Las claves para obtener la certificación bajo la norma ISO 27001
Norma ISO 27001
Teniendo la preparación adecuada, la mayoría de las organizaciones desean conseguir su certificación de la norma ISO 27001 en un plazo de unos 6 meses o un año, dependiendo del tamaño y la complejidad del ámbito de aplicación del Sistema de Gestión de Seguridad de la Información.
Podemos seguir estos pasos para que sea mucho más fácil:
Preparar
Necesitan contar con la siguiente documentación para obtener la información necesaria de la norma ISO 27001:
- Comprar una copia de la norma ISO 27001
- Es bueno es realizar un curso sobre la norma ISO 27001
- Leer un libro sobre la norma ISO 27001
Es importante que nos aseguremos de que en nuestra empresa existe alguna persona que tenga conocimientos y experiencia en la implementación de un Sistema de Gestión de Seguridad de la Información basado en la norma ISO 27001.
Ningún proyecto tendrá éxito sin la aceptación y el apoyo de los líderes de la empresa. Se debe realizar una revisión exhaustiva de todos los arreglos de seguridad de la información existente con los requisitos de la norma ISO 27001.
Establecer el contexto, alcance y objetivos
Es esencial precisar todos los objetivos del proyecto, desde el principio, incluyendo todos los costos del proyecto y el calendario. Deberá considerar si debe utilizar apoyo externo de una organización de consultoría.
Utilizar un tutor en línea le ayudará a asegurar que su proyecto se queda en el camino, mientras que le ahorra un gasto asociado a la utilización de consultores a tiempo complejo durante la duración del proyecto.
Se deberá desarrollar el alcance del Sistema de Gestión de Seguridad de la Información, que puede extenderse a toda la empresa, o solo un departamento específico o ubicación geográfica. Al definir el alcance se deberá tener en cuenta el contexto de la empresa, además de las necesidades y los requisitos de las partes interesadas.
Establecer un marco de gestión
El marco de gestión describe el conjunto de todos los procesos de una empresa que debe seguir para cumplir con todos los objetivos marcados a la hora de realizar la implementación de la norma ISO 27001. Todos los procesos incluyen la afirmación de la rendición de cuentas del Sistema de Gestión de Seguridad de la Información, un calendario de actividades, y la auditoría regular para apoyar un ciclo de mejora continua.
Llevar a cabo una evaluación de riesgos
Mientras que la norma ISO 27001 no prescribe la metodología específica de evaluar los riesgos, requiere de una evaluación del riesgo para ser un proceso formal. Esto supone que el proceso debe ser planificado, y los datos, análisis y resultados deben ser registrados. Antes de efectuar una evaluación de riesgos, los criterios de seguridad básica deberán establecerse, ya que se refiere al negocio de la empresa y las obligaciones que deben referirse a la seguridad de la información.
Implementar controles para mitigar los riesgos
Una vez han sido identificados los riesgos pertinentes, las empresas deben decidir cómo se tratan, toleran, terminan o transfieren todos los riesgos. Es crucial para documentar todas las decisiones con respecto a las repuestas obtenidas.
Formación
La norma requiere que todos los programas de sensibilización del personal se inicien para crear la conciencia necesaria sobre seguridad de la información en toda la empresa. Esto puede requerir que prácticamente todos los trabajadores cambien su forma de trabajar, para cumplir con la política de seguridad establecida en la organización.
Revisar y actualizar la documentación requerida
La documentación se requiere para apoyar el Sistema de Gestión de Seguridad de la Información basado en la norma ISO 27001. La compilación de las políticas y los procedimientos es una tarea muy tediosa, sin embargo existen modelos de documentación llevados a cabo por expertos para hacer la mayor parte del trabajo. Las plantillas deben ser totalmente personalizables, contienen la orientación de los trabajadores para ayudar a cualquier empresa a cumplir con los requisitos que establece la norma ISO 27001.
La norma ISO 27001 requiere de la siguiente documentación:
- El alcance del Sistema de Gestión de Seguridad de la Información
- La política de seguridad de la información
- El proceso de evaluación de riesgos
- Proceso de tratamientos de riesgos
- La declaración de aplicabilidad
- Los objetivos de seguridad de la información
- La evidencia de la competencia
- La información documentada determinada por la organización
- Realizar una planificación y un control operacional
- Resultados de evaluación de riesgos de seguridad de la información
- Resultados de los tratamiento del riesgo en cuanto a la seguridad de la información
- Evidencias del seguimiento y la medición de los resultados de la auditoría
- Evidencias de todos los resultados de la revisión por parte de la dirección
Medición, monitoreo y revisión
La norma ISO 27001 es compatible con los procesos de mejora continua. Esto requiere del desempeño del Sistema de Gestión de Seguridad de la Información siendo analizado y revisado de forma constante por la eficiencia y el cumplimiento, además se deben identificar todas las mejoras de los procesos y los controles existentes.
Realizar una auditoría interna
La norma ISO 27001 requiere que se realicen auditoría internas del Sistema de Gestión de Seguridad de la Información dentro de intervalos de tiempo planificados.
Auditoría de certificación
Se debe realizar una auditoría en la que se realice una evaluación exhaustiva para establecer si se cumple con los requisitos que establece la norma ISO 27001.
Software ISO 27001
El estándar internacional ISO 27001 2013, junto con todas las normas que componen su familia, generan todos los requisitos necesarios para poder implementar un Sistema de Gestión de Seguridad de la Información de una forma rápida y sencilla, además el Software ISOTools Excellence para la norma 27001 2013 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa.