Cómo mantener la certificación ISO 27001

noviembre 2, 2022

Superar la auditoría de certificación de la ISO 27001:2013 para los Sistemas Gestión de la Seguridad de la Información con éxito supone un hito en cualquier organización. Pero eso es solo el principio.

Mantener el cumplimiento de la norma ISO 27001 requiere un esfuerzo y una supervisión continuos. En este artículo repasamos qué necesitas para mantener la certificación y cómo seguir cumpliendo, incluso en las auditorías de recertificación.

Tabla de contenidos

¿Cómo garantizas el cumplimiento de la Norma ISO 27001?

El cumplimiento de la norma ISO es un proceso continuo. Cuando recibes la certificación, esta es técnicamente válida durante tres años. Sin embargo, cada año, un auditor interno llevará a cabo una auditoría preliminar para comprobar determinados aspectos de tu Sistema Gestión de la Seguridad de la Información y ver si es conforme a los requisitos legales.

<<No te pierdas nuestro próximo Webinar: “Cumple con los requisitos legales en Seguridad de la Información”>>

Regístrate gratis

¿Cuál es el calendario de cumplimiento de la ISO 27001?

·      Año 0: Completa con éxito una auditoría completa y recibes tu certificación ISO 27001

·      Año 1: Auditoría preliminar

·      Año 2: Auditoría preliminar

·      Año 3: Nueva auditoría completa de recertificación ISO 27001

¿Cómo mantener el cumplimiento de tu Sistema Gestión de la Seguridad de la Información?

Es fácil que algunos aspectos de tu Sistema Gestión de la Seguridad de la Información cambien y se pueda incumplir los requisitos legales de la norma ISO 27001. Las actualizaciones de la normativa de seguridad de la información, la incapacidad de descifrar qué trámites legales deben cumplirse, los vencimientos del calendario de cumplimiento, la falta de seguimiento de los requisitos, la falta de verificaciones y evidencias documentales… son algunas de las principales causas de incumplimiento.

¿Cómo evitar No Conformidades e incumplimientos en ISO 27001?

Utiliza la supervisión continua con una plataforma de cumplimiento automatizado

Una plataforma automatizada permite llevar al día el calendario de cumplimiento legal de la ISO 27001. Te avisa de cualquier novedad, actualización y vencimiento al instante. Además, identifica, asigna y resume qué requisitos legales de seguridad de la información te aplican.

También te informa de qué trámites legales debes cumplir, y a quién debes implicar, para que cuando llegue el momento de tu próxima auditoría interna, no te pille desprevenido.

En lugar de supervisar manualmente toda la normativa de seguridad de la información, protección de datos y propiedad intelectual que existe, una plataforma automatizada de cumplimiento se encarga de identificar todos los requisitos legales que te aplican, de forma personalizada.

Los descifra para que puedas conocer los trámites con los que debes cumplir, en plazo, puedas reunir pruebas de tu cumplimiento e indicar cualquier requisito que te falte, todo ello sin perder largas jornadas descifrando complejas normativas.

Garantiza el acceso seguro a la información sensible

Gran parte del cumplimiento de la norma ISO 27001 se centra en limitar el acceso a los datos sensibles para que solo sean visibles para aquellos empleados autorizados.

Es fundamental establecer un proceso claro y coherente de acceso y veto a la información sensible para que cuando se produzcan cambios en los flujos de trabajo, perfiles, roles, funciones y tareas, los cambios se produzcan de forma rápida y correcta. Asegúrate de que este proceso está bien documentado para que no se vea comprometido cuando haya rotación de los empleados.

Actualiza las políticas de gestión de riesgos a medida que surjan nuevas amenazas

Las organizaciones tienen que sortear amenazas y bloqueos de seguridad a diario. Según la AEPD en 2021 se notificaron 1647 brechas de seguridad en España, un 20% más que el año anterior.

Cada día, surgen nuevas técnicas de ciberataques y nuevas vulnerabilidades en los sistemas. Por ello, es de vital importancia que asignes en tu equipo un responsable de estar al día de este tipo de novedades y, que también se encargue del análisis de riesgos, de las medidas de protección, de plantear y liderar los cambios necesarios cuando surjan nuevos riesgos.

Mantén toda la documentación ISO 27001 unificada, segura y accesible

Uno de los aspectos más difíciles, cuando tienes que superar la auditoría de certificación de ISO 27001, es reunir toda la documentación que el auditor necesitará ver. Esto incluye políticas y procedimientos, informes de vulnerabilidad y mucho más. Para facilitar el acceso seguro a toda la documentación, y, sobre todo, a todas las versiones actualizadas, es básico establecer un único canal de información.

Con una plataforma de cumplimiento, todos los usuarios y personas autorizadas pueden acceder a la información actualizada en tiempo real, desde cualquier dispositivo con acceso a internet.

Y lo que es más importante, se puede ver fácilmente cuándo se actualizaron los documentos por última vez para saber, cuál es el nivel de cumplimiento y qué trámites deben realizarse antes de la próxima auditoría.

Identifica claramente las responsabilidades

Dependiendo del tamaño y la complejidad de tu organización y alcance del SGSI, es fácil que algunos aspectos de su seguridad y de tu cumplimiento de la norma ISO se escapen porque cada persona piensa que es responsabilidad de otra. Para evitar estos malentendidos, es necesario establecer claramente qué miembros del equipo son responsables de qué aspectos del sistema de Gestión de Seguridad de la Información y del cumplimiento de la norma ISO 27001.

En muchas ocasiones el equipo está configurado por perfiles técnicos del departamento de IT. Esto dificulta que dispongan de los conocimientos en normativas de seguridad de la información. En muchas ocasiones, los equipos tienen que destinar largas jornadas a recopilar, descifrar y entender muchos y complejos textos jurídicos.

¿Cuáles son las principales no conformidades de la Norma ISO 27001?

Una no conformidad es el incumplimiento de un requisito de la norma ISO. Si hay requisitos de la norma ISO que tu empresa no ha abordado; si en tu documentación has especificado un proceso que no estáis siguiendo; o si tu empresa no cumple con los requisitos legales que le aplican, ni con sus relaciones con terceros, seguramente el auditor reportará no conformidades. 

El auditor describirá la no conformidad, proporcionará pruebas del problema detectado, hará referencia a la cláusula, y al requisito con el que estáis incumpliendo, y resumirá lo que debe hacerse para cumplir con el requisito legal.

Tanto las no conformidades mayores como las menores pueden registrarse en el acta de la auditoría de certificación de tu empresa. La presencia de una no conformidad mayor significa que una empresa no puede obtener la certificación.

Ejemplos de No Conformidades mayores:

Incumplimiento total de un determinado requisito de la norma
Ausencia de documentación obligatoria
La no ejecución de un proceso o procedimiento
La acumulación de no conformidades menores en relación con un proceso o elemento del sistema de gestión, que pone de manifiesto un problema mayor 
El uso incorrecto de una marca de certificación, engañando así a los clientes 
Las no conformidades menores que no se resuelven en el plazo previsto para ello.

Una no conformidad menor es cualquier no conformidad que no sea mayor; la designación de una no conformidad menor representa un incumplimiento de un requisito que, por sí solo, no es probable que provoque el fracaso del Sistema de Gestión de Seguridad de la Información de una empresa.

Garantiza el cumplimiento de la Norma ISO 27001 más allá de la auditoría

Contar con una plataforma de automatización del cumplimiento legal garantiza el cumplimiento de la Norma ISO 27001 más allá de la auditoría. Funcionalidades como las notificaciones de actualización de la normativa, los vencimientos del calendario de trámites y los resúmenes de normativa permiten a los equipos técnicos de IT, dedicarse a la gestión de riesgos y no a revisar a diario la normativa.

Mantener el cumplimiento de la norma ISO 27001 al día es una forma fundamental de proteger los datos de tus clientes, tus ingresos y tu reputación, y de garantizar que superas con éxito tu próxima auditoría. El primer paso es conseguir una plataforma de cumplimiento legal de confianza, fiable y fácil de utilizar.

Solicita una demo y descubre cómo CTAIMALEGAL puede ayudarte mantener tu ISO 27001 año tras año.

¿Qué es la norma ISO 45004:2024 y qué significa para una empresa?

CTAIMA

marzo 19, 2024

Reforzando la Seguridad Informática con CTAIMACAE: Doble Factor de Autenticación (2FA) e Inicio de Sesión Único (SSO)

Categorías

Completa el formulario para recibir la newsletter

He leído y acepto la Política de Privacidad

REGÍSTRATE

INFORMACIÓN PROTECCIÓN DE DATOS DE GRUPO CTAIMA Finalidades: Responder a sus solicitudes y remitirle información comercial de nuestros productos y servicios, incluso por medios electrónicos. Derechos: Puede retirar su consentimiento en cualquier momento, así como acceder, rectificar, suprimir sus datos y demás derechos en delegado-datos@ctaima.com. Información Adicional: Puede ampliar la información en el enlace de Política de Privacidad.