Dado que las empresas manejan grandes cantidades de información confidencial a diario, los clientes se preocupan cada vez más por la seguridad de los datos. De hecho, las tecnologías actuales y el mayor intercambio de información entre las empresas presentan desafíos únicos para la información del cliente.
La certificación ISO tiene como objetivo desarrollar un conjunto mínimo de estándares para la seguridad de los datos y la eficiencia operativa en muchas organizaciones diferentes. Al demostrar que una empresa cumple con ISO, los clientes pueden tener más confianza en los procesos y controles internos de la organización correspondiente.
Definición de ISO
ISO es la abreviatura de Organización Internacional de Normas. Se refiere a un conjunto de estándares comúnmente establecidos que cumplen las empresas de diversas industrias. Hay muchas normas ISO diferentes que pertenecen a negocios específicos. Por ejemplo, existen estándares ISO para fabricación, seguridad de datos, contabilidad, entre otros.
ISO comenzó en 1946 con miembros de 25 países. Su propósito original era establecer un conjunto unificador de normas que se utilizarían para garantizar la conformidad y, por lo tanto, una mejor seguridad / prestación de servicios. En la actualidad, ISO se ha expandido a un organismo de 162 miembros que establece estándares unificadores en muchas industrias diferentes.
Tipos de ISO
Los tipos ISO cubren una amplia variedad de industrias. En el sector de las tecnologías de la información, la conformidad con ISO permite a su organización no solo establecer la confianza del cliente, sino también convertirse en una queja con múltiples regulaciones. Hay 3 normas ISO principales que se relacionan con empresas relacionadas con TI.
ISO 27001
ISO 27001 se aplica principalmente a los sistemas de gestión de seguridad de la información. Es una colección de más de una docena de estándares que pertenecen a la seguridad de datos, sistemas de gestión y otros campos relacionados con las TI. El cumplimiento de la norma ISO 27001 se ha vuelto cada vez más importante en los últimos tiempos. Esto se debe a que más empresas manejan datos confidenciales de clientes con fines de ventas, marketing, adquisiciones, etc.
El objetivo principal de ISO 27001 es preservar la confidencialidad e integridad de la información disponible. Estos estándares garantizan que todos los datos compartidos upstream y downstream con los clientes estén seguros a lo largo de toda la cadena. Esta norma ISO se produce en 2 etapas principales. La primera etapa cubre la recopilación de datos relacionados con el Sistema de Gestión de Seguridad de la Información bajo revisión. Estos datos incluyen una revisión de los siguientes documentos:
El alcance del SGSI Política de seguridad de la información Evaluación de riesgos Declaración de capacidad Informe de evaluación de riesgos
Hay muchos otros documentos que también se incluyen en la revisión inicial. En la segunda etapa, se realiza una auditoría para determinar el cumplimiento y emitir la documentación adecuada.
ISO 31000
El estándar ISO 31000 cubre la Gestión de Riesgos Empresariales (ERM). Cubre la probabilidad de amenazas que pueden ocurrir a los sistemas operativos de una empresa para que puedan establecer los pasos adecuados para responder. Esta certificación se emite a empresas que demuestren controles de mitigación de riesgos que han implementado en caso de que sus sistemas se vean comprometidos.
Para que se emita la certificación, la empresa debe demostrar que el equipo de gestión ejecutiva y la Junta Directiva han revisado su estrategia de mitigación de riesgos. Esto debería haberse hecho mediante un enfoque de elementos de proceso, un enfoque de modelo de madurez o principios de enfoque de gestión de riesgos.
ISO 9001
ISO 9001 cubre principalmente los sistemas de gestión de la calidad (SGC). A medida que más clientes ponen énfasis en el rendimiento y la calidad del producto, la certificación ISO 9001 garantiza que las empresas tengan un SGC capaz de documentar los procesos, responsabilidades y procedimientos de varios objetivos de control.
Una auditoría ISO 9001 cubre 3 tipos principales de revisión: producto, proceso y sistema. Cada uno de los 3 pasos bajo revisión tiene su propio subconjunto de documentos requeridos.
¿Quién necesita la certificación ISO y por qué es importante?
La certificación ISO es un activo importante para muchas empresas diferentes. Dentro del espacio de TI, las normas ISO demuestran tanto la conformidad como el cumplimiento de las directrices establecidas. Ayudan a su empresa a establecer estándares internos y externos que pueden mejorar la eficiencia operativa. Además, la certificación ISO también permite a sus clientes ganar confianza en sus procesos actuales.
Existe una diferencia entre certificación y conformidad. La conformidad significa simplemente tomar medidas para el cumplimiento de ISO, como establecer un SGC o realizar auditorías internas. Por otro lado, la certificación implica proporcionar a los clientes ascendentes y descendentes las verificaciones adecuadas con respecto a la gestión de la información y el control de calidad. Cada certificación proporcionada debe ser específica, mencionando la Certificación ISO particular que se ha emitido.
La acreditación no es lo mismo que la certificación
Si bien ISO es el organismo responsable de crear un determinado conjunto de estándares, no proporciona certificaciones a las organizaciones relevantes. El trabajo de certificación real lo realiza el Comité de Evaluación de la Conformidad (CASCO).
La acreditación generalmente se refiere a una revisión independiente de una empresa que ofrece la certificación ISO. La revisión se realiza para garantizar que el organismo de acreditación sea capaz de proporcionar certificaciones CASCO / ISO precisas.
Bio del autor
Ken Lynch es un veterano de la puesta en marcha de software empresarial, a quien siempre le ha fascinado lo que impulsa a los trabajadores a trabajar y cómo hacer que el trabajo sea más atractivo. Ken fundó Reciprocity para perseguir precisamente eso. Ha impulsado el éxito de Reciprocity con este objetivo basado en la misión de involucrar a los empleados con los objetivos de gobierno, riesgo y cumplimiento de su empresa para crear ciudadanos corporativos con más mentalidad social. Ken obtuvo su licenciatura en Ciencias de la Computación e Ingeniería Eléctrica del MIT.
