Ethics Control Blog | Ethicontrol

Ethicontrol pasó la auditoría de ISO27001 e ISO27701, ¿qué significa eso?

Escrito por María Aziz | 24-ago-2022 14:56:00


Nos complace anunciar la auditoría exitosa para ISO 27001 e ISO 27701. A partir de ahora, tenemos una confirmación del cumplimiento de nuestro sistema de gestión de seguridad y confidencialidad de la información con los estándares de calidad global. Nos llevó más de nueve meses prepararnos para la auditoría.

 

¿Qué es la certificación ISO 27001 e ISO 27701?

 

Las certificaciones ISO 27001 e ISO 27701 son estándares de seguridad de la información y confidencialidad de los datos. Se introducen para estandarizar los procesos de obtención, procesamiento y almacenamiento de información por parte de los controladores y procesadores de datos personales.

Cada estándar contiene una lista de políticas, prácticas, requisitos y controles que deben implementarse en la organización. La implementación de todo esto no garantiza que el sistema de seguridad no tenga vulnerabilidades, pero sí garantiza que la empresa aborde los problemas de seguridad de manera sistemática y ajuste los procesos para trabajar con los riesgos relacionados.

Según la norma, el sistema de seguridad de la información de la empresa debe demostrar su capacidad para proteger sus recursos de información.

Por cierto, la norma ISO 27001 (en su parte general), contiene requisitos similares a la norma ISO 9001.

Los requisitos de la norma ISO 27701 están estrechamente relacionados con los requisitos del RGPD, por lo que la auditoría de la norma ISO 27701 demuestra que los métodos de tratamiento y protección de datos en la empresa Ethicontrol se encuentran en el nivel adecuado. Y nosotros, a su vez, nos guiamos por el RGPD al establecer los requisitos.

 

Aquí hay un ejemplo de requisitos solo para la disponibilidad de documentación:

  • Alcance del sistema de gestión de seguridad de la información (cláusula 4.3)
  • Política y tareas de seguridad de la información (párrafos 5.2 y 6.2)
  • Metodología de evaluación y procesamiento de riesgos (cláusula 6.1.2)
  • Declaración de aplicabilidad (párrafo 6.1.3 d)
  • Plan de tratamiento de riesgos (cláusulas 6.1.3 e y 6.2)
  • Informe de evaluación de riesgos (párrafo 8.2)
  • Definición de roles y responsabilidades de seguridad (párrafos A.7.1.2 y A.13.2.4)
  • Inventario de activos (apartado A.8.1.1)
  • Política de control de acceso (párrafo A.9.1.1)
  • Procedimientos operativos para la gestión de TI (A.12.1.1)
  • Política de seguridad de proveedores (apartado A.15.1.1)
  • Procedimiento de gestión de incidencias (apartado A.16.1.5)
  • Procedimientos de continuidad del negocio (apartado A.17.1.2)
  • Programa de auditoría interna (párrafo 9.2)
  • Registro de acciones de usuario, excepciones y eventos en el sistema de seguridad (cláusulas A.12.4.1 y A.12.4.3)

 

¿Qué significa esto para nuestros clientes?

 

Que Ethicontrol será auditado anualmente por un tercero independiente (auditor) para la disponibilidad y efectividad de los dos sistemas:

  • sistemas de gestión de seguridad de la información, incluido un sistema integral de seguridad de la información;
  • sistemas de gestión de datos personales y protección de su confidencialidad.

En la práctica, esto significa que

  • Los riesgos de seguridad de la información de Ethicontrol son menores que los de quienes no lo piensan o no cuentan con la certificación adecuada;
  • En Ethicontrol han aparecido un oficial de seguridad de la información, una serie de controles y sistemas de seguridad adicionales (como el WAF Active Web Firewall) y otras cosas que en ocasiones pueden dificultar la vida, incluso a los usuarios de la plataforma;
  • Debería ser más fácil para nuestros clientes comerciales persuadir a sus colegas dentro de la empresa para que externalicen una serie de procesos comerciales a Ethicontrol o utilicen una plataforma alojada en nuestra nube segura;
  • Los departamentos de seguridad de la información de nuestros clientes tienen algo para leer y alguien con quien comunicarse profesionalmente si es necesario;
  • Ethicontrol procesa y almacena datos personales de acuerdo con los requisitos de los estándares de la industria GDPR, especialmente para la transmisión de datos transfronterizos. Es decir, nuestros clientes que tienen divisiones en diferentes jurisdicciones pueden estar tranquilos sobre la transferencia de datos entre ellos a través del sistema Ethicontrol.

También hemos actualizado nuestra política de privacidad. Puede leer más sobre esto en la Política de privacidad y datos personales, en la sección Centro de seguridad del sitio web.

Creamos una sala de datos separada para intercambiar documentos de seguridad con los clientes, incluidas copias de los certificados y otra documentación respectiva. Nuestros clientes pueden solicitar el acceso a los responsables contables.

 

Créditos fotográficos: Tima Miroshnichenko de Pexels

Foto de Cottonbro de Pexels