This post is also available in: Português Español
Considerada como la norma y referencia en materia de seguridad de la información, la norma ISO 27001 se ha ido mejorando continuamente desde su origen.
La implementación de la ISO 27001 tiene como base la adopción de los requisitos, políticas, procesos, procedimientos, controles y práticas descritas y requeridas por la misma, ajustadas de acuerdo al tamaño, madurez, realidad y objetivo de cada empresa.
Su adopción crea un modelo integral de seguridad de la información al tratar de diversos temas simultáneamente.
Y en todas las organizaciones, para implementar la ISO 27001, es necesario seguir 16 pasos. Vea cuales son, a continuación.
Conseguir el apoyo de la gerencia
A pesar de parecer obvio, muchas veces ese paso no se toma en serio. Pero es necesario conseguir el apoyo de la gerencia para que esta consiga proporcionar las personas y el dinero necesarios para este proyecto.
Sin embargo, aún siendo una tarea obvia, muchas veces no es fácil, siendo importante que exista un fundamento, para tratar todas las posibles objeciones técnicas y/o financieras señaladas durante la fase de explicación.
Por eso, conocer los beneficios asociados a la certificación es esencial para aumentar las posibilidades de éxito del proyecto. Los principales beneficios que deben plantearse a la alta dirección son:
- Cumplimiento de leyes
- Ventaja comercial
- Reducción de gastos
- Organización de la empresa
Tratar como proyecto
La implementación de la ISO 27001 implica diversas actividades, personas y tiempo. Es necesario definir lo que se va a hacer, la persona asignada a cada tarea y el tiempo que tendrá para realizarla.
Definir el alcance
En el caso de grandes organizaciones, es posible implementar la ISO 27001 en sectores específicos. El problema de cuando el alcance de la ISO no alcanza a toda la organización, es que el sistema de gestión de la seguridad de la información (SGSI) debe tener interfaces con el mundo exterior, no solo los clientes, socios y proveedores, sino también los departamentos de la organización que no forman parte de este campo. Estos departamentos deben ser tratados de la misma manera que un proveedor externo.
Si el sector escogido fuese solamente el departamento de TI, por ejemplo, y ese departamento estuviera utilizando los servicios del departamento de compras, el departamento de TI debe efectuar una evaluación de riesgos de su departamento de compras para identificar si existen riesgos para las informaciones de las que departamento de TI es responsable. Además, los dos departamentos deben firmar un documento de términos y condiciones por los servicios prestados.
Por lo tanto, reducir el alcance del SGSI a veces no es una opción viable. Intente ampliar el alcance del proyecto a toda la organización.
Como regla general: si su organización no tiene más que unos cientos de empleados y una o pocas sedes, lo mejor es que el SGSI cubra toda la organización.
Pero, en caso de que no sea posible cubrir a toda la organización dentro del SGSI, intente definirlo en una unidad organizacional que sea suficientemente independiente.
Escribir el Manual del SGSI
El Manual del SGSI es un documento de alto nivel, que no debe ser muy detallado, pero debe definir algunos aspectos básicos de la seguridad de la información en su organización.
El objetivo de ese documento es definir lo que se desea alcanzar y cómo mantenerlo bajo control.
La ISO 27001 exige que la Política de SGSI, como documento de nivel más alto, contenga lo siguiente:
Un esquema para definir los objetivos, tomando en consideración varios requisitos y obligaciones, que se ajuste al contexto de la gestión estratégica de riesgos de la organización y establezca los criterios para la evaluación de riesgos. Esa política debe ser breve (como máximo dos páginas), pues su finalidad principal es permitir que la dirección sea capaz de controlar su SGSI.
Definir la metodología de evaluación de riesgos
La evaluación de riesgos se lleva a cabo mediante la identificación y evaluación de activos, vulnerabilidades y amenazas.
Un activo es todo aquello que tiene valor para la empresa – hardware, software, personal, infraestructura, datos, proveedores y socios.
Una vulnerabilidad es un punto flaco en un activo, proceso o control que podría ser explotado por una amenaza.
La principal tarea de la evaluación de riesgos, es evaluar la probabilidad y el impacto; y una buena metodología debe tener un método para identificación de activos, amenazas y vulnerabilidades, tablas para marcar la probabilidad e impactos, además de un método para calcular el riesgo y definir el nivel aceptable de ese riesgo.
Las definiciones deben contener al menos 30 vulnerabilidades y 30 amenazas. El proceso no es complicado y debe seguir algunos pasos básicos, como::
- Definir y documentar la metodología (incluyendo sus relaciones), distribuirla a todos los propietarios de activos en la organización;
- Organizar entrevistas con los propietarios de los activos durante las cuales se espera que identifiquen sus activos con sus vulnerabilidades y amenazas relacionadas. También deben evaluar la probabilidad y el impacto si se producen riesgos específicos;
- Reunir los datos en una sola hoja de cálculo, calcular los riesgos e indicar qué riesgos no son aceptables;
- Para cada riesgo que no sea aceptable, elegir uno o varios controles del anexo A de la norma ISO 27001 y calcular cuál sería el nuevo nivel de riesgo tras la aplicación de estos controles.
La evaluación y el tratamiento de los riesgos son realmente la base de la seguridad de la información de la norma ISO 27001, pero eso no significa que tengan que ser complicados.
Realizar la evaluación y el tratamiento de los riesgos
En esta etapa, se debe implementar lo que se definió en el paso anterior. Para organizaciones de porte mayor, eso puede demorar un poco. El objetivo es tener una visión amplia sobre los peligros para la información de la organización.
El propósito del proceso de tratamiento de riesgos es disminuir los riesgos que no son aceptables. Para ello se suelen utilizar los controles del Anexo A.
En esta etapa, es necesario redactar un informe de evaluación de riesgos, que documente todos los pasos dados durante los procesos de evaluación de riesgos y su tratamiento. Además, debe obtenerse la aprobación de los riesgos residuales, sea como un documento separado o como parte de la Declaración de aplicabilidad.
Redactar la declaración de aplicabilidad
Después de terminar la etapa anterior, usted sabrá exactamente cuáles controles del Anexo A precisará (existen en total 114 controles, pero probablemente no serán necesario todos ellos).
Este documento tiene como objetivo mostrar una lista de todos los controles, para definir cuales son aplicables y cuáles no, y las razones de esa decisión, los objetivos a alcanzar con los controles y una descripción de cómo serán implementados.
La Declaración de aplicabilidad también es el documento más adecuado para conseguir la autorización de la gerencia para implementar el SGSI.
Elaborar el Plan de tratamiento de riesgos
El objetivo del plan de tratamiento de riesgos es definir exactamente cómo los controles de la Declaración de Aplicabilidad deben ser implementados. Ese documento es un plan de implementación sobre sus controles.
Definir cómo medir la eficiencia de los controles
Es importante recordar definir la forma como usted irá a medir el cumplimiento de los objetivos que definidos previamente, tanto para el SGSI entero como para cada control aplicable en la Declaración de aplicabilidad.
Implementar los controles y procedimientos obligatorios
Esa es la etapa más arriesgada del proyecto. Normalmente tiene que ver con la aplicación de nuevas tecnologías, pero por encima de todo, la implementación de nuevos comportamientos en la organización.
Muchas veces, nuevas políticas y procedimientos son necesarios (lo que significa que es necesario hacer cambios), y por lo general, las personas, se resisten a los cambios.
Implementar programas de entrenamiento y sensibilización
Hay que explicarle al personal por qué hay que aplicar nuevas políticas y procedimientos y entrenarlo para que sea capaz de seguir la planificación.
La ausencia de esas actividades es la segunda razón más común de fracaso de un proyecto de la ISO 27001.
Operar el SGSI
Es la etapa en que la ISO 27001 se vuelve una rutina diaria dentro de la organización. Se deben llevar registros, ya que sin registros, será muy difícil probar que cualquier actividad realmente fue ejecutada. Los registros deben ayudarlo, pues podrá monitorear lo que está sucediendo.
Monitorear el SGSI
En esa etapa, los objetivos para sus controles y métodos de medición se unen, y usted tiene que verificar si los resultados obtenidos están alcanzando lo definido en sus objetivos.
En caso que no lo hagan, es necesario ejecutar acciones correctivas y/o preventivas.
Realizar auditoría interna
Desconocer los problemas existentes o posibles puede perjudicar a su organización. Por lo tanto, es necesario realizar auditorías internas para descubrir posibles problemas.
Además de cumplir con las normas de la ISO 27001, la auditoría interna puede ser de mucha utilidad para otras cuestiones comerciales. El objetivo es descubrir problemas que puedan estar escondidos y perjudicar al negocio.
Existen algunas maneras de realizar una auditoría interna:
- Contratar un auditor interno a tiempo completo;
- Contratar auditores que trabajen medio tiempo;
- Contratar un auditor externo.
Realizar un análisis crítico de la gestión
La gerencia debe saber qué ocurre en el SGSI, si todos realizaron su trabajo, si el SGSI está logrando los resultados deseados, etc. A partir de ahí, la gerencia pasa a tomar algunas decisiones cruciales.
Acciones correctivas y preventivas
El objetivo de este paso es garantizar que todos los incumplimientos se corrijan y, preferiblemente, se eviten.
Por lo tanto, la ISO 27001 exige que las acciones correctivas y preventivas sean realizadas de forma sistemática, lo que significa que la causa básica de un incumplimiento debe ser identificado y, en seguida, resuelto y verificado.
El costo y tiempo de implementación varía de acuerdo con la situación de cada organización, algunos detalles pueden influir directamente en la complejidad del plan de acción de implementación, por ejemplo: número de trabajadores, activos de información, elaboración de documentos, tamaño de la empresa, equipo etc.
Sea a través de la implementación y certificación de la ISO 27001 en su empresa o el uso de buenas prácticas, softwares y soluciones de seguridad, lo fundamental es comprender que mantener la información resguardada debe ser una prioridad.
OSTEC oferce consultoría ISO 27001, si quiere saber más, entre en contacto con uno de nuestros profesinales.
This post is also available in: Português Español