ISO 27001, ¿cómo implementarla en una organización? - OSTEC

This post is also available in: Português Español

Considerada como la norma y referencia en materia de seguridad de la información, la norma ISO 27001 se ha ido mejorando continuamente desde su origen.

La implementación de la ISO 27001 tiene como base la adopción de los requisitos, políticas, procesos, procedimientos, controles y práticas descritas y requeridas por la misma, ajustadas de acuerdo al tamaño, madurez, realidad y objetivo de cada empresa.

Su adopción crea un modelo integral de seguridad de la información al tratar de diversos temas simultáneamente.

Y en todas las organizaciones, para implementar la ISO 27001, es necesario seguir 16 pasos. Vea cuales son, a continuación.

Conseguir el apoyo de la gerencia

A pesar de parecer obvio, muchas veces ese paso no se toma en serio. Pero es necesario conseguir el apoyo de la gerencia para que esta consiga proporcionar las personas y el dinero necesarios para este proyecto.

Sin embargo, aún siendo una tarea obvia, muchas veces no es fácil, siendo importante que exista un fundamento, para tratar todas las posibles objeciones técnicas y/o financieras señaladas durante la fase de explicación.

Por eso, conocer los beneficios asociados a la certificación es esencial para aumentar las posibilidades de éxito del proyecto. Los principales beneficios que deben plantearse a la alta dirección son:

Cumplimiento de leyes
Ventaja comercial
Reducción de gastos
Organización de la empresa

Tratar como proyecto

La implementación de la ISO 27001 implica diversas actividades, personas y tiempo. Es necesario definir lo que se va a hacer, la persona asignada a cada tarea y el tiempo que tendrá para realizarla.

Definir el alcance

En el caso de grandes organizaciones, es posible implementar la ISO 27001 en sectores específicos. El problema de cuando el alcance de la ISO no alcanza a toda la organización, es que el sistema de gestión de la seguridad de la información (SGSI) debe tener interfaces con el mundo exterior, no solo los clientes, socios y proveedores, sino también los departamentos de la organización que no forman parte de este campo. Estos departamentos deben ser tratados de la misma manera que un proveedor externo.

Si el sector escogido fuese solamente el departamento de TI, por ejemplo, y ese departamento estuviera utilizando los servicios del departamento de compras, el departamento de TI debe efectuar una evaluación de riesgos de su departamento de compras para identificar si existen riesgos para las informaciones de las que departamento de TI es responsable. Además, los dos departamentos deben firmar un documento de términos y condiciones por los servicios prestados.

Por lo tanto, reducir el alcance del SGSI a veces no es una opción viable. Intente ampliar el alcance del proyecto a toda la organización.

Como regla general: si su organización no tiene más que unos cientos de empleados y una o pocas sedes, lo mejor es que el SGSI cubra toda la organización.

Pero, en caso de que no sea posible cubrir a toda la organización dentro del SGSI, intente definirlo en una unidad organizacional que sea suficientemente independiente.

Escribir el Manual del SGSI

El Manual del SGSI es un documento de alto nivel, que no debe ser muy detallado, pero debe definir algunos aspectos básicos de la seguridad de la información en su organización.

El objetivo de ese documento es definir lo que se desea alcanzar y cómo mantenerlo bajo control.

La ISO 27001 exige que la Política de SGSI, como documento de nivel más alto, contenga lo siguiente:

Un esquema para definir los objetivos, tomando en consideración varios requisitos y obligaciones, que se ajuste al contexto de la gestión estratégica de riesgos de la organización y establezca los criterios para la evaluación de riesgos. Esa política debe ser breve (como máximo dos páginas), pues su finalidad principal es permitir que la dirección sea capaz de controlar su SGSI.

Definir la metodología de evaluación de riesgos

La evaluación de riesgos se lleva a cabo mediante la identificación y evaluación de activos, vulnerabilidades y amenazas.
Un activo es todo aquello que tiene valor para la empresa – hardware, software, personal, infraestructura, datos, proveedores y socios.
Una vulnerabilidad es un punto flaco en un activo, proceso o control que podría ser explotado por una amenaza.

La principal tarea de la evaluación de riesgos, es evaluar la probabilidad y el impacto; y una buena metodología debe tener un método para identificación de activos, amenazas y vulnerabilidades, tablas para marcar la probabilidad e impactos, además de un método para calcular el riesgo y definir el nivel aceptable de ese riesgo.

Las definiciones deben contener al menos 30 vulnerabilidades y 30 amenazas. El proceso no es complicado y debe seguir algunos pasos básicos, como::

Definir y documentar la metodología (incluyendo sus relaciones), distribuirla a todos los propietarios de activos en la organización;
Organizar entrevistas con los propietarios de los activos durante las cuales se espera que identifiquen sus activos con sus vulnerabilidades y amenazas relacionadas. También deben evaluar la probabilidad y el impacto si se producen riesgos específicos;
Reunir los datos en una sola hoja de cálculo, calcular los riesgos e indicar qué riesgos no son aceptables;
Para cada riesgo que no sea aceptable, elegir uno o varios controles del anexo A de la norma ISO 27001 y calcular cuál sería el nuevo nivel de riesgo tras la aplicación de estos controles.

La evaluación y el tratamiento de los riesgos son realmente la base de la seguridad de la información de la norma ISO 27001, pero eso no significa que tengan que ser complicados.

Realizar la evaluación y el tratamiento de los riesgos

En esta etapa, se debe implementar lo que se definió en el paso anterior. Para organizaciones de porte mayor, eso puede demorar un poco. El objetivo es tener una visión amplia sobre los peligros para la información de la organización.

El propósito del proceso de tratamiento de riesgos es disminuir los riesgos que no son aceptables. Para ello se suelen utilizar los controles del Anexo A.

En esta etapa, es necesario redactar un informe de evaluación de riesgos, que documente todos los pasos dados durante los procesos de evaluación de riesgos y su tratamiento. Además, debe obtenerse la aprobación de los riesgos residuales, sea como un documento separado o como parte de la Declaración de aplicabilidad.

Redactar la declaración de aplicabilidad

Después de terminar la etapa anterior, usted sabrá exactamente cuáles controles del Anexo A precisará (existen en total 114 controles, pero probablemente no serán necesario todos ellos).

Este documento tiene como objetivo mostrar una lista de todos los controles, para definir cuales son aplicables y cuáles no, y las razones de esa decisión, los objetivos a alcanzar con los controles y una descripción de cómo serán implementados.

La Declaración de aplicabilidad también es el documento más adecuado para conseguir la autorización de la gerencia para implementar el SGSI.

Elaborar el Plan de tratamiento de riesgos

El objetivo del plan de tratamiento de riesgos es definir exactamente cómo los controles de la Declaración de Aplicabilidad deben ser implementados. Ese documento es un plan de implementación sobre sus controles.

Definir cómo medir la eficiencia de los controles

Es importante recordar definir la forma como usted irá a medir el cumplimiento de los objetivos que definidos previamente, tanto para el SGSI entero como para cada control aplicable en la Declaración de aplicabilidad.

Implementar los controles y procedimientos obligatorios

Esa es la etapa más arriesgada del proyecto. Normalmente tiene que ver con la aplicación de nuevas tecnologías, pero por encima de todo, la implementación de nuevos comportamientos en la organización.

Muchas veces, nuevas políticas y procedimientos son necesarios (lo que significa que es necesario hacer cambios), y por lo general, las personas, se resisten a los cambios.

Implementar programas de entrenamiento y sensibilización

Hay que explicarle al personal por qué hay que aplicar nuevas políticas y procedimientos y entrenarlo para que sea capaz de seguir la planificación.

La ausencia de esas actividades es la segunda razón más común de fracaso de un proyecto de la ISO 27001.

Operar el SGSI

Es la etapa en que la ISO 27001 se vuelve una rutina diaria dentro de la organización. Se deben llevar registros, ya que sin registros, será muy difícil probar que cualquier actividad realmente fue ejecutada. Los registros deben ayudarlo, pues podrá monitorear lo que está sucediendo.

Monitorear el SGSI

En esa etapa, los objetivos para sus controles y métodos de medición se unen, y usted tiene que verificar si los resultados obtenidos están alcanzando lo definido en sus objetivos.

En caso que no lo hagan, es necesario ejecutar acciones correctivas y/o preventivas.

Realizar auditoría interna

Desconocer los problemas existentes o posibles puede perjudicar a su organización. Por lo tanto, es necesario realizar auditorías internas para descubrir posibles problemas.

Además de cumplir con las normas de la ISO 27001, la auditoría interna puede ser de mucha utilidad para otras cuestiones comerciales. El objetivo es descubrir problemas que puedan estar escondidos y perjudicar al negocio.

Existen algunas maneras de realizar una auditoría interna:

Contratar un auditor interno a tiempo completo;
Contratar auditores que trabajen medio tiempo;
Contratar un auditor externo.

Realizar un análisis crítico de la gestión

La gerencia debe saber qué ocurre en el SGSI, si todos realizaron su trabajo, si el SGSI está logrando los resultados deseados, etc. A partir de ahí, la gerencia pasa a tomar algunas decisiones cruciales.

Acciones correctivas y preventivas

El objetivo de este paso es garantizar que todos los incumplimientos se corrijan y, preferiblemente, se eviten.

Por lo tanto, la ISO 27001 exige que las acciones correctivas y preventivas sean realizadas de forma sistemática, lo que significa que la causa básica de un incumplimiento debe ser identificado y, en seguida, resuelto y verificado.

El costo y tiempo de implementación varía de acuerdo con la situación de cada organización, algunos detalles pueden influir directamente en la complejidad del plan de acción de implementación, por ejemplo: número de trabajadores, activos de información, elaboración de documentos, tamaño de la empresa, equipo etc.

Sea a través de la implementación y certificación de la ISO 27001 en su empresa o el uso de buenas prácticas, softwares y soluciones de seguridad, lo fundamental es comprender que mantener la información resguardada debe ser una prioridad.

OSTEC oferce consultoría ISO 27001, si quiere saber más, entre en contacto con uno de nuestros profesinales.

This post is also available in: Português Español

Diagnóstico que avalia a nível de conformidade com a Lei Geral de Proteção de Dados

Fazer diagnóstico

Ebooks 5 Dicas para evitar sequestro de dados

Nossas 5 dicas fundamentais para evitar sequestro de dados

Baixar eBook

Ebooks 10 dicas essenciais para aquisição de firewalls

Conheça os principais tópicos a serem considerados na aquisição de um firewall.

Baixar eBook

Ebooks Guia Lei Geral de Proteção de Dados

Documento completo para ambientalização à Lei Geral de Proteção de Dados

Baixar eBook

Conseguir el apoyo de la gerencia

Tratar como proyecto

Definir el alcance

Escribir el Manual del SGSI

Definir la metodología de evaluación de riesgos

Realizar la evaluación y el tratamiento de los riesgos

Redactar la declaración de aplicabilidad

Elaborar el Plan de tratamiento de riesgos

Definir cómo medir la eficiencia de los controles

Implementar los controles y procedimientos obligatorios

Implementar programas de entrenamiento y sensibilización

Operar el SGSI

Monitorear el SGSI

Realizar auditoría interna

Realizar un análisis crítico de la gestión

Acciones correctivas y preventivas

ISO 27001, todo lo que necesita saber

ISO 27001, beneficios para su empresa

Cadastre-se em nossa newsletter