ISO 27001 2013: ¿Cómo ayuda a tu organización?
ISO 27001 2013
La norma ISO 27001 2013 está reconocida como un estándar para la gestión de la seguridad de la información a nivel mundial. Ayuda a las empresas de todo el mundo a protegerse de los riesgos que supone la ciberdelincuencia, la norma ISO 27001 2013 proporciona muchas ventajas a las organizaciones que la tienen implementada.
Sería bueno comenzar por comprar y leer una copia de la norma ISO 27001 2013. Es una buena idea pero puede quedar decepcionado al encontrar que hay más de un documento, ya que la ISO 27000 es una familia, y que puede resultarte que se queda corta en detalles prácticos. También puede comprar un libro de texto sobre la norma ISO 27001 2013.
La manera más rápida y eficiente para comenzar a trabajar con la norma ISO 27001 2013 es asistir a un curso. Dicho curso le proporciona una introducción completa de todos los beneficios que le generará la norma ISO 27001 2013 y comprender mejor como realizar las mejores prácticas.
A continuación queremos proporcionarte un listado de comprobación de la documentación requerida por la norma ISO 27001 2013 para realizar las auditorías:
-
El alcance del Sistema de Gestión de Seguridad de la Información
Se deben especificar todas las cuestiones internas y externas, definir las partes interesadas y tener en cuenta todas las interfaces y las dependencias entre lo que está sucediendo dentro del alcance del Sistema de Gestión de Seguridad de la Información y el mundo exterior. El alcance del Sistema de Gestión de Seguridad de la Información tiene que documentar una descripción de la naturaleza de la empresa, el área de negocios que opera, la ubicación, los activos y la tecnología.
Muchas empresas almacenan dicho documento el Sistema de Gestión de Seguridad de la Seguridad de la Información para garantizar que sólo se accede a la versión más reciente del alcance de las partes pertinentes.
-
Política de Seguridad de la Información
Se requiere a la alta dirección para establecer una política de seguridad de la información. Este documento debe definir los objetivos, propósito, dirección y principios acordados y la estrategia para la obtención de la información. Es un documento de alto nivel y no es necesario especificar las normas de seguridad, esto se puede hacer en la política de uso aceptable.
-
Evaluación de riesgos
Dentro de la ISO 27001 2013 existe una cláusula que exige que las empresas planifiquen la evaluación y el tratamiento de los riesgos. En lugar de realizar un análisis de riesgos, que debería centrarse en el método. Este documento es esencial para que cualquier persona de la empresa pueda entender la forma de evaluar el riesgo utilizando la misma metodología.
-
Declaración de aplicabilidad
La declaración de aplicabilidad genera un listado con todos los controles del anexo A, que son y no son aplicables al Sistema de Gestión de Seguridad de la Información. Se debe demostrar si cada control ya se encuentra implementado, como para implementar los controles necesarios, y o bien un enlace a un documento que describa la política, procedimientos e instrucciones de trabajo o describa los controles dentro del documento.
La declaración de aplicabilidad es relativamente corta, ya que se encuentra destinada a utilizarse todos los días, pero puede tomar un largo tiempo para crear, ya que nos habla sobre cómo implementar los controles necesarios a nivel estratégico.
-
Plan de tratamiento del riesgo
El plan de tratamiento de riesgo se define cómo los controles de la declaración de aplicabilidad se llevarán a cabo, quien es la persona responsable de ellos, cuales son los plazos y los recursos que serán necesarios.
-
Informe de evaluación de riesgos
El informe de evaluación de riesgos es un documento que da una visión completa del proceso y los documentos que se utilizan durante la evaluación y el tratamiento de los riesgos.
Se tiene que incluir la identificación de los riesgos, una evaluación de impacto y la probabilidad, el tratamiento y la metodología. Cualquier riesgo inaceptable necesita ser tratado o controlado. Es importante reconocer si algo de la metodología ha cambiado.
-
Definición de las funciones y las responsabilidades de seguridad
Este documento debe definir las funciones y las responsabilidades de los involucrados en la gestión de la seguridad de la información.
No sólo debe demostrar la responsabilidad general de las tareas de mantenimiento en el nivel de gestión, sino que debe demostrar que cada empleado es igualmente responsable de su tarea y del mantenimiento de la seguridad de la información en su puesto de trabajo.
-
Inventario de activos
Se debe incluir un inventario que genere valor en la organización. Esto debe incluir hardware, software, información, infraestructura, personal y servicios externos juntos a los propietarios, los lugares, los valores y los requisitos de seguridad de la información.
Software ISO 27001
El estándar internacional ISO 27001, junto con todas las normas que componen su familia, generan todos los requisitos necesarios para poder implementar un Sistema de Gestión de Seguridad de la Información de una forma rápida y sencilla, además el Software ISOTools Excellence para ISO 27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa.