Proceso de implantación de la ISO 27001 en la empresa
ISO 27001
ISO 27001 da la posibilidad de implantar un sistema de gestión de seguridad de la información (SGSI) que permita operar, monitorear, mantener y mejorar la seguridad de la información.
Algunos pasos previos importantes a la implantación, y que debe afrontar la empresa, son los siguientes:
- Reunión inicial para conocer los procesos del negocio, documentación de seguridad… para poder así definir el alcance.
- Auditoría inicial para conocer el estado de situación en seguridad de la información de donde se obtendrá una planificación personalizada y las primeras líneas de actuación.
- Análisis y gestión de riesgos para realizar un inventario de activos con sus amenazas, vulnerabilidades, impactos… De esta etapa resultará un plan de tratamientos de riesgos.
Con todo esto la empresa ya está lista para implantar el SGSI según ISO 27001, siguiendo estos pasos:
- Alcance
Toda implantación de SGSI, ISO 27001, ha de comenzar con la definición del alcance del sistema, es decir, el ámbito de la organización que va a trabajar bajo los requisitos de la norma.
Es conveniente realizar al principio un análisis diferencial, o lo que es lo mismo revisar el estado inicial de la organización en relación a los puntos de la norma. Con esto se fija el punto de partida y de referencia para medir el progreso que se alcanzará con el SGSI.
A continuación se debe evaluar, aprobar y distribuir la política de seguridad que represente los objetivos y líneas a seguir en materia de seguridad de información.
Es imprescindible que la Dirección esté implicada para que el SGSI implantado tenga éxito, ésta debe decidir, apoyar, aprobar, dirigir y dotar de recursos para llegar al éxito del sistema.
Además se creará una estructura organizativa de la seguridad dentro de la empresa, liderada por un responsable de seguridad, así como un comité de seguridad que tome las decisiones de alto nivel relativas al SGSI.
- Análisis de riesgos
La primera labor es la elaboración de un inventario de activos. Se ha de identificar todos los activos de la entidad susceptibles de ser gestionados en relación a la seguridad de la información. Una recomendación para facilitar esta tarea es clasificar o categorizar los activos.
Se debe evaluar la probabilidad de ocurrencia de la amenaza, el impacto que supondría y definir un nivel de riesgo aceptable por la organización. Posteriormente se debe pasar al tratamiento de los riesgos no aceptados por la organización.
De esta etapa debe resultar un plan de tratamiento de riesgos.
- Ciclo PDCA
Es el momento de implantar el plan de tratamiento de riesgos que se creó en la etapa anterior.
- Revisión por la dirección y auditoría interna
La revisión corre a cuenta del comité de seguridad, y se propondrán cambios y mejoras.
- Mejora
Mediante un análisis de las no conformidades detectadas se pretende evitar que éstas se vuelvan a producir, mejorando el SGSI, ISO 27001.
ISOTools es una herramienta que facilita todo el proceso de implantación de un SGSI, con ISO 27001, mediante la automatización, gestión y control del sistema.