DESCUENTO DE PRIMAVERA
Obtenga un 30% de descuento en paquetes de documentos, exámenes de cursos y planes anuales de Conformio.
Oferta por tiempo limitado – termina el 25 de mayo de 2024
Use el código de promoción:
SPRING30

Usar la ISO 9001 para implementar la ISO 27001

Advisera Dejan Kosutic Dejan Kosutic
abril 2, 2010

¿Ya ha implementado la norma ISO 9001? ¿Ha escuchado que la ISO 27001 podría ser una buena idea? Pero, ¿cómo algo que tiene que ver con la calidad le puede ayudar a implementar la seguridad de la información?

Puede, más de lo que usted piensa… La norma ISO 9001 especifica cómo deben ser los sistemas de gestión de calidad (SGC), mientras que la ISO/IEC 27001 especifica los sistemas de gestión de seguridad de la información (SGSI). Por lo tanto, la parte de “sistemas de gestión” es la misma. Entonces, ¿de qué se trata realmente?

La filosofía de los sistemas de gestión ha crecido a partir de la teoría desarrollada por W. Edwards Deming durante la segunda mitad del siglo XX, y se basa en el ciclo de Planificación, Implementación, Revisión y Actuación (PDCA, por sus siglas en inglés). Básicamente, este ciclo consiste en lo siguiente: en la fase de Planificación usted debe planificar lo que desea lograr con el sistema de gestión; en la fase de Implementación, lo implementa; en la fase de Revisión, controla permanentemente si ha logrado lo que planificó y en la fase de Actuación, debe hacer las mejoras; es decir, llenar el vacío entre lo que planificó y lo que consiguió.



Aunque este ciclo fue inventado pensando en la gestión de calidad, se tomó como base para todos los otros sistemas de gestión: seguridad de la información (ISO/IEC 27001), medio ambiente (ISO 14001), continuidad del negocio (BS 25999-2), etc. Quiere decir que algunos de los elementos que ha implementado para el sistema de gestión de calidad conforme a la ISO 9001, los podrá utilizar también para el sistema de gestión de seguridad de la información. Esta es la lista:

  • Gestión de documentación: el procedimiento utilizado para la gestión de documentación en el SGC puede ser usado con el mismo objetivo en el SGSI, sólo con algunas pequeñas adaptaciones.
  • Auditoría interna: se puede utilizar el mismo procedimiento para el SGC y para el SGSI; aunque la auditoría interna concreta generalmente sería realizada por personas diferentes, ya que no es muy probable que una misma persona conozca en profundidad tanto sobre seguridad de la información como sobre calidad.
  • Medidas correctivas y preventivas: el procedimiento utilizado para el SGC puede ser usado con el mismo objetivo en el SGSI, aunque es probable que sean personas diferentes quienes resuelvan los temas relacionados con SGC o SGSI.
  • Gestión de recursos humanos: el mismo ciclo de planificación, capacitación y evaluación de RR.HH. se utiliza para ambos sistemas de gestión; naturalmente, la diferencia radica en el perfil de capacidades y conocimientos requeridos.
  • Revisión por parte de la gerencia: los principios de la revisión por parte de la gerencia son los mismos para ambos sistemas de gestión; aunque no sería recomendable realizar ambas revisiones en paralelo, la gerencia ya estará acostumbrada a tomar decisiones sobre el SGC; por lo tanto comprenderán mejor cómo tomar decisiones en el contexto del SGSI.
  • Establecimiento de objetivos comerciales y seguimiento de su cumplimiento: se fija el mismo mecanismo en ambas normas; por eso, la gerencia estará acostumbrada a una planificación sistemática de este tipo.

Por lo tanto, si ya ha implementado la norma ISO 9001, se le facilitará el trabajo de implementar la ISO 27001 (y viceversa): podría ahorrar hasta un 30% del tiempo. Además, tendrá auditorías de certificación más económicas ya que las entidades certificadoras ofrecen las denominadas «auditorías integradas», que significa que auditarán las normas ISO 9001 e ISO 27001 en la misma auditoría, cobrándole una tarifa menor en relación a auditorías separadas.

Si su SGC funciona correctamente, verá que el proyecto de SGSI se desarrollará sin inconvenientes; la gerencia comprenderá mejor los potenciales beneficios comerciales, al tiempo que todas las unidades de la organización estarán acostumbradas a la necesidad de definir procedimientos, responsabilidades y documentación precisos.

De hecho, contar con un SGC proporciona una muy buena base para la seguridad de la información: si usted ya tiene la ISO 9001, piense seriamente en la ISO 27001.

Este webinar gratuito también le ayudará con la: Implementación de ISO 27001: ¿Cómo hacerla más sencilla utilizando la ISO 9001?.

Advisera Dejan Kosutic
Autor
Dejan Kosutic
Leading expert on cybersecurity & information security and the author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become compliant with EU regulations and ISO standards. He believes that making complex frameworks easy to understand and simple to use creates a competitive advantage for Advisera's clients, and that AI technology is crucial for achieving this.

As an ISO 27001 and NIS 2 expert, Dejan helps companies find the best path to compliance by eliminating overhead and adapting the implementation to their size and industry specifics.
Conéctese con Dejan:
Etiquetas: #ISO 14001, #ISO 27001, #ISO 9001
Entrada anterior ¿Puede ahorrar dinero con una estrategia de continuidad del negocio?
Entrada siguiente ¿Seguridad de la información o seguridad de TI?

Próximo seminario web gratuito

Advisera Carlos Pereira da Cruz
Presentador
Carlos Pereira da Cruz
How to Perform an ISO Internal Audit
Jueves – 2 de mayo de 2024
Registrar agora

Suggested reading

Problemas para definir el alcance de la norma ISO 27001
by Dejan Kosutic
Recuperación ante desastres vs. Continuidad del negocio
by Dejan Kosutic
Dilemas con los auditores internos de las normas ISO 27001 y BS 25999-2
by Dejan Kosutic