¿Cómo realizar la certificación de la norma ISO 27001?
ISO 27001
La implantación de un Sistema de Gestión de Seguridad de la Información basado en la norma ISO 27001 en su empresa puede parecer abrumadora, usted puede prepararse para crear y gestionar la documentación.
La documentación de la norma ISO 27001
La parte más tediosa para lograr la certificación ISO 27001 es la documentación del Sistema de Gestión de Seguridad de la Información. Otras áreas como la evaluación de riesgos, la sección de los controles, la implantación de las mejoras de seguridad, es menos compleja.
La norma ISO 27001 es un documento que nos dice qué documentación es necesaria para crear un sistema eficiente, sobre todo en las organizaciones más complejas. Las implicaciones de recursos, gestión de tiempo y de hacer que eso suceda son inmensas. En la empresa más pequeña, donde se requiere mucha menos documentación, los recursos para hacer frente a la tarea también son más limitadas.
Luego está la cuestión de cómo debe hacerlo. Si nunca se ha construido un Sistema de Gestión de Seguridad de la Información antes, hay una gran cantidad de aprendizaje antes de recibir la documentación y el proceso de trabajo con eficacia. Y ese es el tiempo y la credibilidad, ya que cuesta construir un Sistema de Gestión de Seguridad de la Información.
¿Qué debe estar documentado dentro de un proyecto del estándar internacional ISO 27001?
- La política de seguridad de la información, la declaración sobre el alcance de los Sistemas de Gestión de Seguridad de la Información, la evaluación de riesgos, los objetivos de seguridad de la información, la declaración de aplicabilidad y el plan de tratamiento de riesgos.
- El marco de gestión de la documentación según ISO 27001.
- Los procedimientos deben incluir las responsabilidades y las acciones requeridas que se implementan controles específicos. Un procedimiento describe quién tiene que hacer, bajo qué condiciones o cuándo. Estos procedimientos pueden encontrarse en papel o electrónico.
- Los documentos que tienen que ver con la forma en el Sistema de Gestión de Seguridad de la Información, ya que se controla, revisa y mejora de forma continua, incluyendo la medición del proceso hacia los objetivos de seguridad de la información.
¿Un consultor puede ser caro?
Muchas empresas recurren a consultores externos. Sin embargo los consultores son caros y no facilitan que la organización aprenda sobre el Sistema de Gestión de Seguridad de la Información, y este sentido de propiedad es necesario para obtener éxito a largo plazo. La alternativa más lógica, es comprar un conjunto de políticas y procedimientos pre-escritas. Las políticas y los procedimientos pre-escritos se encargarán de acelerar el proyecto, la reducción de pruebas y error, además de colaborar de forma rápida en la adopción de mejores prácticas.
Si compra una plantilla el problema es que es muy general y la debe acomodar a su organización, al igual que los procedimientos y los instructivos, en ese momento es donde comienza el trabajo duro.
No se encuentra necesariamente alineados con la norma ISO 27001, y que simplemente no dan el asesoramiento detallado, punto por punto la redacción que se requiere, si se quiere que sea realmente útil.
Criterios de selección
El contenido es crítico en soluciones efectivas. Debe estar bien investigado, prácticas y pragmática, además debe seguir rutinas estándar de la industria. Debe ser reconocible al instante por un gestor de calidad, ya que es un gerente de línea o técnico de TI.
Las políticas y procedimientos deben acelerar su proyecto, por:
- Se ahorra tiempo de investigación.
- El exceso de velocidad de la implantación de políticas.
- Mejora la escritura en el procedimiento.
- Simplificar y acelerar la implantación.
Lo más importante es que no debe tener muchas políticas, ya que la norma ISO 27001 nos dice que sólo debe existir una, pero si necesita un conjunto de procedimientos que realmente le permiten implantar la norma ISO 27001.
No es suficiente que los documentos se pongan juntos, sino que deberá personalizarlos. Es necesario realizar una combinación de consejos de personalización en el lugar de la página y un servicio de apoyo en el mundo real que pueden proporcionar información y ayuda cuando no se encuentra seguro de cómo un problema específico debe abordarse. Sin esa combinación de apoyo, es difícil conseguir el valor completo de las políticas y los procedimientos.
Software ISO 27001
El Software ISOTools Excellence ISO 27001 para Riesgos y Seguridad de la Información, está capacitado para responder a numerosos controles para el tratamiento de la información gracias a las aplicaciones que contiene y que son totalmente configurables según los requerimientos de cada organización.