¿Cómo conseguir la certificación ISO 27001?
Certificación ISO 27001
La norma ISO 27001 es un estándar internacional emitida por la ISO que describe la gestión de la seguridad de la información en una organización. La revisión más reciente de esta norma ha sido publicada en el año 2013 y ahora se llama ISO 27001:2013. La primera revisión fue publicada en 2005 y se desarrolló es base a una norma británica BS 7799-2.
La norma ISO 27001 puede ser implementada en cualquier tipo de empresa, con o sin fines de lucro, privada o pública, pequeña o grande. Se redacta por los mejores especialistas del mundo en el tema y proporciona una metodología para implantar la gestión de la seguridad de la información en una empresa. También permite que una organización se certifique, lo que significa que una entidad de certificación independiente confirma que la seguridad de la información ha sido implantada en esta organización cumpliendo con los requisitos de la norma ISO 27001.
La ISO 27001 se ha convertido en la principal norma a nivel mundial para la seguridad de la información y muchas organizaciones han certificado su cumplimiento.
Si usted ya ha destinado suficiente tiempo en la implantación de la norma ISO 27001, ha invertido en capacitación, consultoría e implantación de todos los controles. Ahora llega el auditor de una entidad de certificación, para ver si cumple con todos los requisitos y se merece la certificación ISO 27001.
Esto puede producir cierta ansiedad, algo normal, ya que usted nunca puede saber a ciencia cierta si su Sistema de Gestión de Seguridad de la Información tiene todo lo que le va a solicitar el auditor de la entidad de la certificación ISO 27001.
El auditor llevará a cabo la Fase 1 de la auditoría, que se puede denominar “Revisión de la documentación”. En esta auditoría, el auditor busca la documentación sobre el alcance, la política y los objetivos del Sistema de Gestión de Seguridad de la Información, la descripción de la metodología de evaluación de riesgos, el informe sobre la evaluación de los riesgos, una declaración de aplicabilidad, un plan de tratamiento del riesgo, los procedimientos para el control de documentos, las medidas correctivas y preventivas y la auditoría interna. Usted también debe documentar algunos de los controles del Anexo A, que sólo se aplican en la declaración de aplicabilidad:
- Inventario de activos
- Utilización aceptable de activos
- Tareas y responsabilidades de los trabajadores, contratistas y terceros
- Términos generales de empleo
- Procedimientos para el funcionamiento de las instalaciones de procesamiento de información
- Política de control de acceso
- Identificar la legislación
- Se necesitan registro de la auditoría interna y la revisión por la alta dirección
Si falta alguno de los elementos, significa que no se encuentra listo para pasar a la Fase 2 de la auditoría de certificación. Como es obvio usted puede tener más documentos si lo considera necesario, pero la lista mencionada anteriormente son los requisitos mínimos.
La Fase 2 se denomina “auditoría principal” y se realiza unas semanas después de realizar la Fase 1. En esta auditoría el enfoque no va a ser sobre la documentación sino sobre su organización en sí misma, verificando que se realiza los que sus documentos y la ISO 27001 dicen que tiene que hacer. En otras palabras, el auditor debe verificar si su Sistema de Gestión de Seguridad de la Información verdaderamente se ha materializado en su empresa o si sólo se trata de letra muerta. El auditor debe verificar mediante la observación y entrevistas con sus trabajadores, pero controlado por sus registros. Entre los registros obligatorios se deben incluir los de formación, capacitación, habilidades, experiencia y calificaciones. Sin embargo, el auditor espera ver mucho más registros como resultado de la realización de los procedimientos.
Debe tener cuidado sobre este punto, cualquier auditor experimentado se dará cuenta al instante si alguna parte de su Sistema de Gestión de Seguridad de la Información y confeccionado solamente para los fines de la auditoría.
Si el auditor encuentra algún incumplimiento grave debe saber que no se emitirá la certificación ISO 27001.
En este caso el proceso es el siguiente: el auditor debe informar de los resultados en el informe de auditoría y ofrecerá un plazo en el que debe solucionar el incumplimiento. Su trabajo es tomar las medidas correctivas correspondientes, pero debe tener cuidado ya que esta acción tiene que solucionar el origen del incumplimiento, el audito puede no aceptar lo que se ha hecho. Una vez que esté seguro de haber tomado las medidas correctas, debe notificarle el auditor y enviarle la evidencia de lo que ha hecho. En la mayoría de los casos, si ha hecho su trabajo de forma concienzuda, el auditor debe aceptar la medida correctiva y activar el proceso de emisión del certificado.
Software ISO 27001
Desde ISOTools contamos con una serie de profesionales que les podrán ayudar y aconsejar durante el proceso de implementación de la ISO 27001, además contamos con el Software ISOTools Excellence que automatiza todo elSistema de Gestión de Seguridad de la Información, haciendo que se ahorre mucho tiempo, por lo que también ahorra dinero.