Ley y documentación

¿Qué dice la norma ISO 27001?

seguridad y confidencialidad

En Natura Activa respondemos a los máximos estándares de seguridad y confidencialidad. Buena muestra de ello es la certificación ISO 27001 que ostentamos desde el año 2008. Pero, ¿qué dice exactamente? ¿Qué se revisa para decidir si una empresa puede o no obtenerla?

Una compañía que cuente con la certificación ISO 27001 es una compañía que ha dejado claro su firme compromiso por gestionar proactivamente la información. En Natura Activa garantizamos siempre la máxima confidencialidad en todas las recogidas de documentación confidencial.

La ISO 27001 es una norma internacional de Seguridad de la Información que asegura la confidencialidad, integridad y disponibilidad de la información de determinada organización y de los sistemas y aplicaciones que se usan en su tratamiento. Este estándar fue desarrollado por la Organización Internacional de Normalización (International Organization for Standardization) y por la Comisión Electrotécnica Internacional (International Electrotechnical Commission).

La norma define de manera genérica cómo se planifica, implanta, verifica y controla un Sistema de Gestión de Seguridad de la Información. Lo hace mediante un análisis de riesgos y planificando las respuestas para mitigarlos. ¿Qué quiere decir esto? Que toda empresa puede desplegar un Sistema de Gestión de la Seguridad de la Información (SGSI) atendiendo a este estándar.

Seguridad y confidencialidad al administrar la información

Un Sistema de Gestión de la Seguridad de la Información es un enfoque sistemático o conjunto de políticas y procedimientos que se usan para administrar la información de una empresa u organismo. 

Hay que garantizar tres cosas: 

  1. Confidencialidad: asegurar que sólo las personas autorizadas puedan acceder a la información.
  2. Integridad: que no haya sido manipulada de forma no autorizada.
  3. Disponibilidad: que se pueda acceder a la información siempre que sea necesario.  

La norma ISO 27001 está directamente relacionada con la ISO 27002. Esta última hace mención a una serie de buenas prácticas en cuanto a la  seguridad y confidencialidad de la información.

La base de la norma ISO 27001 es la teoría de gestión de la calidad PDCA o ciclo de Deming. Las siglas de PDCA corresponden a las acciones de planificar, hacer, verificar y actuar. Vamos a desgranar cada uno de estos pasos: 

  1. Planificar: se identifican los riesgos asociados con la seguridad de la información. Se hace un análisis cualitativo y se planifica la respuesta.
  2. Hacer: implantación y operación del Sistema de Gestión de Seguridad de la Información.
  3. Verificar: revisar y evaluar su eficacia y eficiencia. En caso de que sea necesario, ver qué puntos de mejora existen. 
  4. Actuar: se trata de trabajar en pro de una mejora continua del SGSI.

En definitiva, la ISO 27001 es esencial para gestionar la seguridad de la información en organismos y empresas. No importa su tamaño, objetivos o estructura. Siempre hay que remitirse a esta norma.