Consultoría ISO 27001 - Seguridad de la Información.
Ayudamos a certificar su empresa
Solicite presupuesto aqui
Consultoría ISO 27001- Seguridad de la Información.
Ayudamos a certificar su empresa
Solicite presupuesto aqui
Consultoría ISO 27001 - Sistemas de Seguridad de la Información
Le ayudamos a certificar su empresa en ISO 27001
La norma ISO 27001
establece los requisitos que deben cumplir los Sistemas de Gestión de Seguridad de la Información. La implantación de esta norma aporta a las empresas un mayor control de la confidencialidad, integridad y disponibilidad
de la información.
Nuestro servicio de consultoría incluye:
Evaluación inicial de los controles de la norma que deberá implantar la norma.
Redacción de toda la documentación del sistema: procedimientos, política, registros, instrucciones, etc.
Análisis de Riesgos de seguridad de la información.
Reuniones con el cliente para ayudar a implantar los controles que exige la norma ISO 27001.
Formación al personal de la empresa para cumplir los requisitos de la norma ISO 27001.
Auditoría interna del sistema.
Acompañamiento durante las jornadas de auditoría con la entidad de certificación.
Fases para la certificación ISO 27001
Las empresas que opten por la certificación ISO 27001 deben seguir las siguientes fases de implantación:
Redacción de una política de seguridad, asignación de responsabilidades, planteamiento de objetivos.
Redacción de procedimientos.
Preparar un listado de activos de Información: dispositivos, redes, servidores, aplicaciones, cloud, software, instalaciones, etc.
Implantación de los controles de la norma que sean de aplicación.
Identificar las vulnerabilidades de cada uno de sus activos: se debe identificar y evaluar las vulnerabilidades y amenazas de cada activo.
Identificar las amenazas. Es decir, todo aquello que pueda suceder y que dañaría el activo de la información: incendios, inundaciones, robos, sabotajes, randsomware, espionaje, fallos en configuración, etc.
Análisis de los requisitos legales que la empresa este obligada a cumplir con las partes interesadas (clientes, proveedores, etc).
Identificación de riesgos: valoración del riesgo en función del impacto y la probabilidad para ver su relación con la disponibilidad, confidencialidad e integridad de cada activo.
Cálculo del riesgo (Riesgo = impacto x probabilidad de la amenaza). En función del riesgo, se priorizan en función de la gravedad.
Plan de gestión del riesgo: se establecen los controles adecuados para cada riesgo, pudiendo asumirlo, transferirlo, reducirlo o eliminarlo.
Auditoría interna del sistema.
Informe de Revisión por la Dirección.
Auditoría de certificación. Acompañamiento durante todas las jornadas.
¿Qué precio tiene un servicio de consultoría ISO 27001?
Varía en función de la actividad de la empresa, número de empleados, número de centros de trabajo, ubicación geográfica, activos a proteger, riesgos a subsanar, etc. Los precios de un proyecto de consultoría en ISO 27001 parten de los 2.000 €
(año 2024). Solicite presupuesto sin compromiso en nuestro formulario.
¿Cuánto tiempo dura el proceso hasta certificarse?
Depende del grado de cumplimiento de los requisitos legales, riesgos existentes, vulnerabilidades, sistemas, activos, etc. Normalmente el plazo medio son 3 meses
para empresas de hasta 100 empleados.
¿Que tipo de controles requiere implantar la norma?
La norma ISO 27001 presenta en su anexo A un total de 114 controles. La organización decidirá cuales de éstos debe implantar en función de los riesgos que identifique. A continuación indicamos una serie de salvaguardas que suelen exigirse en las auditorias:
Copias de seguridad de todos los datos.
Tener un antivurus instalado. A ser posible con una consola de administración centralizada que controle su funcionamiento en todos los dispositivos.
Vigilancia de los permisos y privilegios de acceso a la información de cada empleado.
Control de accesos: política de uso de contraseñas, doble factor de autenticación, etc.
Encriptado de discos.
Firma de contratos de confidencialidad (NDA) con empleados y proveedores.
Cumplimiento del RGPD.
Acciones de formación y concienciación a los empleados en relación a la seguridad de la información, especialmente contra el phishing.
Control de logs y eventos para vigilar accesos y acciones en cada sesión. Sistema de alarmas.
Seguridad física de las instalaciones si hay un servidor/CPD: alarma, cerradura, cámaras, extintores, temperatura controlada, SAIs, uso exclusivo, control de accesos, etc.
Evaluación de los proveedores clave de apliaciones, software, cloud, etc.
Registros de control de configuración, vulnerabilidades, capacidades, etc.
Diseño de un plan de contingencias que defina cómo actuar en cada posible evento de seguridad.
Politicas de seguridad: destrucción de equipos, escritorio limpio, clasificación de la información, alta y baja de usuarios, control de claves, gestión de incidencias, seguridad física, uso de activos, teletrabajo, control de accesos, etc.
¿Qué certificadoras recomienda Ambialia?
Trabajamos con todas las certificadoras: Aenor,Applus, Bureau Veritas, EQA, Cámara Certifica, Iscertia, Adok, BSI, etc. Nuestro equipo consultor se encarga de solicitar presupuesto a las certificadoras y aconsejar al cliente. Los criterios a la hora de seleccionar a una entidad certificadora son varios:
Precio. Teniendo en cuenta que la validez del certificado en licitaciones públicas es idéntica en todas las certificadoras, el cliente puede optar por la más económica.
Reconocimiento internacional de la certificadora. Si el cliente presta servicios en el extranjero, quizás sería recomendable una entidad conocida fuera de España. Por ejemplo: Bureau Veritas, BSI, Tüv, etc, tienen mejor reconocimiento en el extranjero.
Atención al cliente y plazos de emisión. Hay certificadoras que atienden al cliente correctamente y otras que son un desastre, alargando los plazos en la emisión del certificado. Por ejemplo, conocemos certificadoras que emiten el certificado en 7 días y otras que llegan a tardar 6 meses.
Logotipo del sello. Tenemos clientes que valoran mucho este aspecto ya que están más acostumbrados a ver unos logotipos que otros.
Cuota de mercado de la certificadora. Hay entidades cuya cuota de mercado es mayor, como por ejemplo Bureau o Aenor y otras cuya cuota es mínima.
En Ambialia asesoramos a los clientes sobre las ventajas y desventajas de las diferentes entidades de certificación para que nuestros clientes puedan seleccionar la entidad que mejor se ajuste a sus necesidades.
Ventajas del certificado ISO 27001
En España más de 3.000 empresas se han certificado en esta norma. Las principales ventajas son las siguientes:
Se reduce considerablemente el riesgo de sufrir accidentes relacionados con la seguridad de la información. Hay que recordar que la información es uno de los mayores activos de cualquier empresa y es primordial desarrollar sistemas para su protección.
Ganar puntuación en licitaciones, tanto del sector público como de las grandes empresas, especialmente de empresas tecnológicas que manejen información sensible de clientes.
Un Sistema de gestión de Seguridad de la información ISO 27001 evalúa constantemente el cumplimiento de la legislación
relacionada con la seguridad de la información
Al mostrar el certificado a los clientes (web, ofertas, contratos, facturas) se mejora la imagen y confianza de la empresa.