Un enfoque integrado: cómo isms.online logró la recertificación ISO 27001 e ISO 27701

Un enfoque integrado: cómo ISMS.online logró la recertificación ISO 27001 e ISO 27701

En octubre de 2024, logramos la recertificación para ISO 27001, el estándar de seguridad de la información, y ISO 27701, el estándar de privacidad de datos. Con nuestra exitosa recertificación, ISMS.online entra en su quinto ciclo de certificación de tres años. ¡Hemos tenido la certificación ISO 27001 durante más de una década! Nos complace compartir que logramos ambas certificaciones con cero no conformidades y mucho aprendizaje.

¿Cómo nos aseguramos de gestionar eficazmente y seguir mejorando nuestra privacidad de datos y seguridad de la información? Utilizamos nuestra solución de cumplimiento integrada: Punto único de verdad, o SPoT, para construir nuestro sistema de gestión integrado (IMS). Nuestro IMS combina nuestro sistema de gestión de seguridad de la información (ISMS) y nuestro sistema de gestión de privacidad de la información (PIMS) en una única solución integrada.

En este blog, nuestro equipo comparte sus pensamientos sobre el proceso y la experiencia y explica cómo abordamos nuestras auditorías de recertificación ISO 27001 e ISO 27701.

¿Qué es ISO 27701?

La norma ISO 27701 es una extensión de privacidad de la norma ISO 27001. La norma proporciona pautas y requisitos para implementar y mantener un PIMS dentro de un marco ISMS existente.

¿Por qué las organizaciones deberían intentar implementar la norma ISO 27701?

Las organizaciones son responsables de almacenar y manejar información más sensible que nunca. Un volumen de datos tan alto (y en aumento) ofrece un objetivo lucrativo para los actores de amenazas y presenta una preocupación clave para los consumidores y las empresas a la hora de garantizar su seguridad.

Con el crecimiento de las regulaciones globales, como GDPR, CCPA y la Ley de Responsabilidad y Transferibilidad de Seguros Médicos (HIPAA, por sus siglas en inglés)Las organizaciones tienen una responsabilidad legal cada vez mayor de proteger los datos de sus clientes. A nivel mundial, nos encaminamos de manera constante hacia un panorama de cumplimiento normativo en el que la seguridad de la información ya no puede existir sin la privacidad de los datos.

Los beneficios de adoptar la norma ISO 27701 van más allá de ayudar a las organizaciones a cumplir con los requisitos normativos y de cumplimiento normativo. Entre ellos se incluyen demostrar responsabilidad y transparencia a las partes interesadas, mejorar la confianza y la lealtad de los clientes, reducir el riesgo de violaciones de la privacidad y los costos asociados, y obtener una ventaja competitiva.

Nuestra preparación de auditorías de recertificación ISO 27001 e ISO 27701

Como esta auditoría ISO 27701 era una recertificación, sabíamos que probablemente sería más exhaustiva y tendría un alcance mayor que una auditoría de seguimiento anual. Se programó para que durara 9 días en total. Además, desde nuestra auditoría anterior, ISMS.online ha trasladado su sede, ha ganado otra oficina y ha tenido varios cambios de personal. Estábamos preparados para abordar cualquier incumplimiento causado por estos cambios, en caso de que el auditor encontrara alguno.

Reseña de IMS

Antes de nuestra auditoría, revisamos nuestras políticas y controles para asegurarnos de que todavía reflejaran nuestro enfoque de seguridad y privacidad de la información. Considerando los grandes cambios que se produjeron en nuestro negocio en los últimos 12 meses, era necesario asegurarnos de que pudiéramos demostrar un seguimiento y una mejora continuos de nuestro enfoque.

Esto incluía garantizar que nuestro programa de auditoría interna estuviera actualizado y completo, que pudiéramos evidenciar el registro de los resultados de nuestras reuniones de gestión del SGSI y que nuestros KPI estuvieran actualizados para demostrar que estábamos midiendo nuestro desempeño en materia de seguridad de la información y privacidad.

Gestión de riesgos y análisis de brechas

La gestión de riesgos y el análisis de brechas deben formar parte del proceso de mejora continua para mantener el cumplimiento de las normas ISO 27001 e ISO 27701. Sin embargo, las presiones empresariales cotidianas pueden dificultar esta tarea. Utilizamos nuestras propias herramientas de gestión de proyectos de la plataforma ISMS.online para programar revisiones periódicas de los elementos críticos del SGSI, como el análisis de riesgos, el programa de auditoría interna, los KPI, las evaluaciones de proveedores y las acciones correctivas.

Cómo utilizar nuestra plataforma ISMS.online

Toda la información relacionada con nuestras políticas y controles se encuentra en nuestra plataforma ISMS.online, a la que puede acceder todo el equipo. Esta plataforma permite revisar y aprobar actualizaciones colaborativas y también proporciona control de versiones automático y una cronología histórica de los cambios.

La plataforma también programa automáticamente tareas de revisión importantes, como evaluaciones de riesgos y revisiones, y permite a los usuarios crear acciones para garantizar que las tareas se completen dentro de los plazos necesarios. Los marcos personalizables brindan un enfoque consistente para procesos como evaluaciones y contratación de proveedores, y detallan las tareas importantes de privacidad y seguridad de la información que deben realizarse para estas actividades.

Qué esperar durante una auditoría ISO 27001 e ISO 27701

Durante la auditoría, el auditor querrá revisar algunas áreas clave de su IMS, como:

  1. Las políticas, procedimientos y procesos de su organización para gestionar la seguridad de la información o los datos personales
  2. Evalúe los riesgos de seguridad y privacidad de su información y los controles apropiados para determinar si sus controles mitigan eficazmente los riesgos identificados.
  3. Evalúa tula gestión de incidencias¿Es suficiente su capacidad para detectar, informar, investigar y responder a incidentes?
  4. Examine su gestión de terceros para asegurarse de que existan controles adecuados para gestionar los riesgos de terceros.
  5. Revise sus programas de capacitación para educar adecuadamente a su personal en temas de privacidad y seguridad de la información.
  6. Revise las métricas de desempeño de su organización para confirmar que cumplen con los objetivos de privacidad y seguridad de la información descritos.

El proceso de auditoría externa

Antes de que comience su auditoría, el auditor externo le proporcionará un cronograma que detalla el alcance que desea cubrir y si le gustaría hablar con departamentos o personal específico o visitar ubicaciones particulares.

El primer día comienza con una reunión de apertura. Los miembros del equipo ejecutivo, en nuestro caso, el CEO y el CPO, están presentes para demostrar al auditor que gestionan, apoyan activamente y participan en el programa de seguridad y privacidad de la información para toda la organización. Esta reunión se centra en una revisión de las políticas y controles de las cláusulas de gestión de las normas ISO 27001 e ISO 27701.

Para nuestra última auditoría, después de que terminó la reunión de apertura, nuestro gerente de IMS se comunicó directamente con el auditor para revisar las políticas y controles de ISMS y PIMS según lo programado. El gerente de IMS también facilitó la interacción entre el auditor y los equipos y el personal de ISMS.online en general para analizar nuestro enfoque de las diversas políticas y controles de seguridad y privacidad de la información y obtener evidencia de que los seguimos en las operaciones diarias.

El último día se celebra una reunión de cierre en la que el auditor presenta formalmente sus conclusiones y ofrece la oportunidad de debatir y aclarar cualquier cuestión relacionada. Nos complace comprobar que, aunque nuestro auditor planteó algunas observaciones, no descubrió ningún incumplimiento.

Personas, procesos y tecnología: un enfoque de tres frentes para un SGI

Parte de los SGSI.online El principio básico es que la seguridad de la información y la privacidad de los datos, eficaces y sostenibles, se logran a través de las personas, los procesos y la tecnología. Un enfoque basado únicamente en la tecnología nunca tendrá éxito.

Un enfoque basado únicamente en la tecnología se centra en cumplir los requisitos mínimos de la norma en lugar de gestionar eficazmente los riesgos de privacidad de los datos a largo plazo. Sin embargo, su personal y sus procesos, junto con una sólida configuración tecnológica, le permitirán destacarse y mejorar significativamente la seguridad de la información y la eficacia de la privacidad de los datos.

Como parte de nuestra preparación para la auditoría, por ejemplo, nos aseguramos de que nuestro personal y nuestros procesos estuvieran alineados mediante el uso de la función de paquete de políticas de ISMS.online para distribuir todas las políticas y controles relevantes para cada departamento. Esta función permite realizar un seguimiento de la lectura de las políticas y controles por parte de cada individuo, garantiza que las personas conozcan los procesos de seguridad y privacidad de la información relevantes para su función y garantiza el cumplimiento de los registros.

Un enfoque de casillas de verificación menos eficaz a menudo:

  • Implican una evaluación de riesgos superficial, que puede pasar por alto riesgos significativos
  • Ignorar las preocupaciones de privacidad de las partes interesadas clave.
  • Impartir formación genérica no adaptada a las necesidades específicas de la organización.
  • Realice un seguimiento y una revisión limitados de sus controles, lo que puede dar lugar a incidentes no detectados.

Todo esto abre a las organizaciones a infracciones potencialmente dañinas, sanciones financieras y daños a la reputación.

Mike Jennings, director de IMS de ISMS.online, aconseja: “No utilice las normas simplemente como una lista de verificación para obtener la certificación; “viva y respire” sus políticas y controles. Harán que su organización sea más segura y lo ayudarán a dormir un poco más tranquilo por las noches”.

Hoja de ruta ISO 27701: descargar ahora

Hemos creado una hoja de ruta práctica de una página, dividida en cinco áreas de enfoque clave, para abordar y lograr la certificación ISO 27701 en su empresa. Descargue el PDF hoy mismo para comenzar de manera sencilla su camino hacia una privacidad de datos más efectiva.

Descargar Ahora

Descubra su ventaja de cumplimiento

Para nosotros en ISMS.online, conseguir la recertificación ISO 27001 e ISO 27001 fue un logro importante y lo hicimos de forma rápida, eficaz y con cero no conformidades utilizando nuestra propia plataforma.

ISMS.online ofrece una ventaja inicial del 81 %, el método de resultados asegurados, un catálogo de documentación que se puede adoptar, adaptar o ampliar y el soporte permanente de nuestro entrenador virtual. Asegúrese fácilmente de que su organización proteja activamente su información y privacidad de datos, mejore continuamente su enfoque de seguridad y cumpla con estándares como ISO 27001 e ISO 27701.

Descubra los beneficios de primera mano: solicite una llamada con uno de nuestros expertos hoy.

Autor

cristian rae

Christie es especialista en marketing de contenidos en ISMS.online. Con más de siete años de experiencia, su objetivo es escribir contenido informativo y atractivo y ha trabajado en una variedad de industrias que incluyen ciberseguridad, software como servicio, tecnología y productos farmacéuticos.

Ver todas las publicaciones de Christie Rae

Artículos Relacionados

¡DORA ya está aquí! ¡Potencia tu resiliencia digital hoy mismo con nuestra nueva y poderosa solución!