Certificación ISO-27001
Los clientes están preocupados, y con razón, por confiar sus datos confidenciales a terceros.
Interfax Communications Ltd., desarrollador de ShieldQ, mantenido un sistema de gestión de la seguridad de la información (ISMS) reforzado para proteger los datos de los clientes de cualquier amenaza interna o externa, deliberada o accidental. La compañía ha ido un paso más allá y ha conseguido la codiciada certificación ISO 27001 a través de Certification Europe.
ISO 27001 es el estándar internacionalmente reconocido y respetado que determina si una compañía sigue las mejores prácticas en lo que respecta a la seguridad de la información. Este estándar, completamente neutral, emplea un exigente enfoque basado en los riesgos para determinar la seguridad de la información en organizaciones, estructuras de TI de evaluación, procedimientos y personas.
La certificación no es obligatoria: las compañías que quieren garantizar a sus clientes la seguridad de sus datos se somenten a exigentes auditorías, que pueden marcar la diferencia entre instituir las mejores prácticas y procedimientos para garantizar la máxima protección de datos de los clientes y tener un sistema de seguridad que no está totalmente optimizado.
Realmente hay muy pocas empresas que hayan conseguido la certificación ISO 27001. Según ISO.org, solo 27 536 empresas en todo el mundo consiguieron la certificación en 2015, entre las que se encuentran Xerox, Pfizer y Vodafone. Otras, confían en la certificación ISO 27001 de centros de datos externos y no certifican sus propios sistemas.
El logro de esta certificación hace de ShieldQ el único servicio multicanal de almacenamiento y gestión de datos que garantiza la seguridad de los datos de sus clientes, dentro y fuera, gracias a sus acreditaciones ISO 27001 y PCI DSS nivel 1.
¿Cómo se evalúa la norma ISO 27001?
Solo pueden conceder la certificación ISO 27001 organizaciones autorizadas, como Certification Europe, tras una evaluación especializada que concluya que la información está protegida de manera satisfactoria.
El proceso, de tres etapas, comprende:
Etapa 1: análisis no formal de los ISMS para garantizar que los documentos clave existen y están actualizados, incluyendo:
- Una política de seguridad corporativa.
-
Un plan de tratamiento del riesgo.
-
Una declaración de aplicabilidad (cómo se implementa una gran parte de la seguridad de la información).
Etapa 2: pruebas independientes de los ISMS con respecto a los requisitos especificados en ISO/IEC 27001. Una vez que el cuerpo certificador ha determinado que los ISMS de la compañía, los procedimientos y las personas cumplen con los estándares de la norma ISO 27001, a la compañía se le conceden tres años de certificación.
Etapa 3: la empresa está sometida a continuas revisiones y auditorías periódicas para confirmar que la organización sigue conforme al estándar. El ciclo se repite cada tres años.
¿Cuál es la diferencia entre una empresa que posea la certificación ISO 27001 y una que no la tiene?
Esta tabla describe cómo se protegen los datos en una empresa certificada según la norma ISO 27001, como Interfax:
| Interfax: empresa acreditada Invierte en un ISMS, para proteger los datos críticos de los clientes |
Empresa no acreditada No invierten en ISMS, corren el riesgo y arriesgan los datos de los clientes |
|
| Mantiene los datos confidenciales protegidos | Prioriza en invertir en las mejores prácticas de seguridad de la información y certificación | Sin un buen ISMS, el sistema puede ser un "cubo con agujeros" |
| Posibilita intercambios seguros de información | Canales auditados y seguros de comunicación | No se puede decir si es segura |
| Grarantiza que cumple con la legalidad (GDPR de la UE) | ISO 27001 prepara a las empresas para las estrictas reglas del reglamento GDPR |
Solo se necesita una exposición para recibir una fuerte multa del GDPR: hasta el 2% anual de las ventas mundiales |
| Ayuda a la empresa a cumplir con otras regulaciones (PCI DSS) | Al tener estándares de seguridad similares, es más fácil cumplir con las normas de seguridad para tarjetas de crédito PCD DSS | Si no cumplen, las empresas deben empezar una inversión lenta y cara en sistemas de seguridad |
| Grarantiza una entrega de servicio consistente | Los requisitos de la norma ISO 27001 garantizan que no habrá alteraciones en el flujo de trabajo | Sin los controles adecuados, puede haber alteraciones |
| Construye una cultura corporativa de seguridad | Todo el personal es entrenado y examinado en seguridad y protección de datos para garantizar que todas las interacciones se manejan con las mayores medidas de seguridad | El factor humano es el eslabón más débil en cualquier organización (Verizon Data Breach Report 2017); no de manera intencional, sino por ignorar un protocolo de TI sólido |
| Las empresas no acreditadas no se enteran de esos errores hasta meses, on incluso años, después, porque demasiado a menudo, los culpables son trabajadores de confianza que tenían permisos inmerecidos para manejar datos confidenciales | ||
| Gestiona y minimiza la exposición de riesgo | Gracias a que la norma ISO 27001 adopta un enfoque basado en los riesgos, predice riesgos potenciales y garantiza que estamos preparados para manejarlos | Si no están preparadas para un proceso formal, estas empresas pueden sufrir filtraciones |
Para ver o descargar la certificación ISO 27001 de Interfax, haga clic aquí.
Para más información acerca del estándar ISO 27001, haga clic aquí.
