En Ekomercio nos es grato hacer de tu conocimiento nuestra certificación Certificación ISO 27001. El compromiso que tenemos con nuestros clientes y nuestra búsqueda constante por ofrecer un mejor servicio, nos ha impulsado a buscar la Certificación en ISO 27001, la cual garantiza que todos nuestros servicios proporcionados cuentan con una seguridad de la información elevada.
El día de hoy, nos complace informarte que nuestros servicios como Proveedor Certificado de Comprobantes Fiscales Digitales por Internet y los servicios como Proveedor Certificado para Recepción de Documentos Digitales ofrecidos por Ekomercio Electrónico cuentan dicha certificación.
El compromiso que tenemos con nuestros clientes y nuestro esfuerzo del día a día por ofrecer un mejor servicio, nos ha impulsado a buscar la Certificación en ISO 27001, la cual garantiza que todos nuestros servicios proporcionados cuentan con una seguridad de la información elevada.
El día de hoy, nos complace informarte que nuestros servicios como Proveedor Certificado de Comprobantes Fiscales Digitales por Internet y los servicios como Proveedor Certificado para Recepción de Documentos Digitales ofrecidos por Ekomercio Electrónico cuentan dicha certificación.
Es una norma internacional emitida por la Organización Internacional de Normalización ISO que regula cómo gestionar la seguridad de la información de las empresas.
Esta norma asegura la confidencialidad e integridad de los datos de la información, así como los sistemas que la procesan.
Para conocer más sobre nuestros servicios visita nuestra página aquí
Ekomercio paso por un proceso para obtener la certificación ISO 27001, donde varios de sus departamentos y los más importantes tuvieron la experiencia de esta certificación. A continuación, mostramos los principales puntos que tuvimos que trabajar y desarrollar para lograr esta certificación.
Compromiso
Lo más importante para obtener una certificación ISO es que todo el personal comenzado por la dirección estén conscientes del compromiso que se está adquiriendo, la implementación de un Sistema de Gestión es un proyecto que requiere no solo de recursos financiero sino de la participación de todo el personal para desarrollar la documentación requerida para dar cumplimiento al estándar ISO.
La obtención del certificado ISO 27001 no es sinónimo de incremento de ventas, es la implementación de buenas prácticas para asegurar que la información de los clientes y empleados se trata de manera confidencial, es integra y que está disponible en el momento que nos lo soliciten, la obtención de certificados ISO se relaciona a la imagen de la empresa.
Capacitación
Se debe desarrollar al personal en materia de seguridad de la información, para ello se debe contar con un plan de capacitación, la concienciación del personal es de suma importancia, en este punto se debe sensibilizar al personal de la importancia que el tratamiento de la información de nuestros clientes y que la información que manejamos debe ser confidencialidad, integra y debe estar disponible en el momento que nos la soliciten.
Implementación
Se recomienda que la implementación del sistema de gestión de seguridad de la información sea documentada con seguimiento similar a un proyecto porque involucra la participación de todo el personal. Se deben establecer actividades y objetivos claros y medibles, el tiempo de implementación puede ser de seis meses o más de un año, el tiempo va a depender del compromiso del personal y dirección.
Durante la implementación se debe definir la políticas y objetivos de seguridad de la información, estos deben ir alineados a los objetivos generales de la empresa. Los objetivos deben ser coherentes y medibles.
Los riesgos juegan el papel principal en la intención del certificado ISO 27001 por lo que debe elegirse la metodología de identificación, tratamiento y medición de riesgos, esta debe considerar los activos de información de la empresa (físicos, electrónicos, personal, etc.) vulnerabilidades, amenazas, impacto del riesgo, probabilidad de que se materialice un riesgo. Lo más importante en el tratamiento de riesgos es definir que riesgos se van a tratar y esto dependerá de los recursos asignados y el nivel de impacto de estos (almo, medio, bajo). El objetivo de tratar los riesgos es reducirlos, un riesgo no se puede eliminar, pero si es posible minimizar su impacto. Esta actividad se vuelve cíclica.
Definidos los riesgos se debe identificar los controles que se requieren para dar cumplimiento a la norma, ISO 27001 cuenta con un anexo en donde se enlistan los 114 controles que se deben implementar para obtener un certificado, pero no todos aplican, la aplicabilidad de estos está relacionada a los riesgos detectados, a esta actividad se le llama la declaración de aplicabilidad o SOA, cuando pides una certificación el organismo realizara la auditoria con base a la información declarada en este documento por lo que se vuelve un requisito obligatorio para obtener el certificado.
La implementación de controles puede ser desde la generación de una política o procedimientos hasta la adaptación de tecnología, actividades, nuevos procesos, etc. (pueden ser muy sencillos o difíciles de implementación.
Seguimiento
Implementado el sistema de gestión se deben revisar si se cumplió o no el objetivo, para ello se deben realizar auditorías internas, el auditor necesita contar con los conocimientos y habilidades específicas de auditoria, en la auditoria se debe verificar que se cumplan las políticas y procedimientos. Todos los incumplimientos detectados por los auditores deben ser atendidos por los responsables asignados mediante una acción correctiva y plan de remediación. La atención de una acción correctiva no significa aplicar una acción disciplinaria (sanción) sino un plan de trabajo para evitar que se presente nuevamente ese incumpliendo.
La dirección debe estar enterada de cómo está funcionando el Sistema de Gestión por lo que se debe realizar revisiones por la dirección, estas revisiones deben considerar como mínimo la revisión de la política y objetivos del Sistema de Gestión, resultados de las auditorias, estado de las acciones correctivas, seguimiento a planes de tratamiento de riesgos.
Auditoria de certificación
La auditoría de certificación o tercera parte, se solicita una vez implementado lo antes descrito, esta auditoria se divide en dos fases, la primera fase consiste en revisar todos los procedimientos y políticas generados de acuerdo con la declaración de aplicabilidad en la segunda fase se revisa en sitio el cumplimiento de estas políticas y procedimientos.
La certificación ISO 27001 es un claro ejemplo del compromiso que tiene una organización en la gestión de la seguridad de la información y en la promoción de mejoras continuas. Todo esto tiene una ventaja competitiva en el mercado ya que beneficia en los siguientes puntos:
Hablaremos como esta implementación de la norma ISO 27001 se enfoca en diferentes campos: