidas de seguridad El factor humano es el eslabón más débil en cualquier organización (Verizon Data Breach Report 2017); no de manera intencional, sino por ignorar un protocolo de TI sólido
    Las empresas no acreditadas no se enteran de esos errores hasta meses, on incluso años, después, porque demasiado a menudo, los culpables son trabajadores de confianza que tenían permisos inmerecidos para manejar datos confidenciales
Gestiona y minimiza la exposición de riesgo Gracias a que la norma ISO 27001 adopta un enfoque basado en los riesgos, predice riesgos potenciales y garantiza que estamos preparados para manejarlos Si no están preparadas para un proceso formal, estas empresas pueden sufrir filtraciones

 

Para ver o descargar la certificación ISO 27001 de Interfax, haga clic aquí.

Para más información acerca del estándar ISO 27001, haga clic aquí.

Get started

Sign up for our FREE trial today.
No credit card required.