La certificación ISO 27001 es una de las mejores garantías de que tenemos un sistema de gestión de la información que funciona.En efecto, hoy sabemos mejor que nunca que la información es un tesoro empresarial y que, como tal, ha de ser encauzada de la mejor manera en todo momento. Y es que es una gran verdad que muchas empresas terminan por desaparecer presas de una mala gestión de la información. Y lo es porque internamente se produce un caos organizativo y, externamente, se extiende la falta de credibilidad. La certificación ISO/IEC 27001 pretende poner coto a estos problemas.


Qué es la certificación ISO/IEC 27001

Se trata de una certificación para asegurar que cumplimos con unos determinados estándares, relacionados con nuestro sistema de gestión de la información y establecidos por la International Organization for Standardization (ISO) y la International Electrotechnical Commission (IEC).
Este tipo de certificación parte de múltiples análisis, pero fundamentalmente pretende garantizar la seguridad de la información teniendo en cuenta tres aspectos fundamentales relacionados con la información:

  • Confidencialidad, lo que implica que solamente quienes estén autorizados puedan acceder a la información.
  • Integridad, que se produce cuando la información y sus métodos de proceso son exactos y completos.
  • Disponibilidad, lo que supone que los usuarios autorizados tienen acceso a la información y a sus activos asociados cuando lo requieran.


En ese sentido, un aspecto muy importante es que se aplique un ciclo de mejora continua basado en cuatro fases:

  • Planificar.
  • Hacer.
  • Verificar.
  • Ajustar.


Cómo conseguir la certificación ISO/IEC 27001


Idealmente, el primer paso sería tener implementado un sistema de gestión de la información que cumpla el estándar ISO/IEC 27001. Para saber si eso es así deberemos someternos a una auditoría por parte de una certificadora independiente.
Por lo tanto, suele resultar conveniente hacer una evaluación previa de cuál es la situación de nuestros sistemas de gestión de la información. Con los resultados obtenidos, podríamos valorar cuáles son las deficiencias y ejecutaríamos las medidas necesarias para poder pasar la auditoría externa.

El siguiente paso sería la auditoría. Durante ese proceso, deberemos facilitar el trabajo de los auditores externos. Les daremos acceso a documentos, datos e instalaciones. Además, les informaremos sobre todos los hechos relevantes para la auditoría.

Puede que tras todos estos trabajos, los auditores externos descubran aspectos que no están conformes. En ese caso, deberemos confeccionar y desarrollar planes de acciones correctivas. Lógicamente, los auditores deberán analizar todo este proceso antes de dar su conformidad.

Una vez esté todo conforme, obtendremos una certificación ISO/IEC 27001, que servirá de muestra de que cumplimos con los estándares establecidos en materia de sistemas de gestión de la información. No obstante, posteriormente serán necesarias auditorías de seguimiento que permitan comprobar que se continúa cumpliendo con lo establecido.


La certificación ISO 27001 tendrá un plazo de validez, que no superará, normalmente, los tres años. Por lo tanto, transcurrido ese período habrá que proceder a una nueva recertificación.


Beneficios de la certificación ISO 27001


Presenta ventajas en distintos ámbitos:

  • Recursos humanos. Favorece que los empleados confíen tanto en que ellos mismos están manejando correctamente los datos como en que el resto de los compañeros también lo hacen. Además, transmite seguridad sobre la gestión que la empresa realiza de sus propios datos personales.
  • Contratación. En muchos concursos públicos y privados puede valorarse como requisito de contratación. En todos los casos, es considerado una marca de buena gestión.
  • Mejora de procesos. Los esfuerzos por obtener la certificación ISO 27001 se transforman en flujos de información más adecuados y eficientes.
  • Ahorro de costes. Se minimizan riesgos que, de materializarse, pueden producir faltas de servicio, indemnizaciones y cuellos de botella.
  • Planificación y control. La optimización de la gestión de la información, sin la cual no se obtendría la certificación ISO 27001, se traslada a la planificación y el control en todas las áreas de la empresa en la medida en que la información es un input necesario en ambas actividades.
  • Cumplimiento normativo. Contribuye a que se implanten sistemas que aseguren que se cumple con las normas en materia de gestión de la información.
  • Mejora de las redes de contactos. Contar con una certificación ISO 27001 supone una puerta de entrada para poder mantener toda clase de relaciones, sin la cual nuestros interlocutores no tendrían interés en nosotros.


En definitiva, la certificación ISO 27001 es un paso necesario para no solamente modernizar la gestión de la información en nuestra empresa, sino también para que todo el mundo sea consciente de ello.


Fuente: hablemosdeempresas.com