Fundamentos de la ISO 27001 y la seguridad de la información segunda parte
ISO 27001
En la anterior parte del artículo, vimos aspectos básicos de la norma ISO 27001 evidentemente, cuesta resumir una norma en un solo artículo. Por este motivo, queremos seguir informándoles de estos fundamentos que la norma nos ofrece.
¿De qué se compone ISO 27001?
Esta norma está compuesta de 11 secciones junto al anexo A. Es necesario aclarar que las 3 primeras secciones son introductorias y no son de carácter obligatorio para la implementación. Las siguientes secciones sí lo son y es necesario que una empresa que quiera implementar la norma si cumpla con los requisitos de la misma.
Esta norma, al contar también con el Anexo S.L., y compartir terminología y secciones, permite una fácil integración con otras de las normas publicadas.
Partes ISO 27001
Sección 0: Introducción. Especifica el objetivo de la norma y también la compatibilidad con otras normas.
- Sección 1: Alcance. Indica el alcance de la norma aplicado a cualquier organización.
- Sección 2: Referencias normativas. hace referencia a la norma ISO/IEC 27000 como el estándar en el que se incluyen los términos y definiciones.
- Sección 3: Términos y definiciones: basándose también en ISO/IEC 27000.
- Sección 4: Contexto de la organización. Esta fase incluye el ciclo PHVA define los requerimientos para comprender asuntos tanto externos como internos. Al mismo tiempo, define las partes interesadas, sus requisitos y el alcance del sistema.
- Sección 5: Liderazgo. Define las responsabilidades de la dirección, el establecimiento de roles y responsabilidades y el contenido de la política de alto nivel sobre seguridad de la información.
- Sección 6: Planificación: Define los requerimientos para la evaluación de riesgos, el tratamiento de riesgos, la Declaración de aplicabilidad, el plan de tratamiento de riesgos y la determinación de los objetivos de seguridad de la información.
- Sección 7: Apoyo. Define los requerimientos sobre disponibilidad de recursos, competencias, concienciación, comunicación y control de documentos y registros.
- Sección 8: Funcionamiento. Define la implementación de la evaluación y el tratamiento de riesgos, como también los controles y demás procesos necesarios para cumplir los objetivos de seguridad de la información.
- Sección 9: Evaluación del desempeño. Define los requerimientos para monitoreo, medición, análisis, evaluación, auditoría interna y revisión por parte de la dirección.
- Sección 10: Mejora. Define los requerimientos para el tratamiento de no conformidades, correcciones, medidas correctivas y mejora continua.
- Anexo A: En este documento, se proporciona una lista con 114 controles o medidas de seguridad repartidas en 14 secciones.
Pasos para implementar la norma
Hay que aclarar que, aunque cada organización es diferente, hay algunos pasos similares que siguen.
- Primero deben conseguir que la dirección apoye el proyecto.
- Hay que planificar y seguir una metodología que ayude en la gestión de los proyectos.
- Definir el alcance del Sistema.
- Elaborar una política de alto nivel sobre seguridad de la información.
- Diseñar la metodología de evaluación de riesgos.
- Realizar evaluación y tratamiento de riesgos.
- Elaborar plan de tratamiento de riesgos.
- Establecer el método para medir efectividad de los controles.
- Aplicar e implementar controles y procedimientos necesarios.
- Formar a la organización para conocer el sistema.
- Seguir las indicaciones que se establecen en los documentos del SGSI
- Monitorear y medir SGSI
- Realizar auditorías internas
- Seguir la revisión por parte de la dirección
- Aplicar las medidas correctivas
¿Cuál es la documentación obligatoria para implementar un Sistema de Gestión de Seguridad de la Información?
- Alcance del SGSI
- Objetivos y política de seguridad de la información
- Metodología de evaluación y tratamiento de riesgos
- Declaración de aplicabilidad
- Plan de tratamiento de riesgos
- Informe de evaluación de riesgos
- Definición de roles y responsabilidades de seguridad
- Inventario de activos
- Uso aceptable de los activos
- Política de control de acceso
- Procedimientos operativos para gestión de TI
- Principios de ingeniería para sistema seguro
- Política de seguridad para proveedores
- Procedimiento para gestión de incidentes
- Procedimientos para continuidad del negocio
- Requisitos legales, normativos y contractuales
También existen registros obligatorios:
- Registros de capacitación, habilidades, experiencia y calificaciones
- Monitoreo y resultados de medición
- Programa de auditoría interna
- Resultados de auditorías internas
- Datos de la revisión por parte de la dirección
- Resultados de medidas correctivas
- Registros sobre actividades de los usuarios, excepciones y eventos de seguridad
¿Qué se necesita para obtener la certificación?
Para que una organización consiga el certificado en ISO 27001, tiene que pasar por una auditoría, puede realizarse en diferentes fases o en una única auditoría, aunque lo común es hacerlo por fases.
- En primer lugar, hay una fase de revisión en la que los auditores deben controlar la documentación exigida.
- El segundo paso es la auditoría en sí, es la que implica que auditores externos ajenos a la organización revisen todos los procesos y procedimientos y en general si la organización cumple con todos los requisitos de la norma.
- Finalmente, una vez se haya emitido el certificado, cuando hayan pasado 3 años de su expedición, nuevamente los auditores comprobarán que se cumplen con los requisitos del sistema.
Diplomado ISO/IEC 27001
Al igual que hemos dicho que las organizaciones pueden certificarse, también pueden hacerlo las personas. ¿Cómo? La respuesta es sencilla, mediante formación. Por ello, queremos ofrecerles el Diplomado de Seguridad de la Información con la ISO/IEC 27001:2013. Esta formación le ofrecerá todo lo necesario para implementar la norma en su organización.