En Ekomercio nos es grato hacer de tu conocimiento nuestra certificación Certificación ISO 27001. El compromiso que tenemos con nuestros clientes y nuestra búsqueda constante por ofrecer un mejor servicio, nos ha impulsado a buscar la Certificación en ISO 27001, la cual garantiza que todos nuestros servicios proporcionados cuentan con una seguridad de la información elevada.
El día de hoy, nos complace informarte que nuestros servicios como Proveedor Certificado de Comprobantes Fiscales Digitales por Internet y los servicios como Proveedor Certificado para Recepción de Documentos Digitales ofrecidos por Ekomercio Electrónico cuentan dicha certificación.
¿Qué motivo a Ekomercio para obtener la certificación?
El compromiso que tenemos con nuestros clientes y nuestro esfuerzo del día a día por ofrecer un mejor servicio, nos ha impulsado a buscar la Certificación en ISO 27001, la cual garantiza que todos nuestros servicios proporcionados cuentan con una seguridad de la información elevada.
El día de hoy, nos complace informarte que nuestros servicios como Proveedor Certificado de Comprobantes Fiscales Digitales por Internet y los servicios como Proveedor Certificado para Recepción de Documentos Digitales ofrecidos por Ekomercio Electrónico cuentan dicha certificación.
¿Qué es la Norma ISO 27001?
Es una norma internacional emitida por la Organización Internacional de Normalización ISO que regula cómo gestionar la seguridad de la información de las empresas.
Esta norma asegura la confidencialidad e integridad de los datos de la información, así como los sistemas que la procesan.
Para conocer más sobre nuestros servicios visita nuestra página aquí
Proceso para obtener la certificación
Ekomercio paso por un proceso para obtener la certificación ISO 27001, donde varios de sus departamentos y los más importantes tuvieron la experiencia de esta certificación. A continuación, mostramos los principales puntos que tuvimos que trabajar y desarrollar para lograr esta certificación.
Compromiso
Lo más importante para obtener una certificación ISO es que todo el personal comenzado por la dirección estén conscientes del compromiso que se está adquiriendo, la implementación de un Sistema de Gestión es un proyecto que requiere no solo de recursos financiero sino de la participación de todo el personal para desarrollar la documentación requerida para dar cumplimiento al estándar ISO.
La obtención del certificado ISO 27001 no es sinónimo de incremento de ventas, es la implementación de buenas prácticas para asegurar que la información de los clientes y empleados se trata de manera confidencial, es integra y que está disponible en el momento que nos lo soliciten, la obtención de certificados ISO se relaciona a la imagen de la empresa.
Capacitación
Se debe desarrollar al personal en materia de seguridad de la información, para ello se debe contar con un plan de capacitación, la concienciación del personal es de suma importancia, en este punto se debe sensibilizar al personal de la importancia que el tratamiento de la información de nuestros clientes y que la información que manejamos debe ser confidencialidad, integra y debe estar disponible en el momento que nos la soliciten.
Implementación
Se recomienda que la implementación del sistema de gestión de seguridad de la información sea documentada con seguimiento similar a un proyecto porque involucra la participación de todo el personal. Se deben establecer actividades y objetivos claros y medibles, el tiempo de implementación puede ser de seis meses o más de un año, el tiempo va a depender del compromiso del personal y dirección.
Durante la implementación se debe definir la políticas y objetivos de seguridad de la información, estos deben ir alineados a los objetivos generales de la empresa. Los objetivos deben ser coherentes y medibles.
Los riesgos juegan el papel principal en la intención del certificado ISO 27001 por lo que debe elegirse la metodología de identificación, tratamiento y medición de riesgos, esta debe considerar los activos de información de la empresa (físicos, electrónicos, personal, etc.) vulnerabilidades, amenazas, impacto del riesgo, probabilidad de que se materialice un riesgo. Lo más importante en el tratamiento de riesgos es definir que riesgos se van a tratar y esto dependerá de los recursos asignados y el nivel de impacto de estos (almo, medio, bajo). El objetivo de tratar los riesgos es reducirlos, un riesgo no se puede eliminar, pero si es posible minimizar su impacto. Esta actividad se vuelve cíclica.
Definidos los riesgos se debe identificar los controles que se requieren para dar cumplimiento a la norma, ISO 27001 cuenta con un anexo en donde se enlistan los 114 controles que se deben implementar para obtener un certificado, pero no todos aplican, la aplicabilidad de estos está relacionada a los riesgos detectados, a esta actividad se le llama la declaración de aplicabilidad o SOA, cuando pides una certificación el organismo realizara la auditoria con base a la información declarada en este documento por lo que se vuelve un requisito obligatorio para obtener el certificado.
La implementación de controles puede ser desde la generación de una política o procedimientos hasta la adaptación de tecnología, actividades, nuevos procesos, etc. (pueden ser muy sencillos o difíciles de implementación.
Seguimiento
Implementado el sistema de gestión se deben revisar si se cumplió o no el objetivo, para ello se deben realizar auditorías internas, el auditor necesita contar con los conocimientos y habilidades específicas de auditoria, en la auditoria se debe verificar que se cumplan las políticas y procedimientos. Todos los incumplimientos detectados por los auditores deben ser atendidos por los responsables asignados mediante una acción correctiva y plan de remediación. La atención de una acción correctiva no significa aplicar una acción disciplinaria (sanción) sino un plan de trabajo para evitar que se presente nuevamente ese incumpliendo.
La dirección debe estar enterada de cómo está funcionando el Sistema de Gestión por lo que se debe realizar revisiones por la dirección, estas revisiones deben considerar como mínimo la revisión de la política y objetivos del Sistema de Gestión, resultados de las auditorias, estado de las acciones correctivas, seguimiento a planes de tratamiento de riesgos.
Auditoria de certificación
La auditoría de certificación o tercera parte, se solicita una vez implementado lo antes descrito, esta auditoria se divide en dos fases, la primera fase consiste en revisar todos los procedimientos y políticas generados de acuerdo con la declaración de aplicabilidad en la segunda fase se revisa en sitio el cumplimiento de estas políticas y procedimientos.
¿Cómo beneficia la certificación a la empresa?
La certificación ISO 27001 es un claro ejemplo del compromiso que tiene una organización en la gestión de la seguridad de la información y en la promoción de mejoras continuas. Todo esto tiene una ventaja competitiva en el mercado ya que beneficia en los siguientes puntos:
- Podemos ofrecer a nuestros clientes el desarrollo de planes estratégicos para dar continuidad a los negocios lo que le permitirá reducir el impacto de todas las violaciones que existen o pueden suscitar respecto a la seguridad, además se garantiza a los clientes la tranquilidad al no contar con riesgo de amenazas que pueden surgir tanto en la seguridad como en puntos débiles del sistema
- Muestra que nosotros como Ekomercio contamos con sistemas, procesos y procedimientos que son seguros y además demuestra que no podemos revelar ninguna información.
¿En qué beneficia esta certificación a nuestros clientes?
Hablaremos como esta implementación de la norma ISO 27001 se enfoca en diferentes campos:
- Respecto a la empresa, genera una responsabilidad y compromiso por parte de todo el personal para conservar la seguridad de la información. Todas las medidas que control que se establecen permitirá que la seguridad de la información sea efectiva y garantizada.
- En la parte legal se manifiesta la conformidad de la organización en el cumplimiento de todos los requisitos legales que le son de aplicación para la región en la que la empresa tenga su domicilio y para la actividad que realice.
- En el ámbito funcional, ya que se desarrolla una adecuada gestión de los riesgos. La organización conoce de manera exhaustiva su empresa y los sistemas de información que aplican, los problemas que se producen y los medios de protección que se aplican, para así terminar garantizando la mejora disponibilidad de los materiales y datos, además de asegurarse de su continuidad sin alteraciones perniciosas no controladas.
- En el aspecto comercial, se genera cierta credibilidad y confianza entre nuestros clientes. Debemos tener presente siempre que nos encontramos ante una sociedad que tiene falta de confianza de nuestros clientes que afecta a nuestras ventas de la misma forma que la calidad y la funcionalidad de nuestros productos, y por lo tanto, se debe cuidar tanto un aspecto como el otro.
- En el aspecto financiero, las empresas consiguen reducir los costes que se encuentran vinculados a todos los incidentes y se consiguen minimizar las primas de seguros.
- En el aspecto humano, se produce una sensibilización del personal en relación a la importancia de la correcta manipulación de la información, dentro de la aplicación adecuada a las medidas de seguridad que deben adoptarse y a las responsabilidades personales y de la organización con relación a la información de la que disponen, además de los dueños de la información.
