ISO 27001: ¿Cómo implantar la política de seguridad y los procedimientos?
SGSI
Durante este post le vamos a mostrar cómo debe realizar una política o un procedimiento de seguridad a la hora de implementar un Sistema de Gestión de Seguridad de la Información según la norma ISO 27001.
Desde la experiencia, podemos mostrarles los pases que se deben seguir y que pueden utilizados en cualquier tipo de organización, indiferentemente de su tamaño, actividad, etc. También se pueden aplicar a otros tipos de sistemas de gestión, no tiene por qué estar relacionados con la norma ISO27001.
En primer lugar, tenemos que estudiar los requisitos del sistema, es decir, debemos saber si hay alguna legislación que nos obligue a incluir algo específico por escrito (cómo puede ser el contrato de un cliente), debemos conocer bien la legislación que nos influye y sobre todo conocer los documentos con los que ya cuenta nuestra organización. Y por supuesto, se debe tener en cuenta todos los requisitos de la norma ISO-27001, siempre y cuando se tenga la intención de cumplirlas.
En segundo lugar se tienen que tener en cuenta todos los resultados obtenidos de la evaluación de riesgos que determinará todos los temas que se deben abordar en el documento, pero se tiene que tener en cuenta el grado, es decir, es probable que sea necesario clasificar la información de acuerdo a la confidencialidad.
Este paso puede ser menos importante dependiendo de si la política o procedimiento no se encuentra relacionado con la seguridad de la información o la continuidad de negocio. Los principios de gestión de riesgos son aplicables a diferentes áreas de la organización, como puede ser:
- Gestión de la Calidad ISO 9001
- Gestión Ambiental ISO 14001, etc.
El tercer paso es optimizar y alinear los documentos del Sistema de Gestión de Seguridad de la Información ISO 27001, ya que es muy importante conocer la cantidad total de documentos. Lo ideal es administrar un solo documentos, especialmente si el grupo de lectores se dirige al mismo, aunque no es aconsejable redactar un documento de 100 páginas por lo que se debe administrar de una forma coherente.
Se debe tener mucho cuidado al alinear los documentos con otros que se encuentren redactados de forma muy similar, ya que es posible definir los temas que ya han sido definidos en otro documento. Por lo que es muy importante conocer si se debe redactar un documento nuevo a sólo basta con ampliar el existente.
Si redactamos un nuevo documento sobre un tema que ya se encuentre en otro, debes asegurarte de no repetirte y no escribir el mismo tema en los dos documentos. Ya que será una pesadilla actualizar los dos documentos, en el momento en que sea necesario, es mucho mejor que un documento haga referencia a otro pero sin repetir lo mismo.
En cuatro lugar encontramos la estructura del documento, es decir, la organización tiene que definir un formato para todos sus documentos, tiene que tener disponible una plantilla con las fuentes, los encabezados, los pies de página, la distancia en los márgenes, y demás aspectos predeterminados.
Si ya tiene implementada la norma ISO27001 tienes que respetar el procedimiento para controlar los documentos. El tipo de procedimiento no define el formato en el que se debe encontrar el documento sino que genera las reglas para su aprobación, distribución, etc.
El quinto paso será redactar el documento, el criterio que debemos segur es que cuanto más pequeña sea la empresa y menores los riesgos, menos complejo será el documento. No nos sirve de nada redactar un completo y extenso documento que nadie leerá, las personas que leerán el documento le prestará la atención en función del tiempo del que disponga y la cantidad de líneas que se encuentre.
Una buena técnica es involucrar a los empleados en la redacción o facilitándoles que aporten información a la hora de redactar el mismo, de esta forma comprenderán lo necesario que es.
El sexto paso es conseguir la aprobación del documento, ya que una vez que se encuentre redactado lo importante es que se apruebe el documento. Además, se debe conocer quién es la persona con suficiente poder en la empresa para poder aprobar el documento.
La persona con suficiente poder para aprobarlo, debe comprenderlo, aprobarlo y requerir activamente su implementación. Para sencillo pero no lo es. Este es el paso que genera más fracasos durante la implementación.
El último paso que debemos seguir es la capacitación y la concienciación de sus empleados.
Este paso puede ser el más importante pero es el que más se olvida, por desgracia. Los empleados deben encontrarse mucho más involucrados en el proceso, ya que si solo reciben cambios que le van a hacer trabajar más no lo van a recibir con los brazos abiertos.
Por todo esto, es muy importante explicarles a los empleados por qué es necesaria la política ambiental o los procedimientos, todo esto no es bueno solo para la empresa sino para todas las personas que trabajan en ésta.
De vez en cuando hace falta realizar capacitar a los empleados, ya que sería incorrecto que asumieran responsabilidades sin contar con la preparación y conocimientos necesarios.
Aunque creas que ya has llegado al final de la implementación de sus documentos, no es así. No es suficiente contar con una política de seguridad y un procedimiento perfecto, sino que lo más importante es mantenerlo.
El documento debe ser actualizado y mejorado continuamente, y de eso se siente que encargar alguien, normalmente suele ser la misma persona que lo redacta.
No es suficiente con contar con una buena plantilla para poder redactar los documentos necesarios, sino que se necesita un enfoque sistemático para poder contar con la política de seguridad o los procedimientos exitosos. Lo necesario es realizar un enfoque sistemático a la hora de llevar a cabo la implementación del Sistema de Gestión de Seguridad de la Información según la norma ISO-27001.
Como conclusión debemos tener claro que el documento no es un fin en sí mismo, es solo una herramienta para poder realizar las actividades y los procesos sin problemas.
Software para ISO 27001
El Software ISO 27001 se encuentra diseñado para implantar un Sistema de Gestión de Seguridad de la Información en cualquier tipo de organizaciones y, entre otros aspectos, trabajar para que la comunicación de la información sea lo más segura posible.