A continuación os presento La guía definitiva de la norma ISO 27001.
Usted está aquí porque su empresa está buscando invertir y mejorar su postura de seguridad de la información. Usted entiende la importancia de garantizar la seguridad y la privacidad de los servicios y datos críticos, y sabe que cualquier interrupción, compromiso o divulgación no autorizada podría tener graves consecuencias para el funcionamiento y la viabilidad de su empresa.
En esta guía, exploraremos la información de fondo necesaria y el enfoque recomendado para la implementación exitosa de un Sistema de Gestión de Seguridad de la Información (SGSI) de acuerdo con la norma ISO 27001, y ayudaremos a preparar a su organización para someterse a una evaluación independiente de su SGSI con el fin de obtener su certificación ISO 27001.
¿Qué es la norma ISO 27001?
Publicada por la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC), la norma ISO 27001 -o, como se conoce oficialmente, ISO/IEC 27001:2013- es una norma internacional globalmente aceptada que fue desarrollada para ayudar a las organizaciones a proteger su información y sus activos de apoyo de una manera organizada y rentable a través de la implementación de un Sistema de Gestión de Seguridad de la Información (SGSI).
La norma de seguridad ISO 27001 es un conjunto de requisitos que rigen la implementación organizativa de políticas, procedimientos y controles; está diseñada para apoyar a las empresas en la gestión de la seguridad de su información mediante la organización de las personas, los procesos y la tecnología para garantizar la confidencialidad, la disponibilidad y la integridad de la información. La confidencialidad garantiza que sólo las personas autorizadas y aprobadas tienen derecho a acceder a la información. La integridad garantiza que sólo las personas autorizadas pueden realizar cambios en la información. La disponibilidad garantiza que las personas autorizadas puedan acceder a la información cuando la necesiten.
La implementación exitosa de la norma ISO 27001 incluye el movimiento a través del proceso Plan, Do, Check, Act (PDCA). Este método ayuda a las organizaciones a reconocer los desafíos o amenazas internas y externas, y a identificar las brechas para su corrección. La fase de planificación es la oportunidad de una organización para establecer el contexto y el alcance de su SGSI. En la fase D, una organización implementa sus políticas, controles, procesos y procedimientos del SGSI, incluyendo una evaluación de riesgos y un plan de tratamiento. La fase de Comprobación implica el trabajo de una organización para supervisar, medir, analizar y evaluar el SGSI y su implementación. La fase de Actuar es la oportunidad de la organización para tomar acciones correctivas y preventivas basadas en los resultados de su auditoría interna del SGSI y la revisión de la gestión.
La norma ISO 27001 adopta un enfoque de la seguridad de la información basado en el riesgo, exigiendo a las organizaciones que identifiquen los riesgos de seguridad de la información pertinentes a su organización y al espacio en el que operan, y que seleccionen los controles adecuados para hacer frente a esos riesgos. La norma completa ofrece una amplia gama de controles que una organización puede utilizar para garantizar que su enfoque de la seguridad de la información sea exhaustivo y se adapte a la organización. La norma es aplicable a organizaciones de cualquier tamaño o tipo.
La norma ISO 27001 se considera el estándar de oro mundial para garantizar la seguridad de la información y los activos de apoyo. La obtención de la certificación ISO 27001 puede ayudar a una organización a demostrar sus prácticas de seguridad a clientes potenciales de cualquier parte del mundo.
¿Qué es un Sistema de Gestión de la Seguridad de la Información (SGSI)?
Un Sistema de Gestión de la Seguridad de la Información (SGSI) es un sistema de gestión documentado compuesto por requisitos y controles de seguridad. Una empresa puede demostrar su implementación y conformidad con su SGSI a través de sus políticas, procedimientos y procesos operativos. La norma ISO 27001 define qué documentos deben existir como mínimo.
Un SGSI proporciona un enfoque estructurado para integrar la seguridad de la información en los procesos empresariales de una organización, ayudando así a gestionar y minimizar los riesgos de forma eficaz, aumentar la resistencia de la organización y garantizar la confidencialidad, integridad y disponibilidad de la información de la organización y de los clientes.
¿Cuánto cuesta la certificación ISO 27001, cuánto tiempo tarda y qué validez tiene?
Al igual que el proceso de pasar por una auditoría SOC 2, el coste de obtener la certificación ISO 27001 varía en función del tamaño de la organización y el número de empleados, lo que a su vez ayuda a determinar el tiempo que llevará la auditoría de la organización. Los costes de la certificación ISO 27001 pueden oscilar entre 6.000 y 10.000 dólares para las empresas más pequeñas y más de 25.000 dólares para las grandes.
Dependiendo del tamaño de una organización, la implementación de un SGSI basado en la norma ISO 27001 puede ser compleja, implicando una variedad de actividades y personas; el proyecto puede durar varios meses, o hasta un año o más. El empleo de un enfoque estructurado y un alcance de trabajo claramente definido -incluyendo lo que se debe hacer, quién es responsable de ejecutar las distintas tareas y el plazo de finalización- situará a su empresa en una posición de éxito en la implantación de la norma ISO 27001 de forma oportuna y manejable.
Su certificación ISO 27001 tiene una validez de tres años, lo que significa que cada tres años deberá realizar una auditoría ISO 27001 completa. Sin embargo, ISO exige que se realicen auditorías de vigilancia en el segundo y tercer año del ciclo de certificación para garantizar que su SGSI y los controles implementados sigan funcionando eficazmente. En esos años, el SGSI de su organización debe someterse a una auditoría externa, en la que un auditor evaluará partes de su SGSI. Una vez implementado su SGSI, es importante garantizar el mantenimiento adecuado y la mejora continua del SGSI en el ámbito de aplicación, o corre el riesgo de fracasar en su auditoría de vigilancia y perder su certificación ISO.
La gestión de la seguridad de la información no se detiene una vez que su empresa ha conseguido la certificación ISO 27001. La norma ISO 27001 puede crecer y evolucionar con su negocio, ayudando a garantizar que su información siga siendo segura, independientemente de los cambios que se produzcan y de las nuevas amenazas a la seguridad que surjan.
Cómo abordar la norma ISO 27001 como un proyecto de toda la organización
La implantación de la norma ISO 27001 en una organización debe tratarse como un proyecto organizativo formal que incluya el apoyo de la alta dirección y de las partes interesadas, una asignación de recursos adecuada y una comunicación eficiente y eficaz. Si bien esto puede parecer intuitivo, el desafío inherente a la creación y el mantenimiento exitoso de un verdadero proyecto de toda la organización es una de las razones por las que las implementaciones de ISO pueden fracasar.
Muchas organizaciones tratan la implantación de la norma ISO 27001 como una tarea de seguridad de la información o de tecnología de la información, responsabilidad exclusiva de esos departamentos o equipos. Si bien estos equipos son partes interesadas importantes, la implementación de la norma ISO 27001 afecta a múltiples facetas de una organización y, como tal, requiere un enfoque organizativo con la participación y el apoyo de la organización.
Una parte crítica de la implementación de un SGSI que cumpla con la norma ISO 27001 es establecer el órgano de gobierno del SGSI: un equipo de gobierno con supervisión de la dirección, que incorpore a miembros clave de la alta dirección de la organización. Aunque el tamaño y la estructura de la organización varían, la «alta dirección» se define típicamente como el liderazgo superior y la gestión ejecutiva que son responsables de las decisiones estratégicas y la asignación de recursos dentro de una organización.
El objetivo principal del órgano de gobierno del SGSI es proporcionar una adecuada supervisión de la gestión del SGSI de la organización, y garantizar que
– Los objetivos de seguridad de la información están alineados con la estrategia del negocio para ayudar a cumplir los objetivos estratégicos de la organización.
– Existe un programa de gestión de riesgos que identifica y mitiga los riesgos para los recursos y activos de la organización y que produce los resultados previstos.
– Las políticas y los procedimientos que apoyan el SGSI de la organización se revisan, se aprueban y se mantienen actualizados.
– Los recursos se asignan adecuadamente y se utilizan de forma eficaz y eficiente para alcanzar los objetivos previstos.
– Se define un programa de auditoría interna y se lleva a cabo de acuerdo con las políticas y procedimientos establecidos, para incluir la suficiente independencia para mantener una separación de funciones y evitar cualquier conflicto de intereses.
– Las métricas, como los indicadores clave de rendimiento (KPI), se definen, son útiles y se comunican para garantizar que el SGSI es eficaz y que se alcanzan los resultados previstos.
– Se realizan los ajustes necesarios para mejorar continuamente el SGSI.
¿Cuáles son los requisitos de la norma ISO 27001 y de un SGSI eficaz?
Desarrollo del alcance
Establecer el alcance del SGSI de su organización es un paso esencial para establecer un SGSI eficaz. El alcance informará a las partes interesadas qué áreas de la empresa están cubiertas por el SGSI. A medida que su organización define el alcance de su SGSI, también designará qué áreas están fuera del alcance.
El alcance del SGSI de su organización puede ser tan pequeño o tan grande como usted quiera diseñarlo; el SGSI puede cubrir una pequeña parte de su organización, como una función o servicio específico, o toda la organización.
el alcance está claramente definido e incluye todos los límites, así como el contexto interno y externo relevante para el alcance, y que todos los requisitos de la norma ISO 27001, así como los requisitos aplicables del Anexo A de la norma ISO 27001, se aplican y son operativos dentro del SGSI.
Algunas consideraciones clave para las organizaciones que piensan en el alcance y el diseño de su SGSI:
– El diseño y la adopción de un SGSI no es una decisión exclusiva de TI o de seguridad de la información. Es una decisión estratégica de negocio que necesita apoyar los objetivos estratégicos de la organización, y debe involucrar a la alta dirección y a las partes interesadas internas clave (más sobre esto más adelante en esta guía).
– El SGSI debe ser ágil, ya que tendrá que evolucionar en respuesta a los cambios dentro de la empresa, el panorama de las amenazas y cualquier riesgo asociado que se plantee a la organización.
– Las áreas fuera del alcance del SGSI son inherentemente menos confiables, debido a la falta de supervisión y actividades de mitigación de riesgos. Por lo tanto, puede ser necesaria una consideración adicional y controles de seguridad para cualquier proceso de negocio que se requiera para pasar la información que está protegida y gobernada por el SGSI a través del límite de confianza.
– Las interfaces y dependencias entre las actividades realizadas por su organización y otras organizaciones que son críticas para los procesos de negocio y los servicios -como los vendedores y proveedores de servicios- se consideran en el ámbito del SGSI.
Identificación de activos
Para construir un SGSI eficaz y lograr el cumplimiento de la norma ISO 27001, las organizaciones deben crear un inventario de sus activos de información. La versión actual de la norma ISO 27001 espera que se consideren todos los activos de información, incluyendo cualquier cosa de valor para la organización en la que la información se almacene, procese y sea accesible. Esto incluye la consideración de activos físicos como ordenadores portátiles, servidores y ubicaciones de edificios físicos, así como activos de información como datos, personas y activos intangibles como propiedad intelectual, marca y reputación. Un auditor esperará ver un inventario de activos que incluya todos los activos relevantes dentro del ámbito del SGSI. Cada activo debe tener una clasificación y un propietario que sea responsable de garantizar que los activos estén inventariados, correctamente clasificados y protegidos, y correctamente gestionados cuando se eliminen o destruyan; el propietario también debe garantizar que las restricciones de acceso a los activos y las clasificaciones se revisen periódicamente. Los propietarios de los activos son responsables de establecer los requisitos de protección del activo de acuerdo con las políticas y normas de la organización.
Ejecutar una evaluación de riesgos
El propósito de la evaluación de riesgos es ayudar a las organizaciones a identificar, analizar y evaluar los puntos débiles de sus procesos y procedimientos de seguridad de la información. Un proceso exitoso de evaluación de riesgos ayudará a su organización a
– Identificar y comprender los escenarios específicos en los que la información, los sistemas o los servicios podrían verse comprometidos o afectados
– Determinar la probabilidad o frecuencia probable con la que estos escenarios podrían ocurrir
– Evaluar el impacto que cada escenario podría causar en la confidencialidad, integridad o disponibilidad de la información, los sistemas y los servicios.
– Clasificar los escenarios de riesgo en función del riesgo global para los objetivos de la organización.
Para garantizar una evaluación eficaz de los riesgos, deberá establecer un marco de gestión de riesgos. Este marco debe documentarse en forma de política o procedimiento para garantizar que se utiliza una metodología coherente al analizar, comunicar y tratar los riesgos.
Desarrollar un plan de tratamiento de riesgos
Una vez completada la evaluación de riesgos, su empresa estará en condiciones de desarrollar un plan de tratamiento de riesgos que documente su plan de respuesta, incluyendo las acciones que se llevarán a cabo para abordar cada riesgo identificado durante el proceso de evaluación. Al determinar cómo responder a un riesgo identificado, las empresas se enfrentan a cuatro opciones típicas: aceptación, mitigación, transferencia y evitación. Un plan de tratamiento de riesgos suele contener los siguientes elementos:
– Un resumen de cada uno de los riesgos identificados
– Respuestas que se han diseñado para cada riesgo
– Asignación de un propietario de riesgo para cada riesgo identificado, que es responsable de sus respectivos riesgos
– Propietarios de actividades de mitigación de riesgos asignados, o responsables de realizar las tareas necesarias para abordar los riesgos identificados
– Fecha prevista de finalización de las actividades de tratamiento de riesgos determinadas
A continuación, su empresa determinará los controles que debe implantar para ayudar a tratar los riesgos identificados. El Anexo A de la norma ISO 27001 proporciona un punto de partida ideal; contiene 114 controles, divididos en 14 secciones, cada una de ellas adaptada a un aspecto específico de la seguridad de la información. Al seleccionar los controles del Anexo A, su empresa querrá empezar a rellenar la Declaración de Aplicabilidad (SoA), que es una lista de todos los controles del Anexo A, incluyendo la justificación para la inclusión o exclusión de cada control como parte de la implementación del SGSI de la organización.
Completar la declaración de aplicabilidad (SoA)
La Declaración de Aplicabilidad (SoA) es una parte fundamental del SGSI de su organización. No sólo es uno de los documentos más importantes que necesitará desarrollar para la certificación ISO 27001, sino que, dado que contiene una lista de controles recomendados para ayudar a mitigar los riesgos identificados, también es uno de los documentos más adecuados para ayudar a obtener el apoyo de la dirección para la implementación del SGSI. La Declaración de Aplicabilidad, junto con el documento de alcance, es uno de los primeros documentos que un auditor revisará como parte del proceso de auditoría. La Declaración de Aplicabilidad ayuda a su auditor a entender su organización, así como qué controles se han implementado y deben ser evaluados como parte de su auditoría.
Crear una Política de Seguridad de la Información del SGSI (Política del SGSI)
La Política de Seguridad de la Información del SGSI es el documento interno de más alto nivel de su SGSI. Debe proporcionar un marco que se aplique al establecer, implementar, mantener y mejorar continuamente el SGSI, y debe incluir información sustancial para, o hacer declaraciones generales con referencias apropiadas a, la documentación de apoyo con respecto a lo siguiente
– Objetivos de seguridad de la información
– Liderazgo y compromiso
– Funciones, responsabilidades y autoridades
– Enfoque para evaluar y tratar el riesgo
– Control de la información documentada
– Comunicación
– Auditoría interna
– Revisión de la gestión
– Acciones correctivas y mejora continua
– Violaciones de la política
Su organización también tendrá que crear políticas y procedimientos complementarios para apoyar los requisitos descritos en la norma ISO 27001 para el SGSI, así como los controles del Anexo A.
ISO 27001: La auditoría interna
Antes de someterse a una auditoría ISO con un auditor externo, su empresa deberá realizar primero una auditoría interna. Una auditoría interna implica un examen exhaustivo del SGSI de su organización y es una de las mejores formas de garantizar que el SGSI de su organización está funcionando de forma eficaz y está en consonancia con la norma ISO 27001. En concreto, las organizaciones deben autoverificar la conformidad con los requisitos del Anexo A de la norma ISO 27001 que se consideren aplicables en la Declaración de Aplicabilidad documentada del SGSI. La auditoría interna tiene por objeto ayudar a identificar las lagunas o deficiencias que podrían afectar a su SGSI y afectar a la capacidad de su organización para cumplir sus objetivos previstos, así como para completar con éxito una auditoría inicial o anual de la certificación ISO 27001 y mantener la certificación.
La función de auditoría interna es un requisito bajo la norma ISO 27001 y puede ser un reto para implementar de una manera que cumpla con cada uno de los requisitos establecidos en la norma, especialmente para las organizaciones más pequeñas. Esto se debe a la naturaleza prescriptiva descrita en la norma, y a la necesidad de asignar recursos que sean independientes del desarrollo y mantenimiento del SGSI, y que al mismo tiempo posean las competencias necesarias para realizar la función de auditoría interna.
A diferencia de una revisión de certificación, en la que se debe recurrir a un tercero externo para realizar la auditoría, la auditoría interna puede ser realizada por el personal de su organización o por un tercero independiente, como una empresa de consultoría. Al determinar su enfoque para la ejecución de una auditoría interna, su empresa debe
– Asegurarse de que el auditor es objetivo e imparcial, lo que significa que no hay conflictos de intereses y que existe una adecuada separación de funciones (es decir, el auditor no ha implementado o no opera o supervisa ninguno de los controles auditados).
– Asegúrese de que el auditor está cualificado y es competente en lo que respecta a los procesos y procedimientos de auditoría, así como a la norma ISO 27001.
Los resultados de la auditoría interna, incluyendo las no conformidades, deben ser compartidos con el órgano de gobierno del SGSI de su empresa y con la alta dirección para garantizar una supervisión adecuada y para asegurar que cualquier problema identificado pueda ser abordado adecuadamente.
ISO 27001: La auditoría externa, en dos etapas
El proceso de certificación externa de la norma ISO se divide en una Auditoría de Etapa 1 y una Auditoría de Etapa 2.
La Auditoría de la Etapa 1 consiste en una extensa revisión de la documentación en la que un auditor externo de la ISO 27001 revisa las políticas y los procedimientos de una organización para asegurarse de que cumplen los requisitos de la norma ISO y del SGSI de la organización. Al finalizar la auditoría de la etapa 1, el auditor proporcionará información sobre si la organización está lista para pasar a la auditoría de la etapa 2. Si el auditor determina que el SGSI no cumple con los requisitos de la norma ISO 27001, el auditor normalmente señalará las áreas de preocupación sobre las que la organización certificadora debe demostrar la corrección adecuada antes de pasar a la auditoría de la Etapa 2.
La auditoría de la etapa 2 -también conocida como auditoría principal o de certificación- es la segunda etapa del proceso de auditoría de certificación ISO y sigue a la finalización satisfactoria de la auditoría de la etapa 1. La auditoría de la etapa 2 consiste en El auditor realizará pruebas para asegurarse de que su SGSI se ha diseñado e implantado correctamente y de que funciona de forma adecuada; el auditor también evaluará la equidad e idoneidad de sus controles y determinará si los controles se han implantado y funcionan de forma eficaz para cumplir los requisitos de la norma ISO.
Revisión de la dirección
La alta dirección de una organización es la responsable última del éxito del SGSI de la organización. Para que la alta dirección se asegure de que el SGSI está operando eficazmente y cumpliendo con sus objetivos definidos, es necesario que participe y realice revisiones de la gestión. La revisión de la gestión tiene por objeto garantizar que el SGSI de una organización y sus objetivos siguen siendo apropiados y eficaces, teniendo en cuenta el propósito de la organización, los problemas y los riesgos en torno a sus activos de información. La revisión por la dirección tiene el propósito crítico de establecer el tono y las expectativas de la organización en relación con la implementación y el mantenimiento de buenas prácticas de seguridad de la información.
Las revisiones de la gestión deben planificarse previamente y llevarse a cabo con la suficiente frecuencia como para garantizar que el SGSI siga funcionando con eficacia y logre los objetivos de la empresa. La norma ISO 27001 establece que las revisiones deben tener lugar a intervalos planificados, generalmente al menos una vez al año y dentro del período de auditoría externa. Sin embargo, dada la rápida evolución de las amenazas a la seguridad de la información y del panorama legal y reglamentario, se recomienda que el órgano de gobierno del SGSI realice reuniones con mayor frecuencia, por ejemplo, al menos trimestralmente, para ayudar a garantizar que el SGSI esté funcionando eficazmente; que la alta dirección permanezca informada; y que cualquier ajuste para hacer frente a los riesgos o las deficiencias pueda aplicarse con prontitud.
Controles y dominios de la ISO 27001
El Anexo A, o ISO/IEC 27002:2013, de la norma ISO 27001 está compuesto por una lista de controles de seguridad que su empresa puede utilizar para mejorar la seguridad de sus activos de información. La ISO 27001 comprende 114 controles divididos en 14 secciones, también conocidas como dominios. Las secciones se centran en la tecnología de la información y más allá, teniendo en cuenta la amplia gama de factores que pueden afectar a la seguridad de su entorno de información. Los 14 dominios de la ISO se centran en cuestiones organizativas, recursos humanos, TI, seguridad física y cuestiones legales. No es obligatorio aplicar la lista completa de controles de la norma ISO 27001, sino que se trata de posibilidades que una organización puede considerar en función de sus necesidades particulares. Utilizando los 114 controles enumerados en el Anexo A, su empresa puede seleccionar los que sean aplicables a las necesidades de su empresa y sus clientes. Los 14 dominios son:
– Políticas de seguridad de la información (A.5)
– Organización de la seguridad de la información y asignación de responsabilidades (A.6)
– Seguridad de los recursos humanos (A.7)
– Gestión de activos (A.8)
– Control de acceso de los usuarios (A.9)
– Cifrado y gestión de la información sensible (A.10)
– Seguridad física y medioambiental (A.11)
– Seguridad operativa (A.12)
– Seguridad de las comunicaciones (A.13)
– Adquisición, desarrollo y mantenimiento de sistemas (A.14)
– Relaciones con los proveedores (A.15)
– Gestión de incidentes de seguridad de la información (A.16)
– Aspectos de la seguridad de la información en la gestión de la continuidad del negocio (A.17)
– Cumplimiento (A.18)
Profundización: Documentos requeridos por la ISO 27001
Los documentos y registros requeridos por la ISO 27001 ISMS incluyen:
– Alcance del SGSI (Cláusula 4.3)
– Política y Objetivos de Seguridad de la Información del SGSI (Cláusulas 5.2 y 6.2)
– Metodología de Evaluación y Tratamiento de Riesgos (Cláusula 6.1.2)
– Declaración de Aplicabilidad (Cláusula 6.1.3d)
– Resultados e informe de la evaluación de riesgos (cláusulas 8.2 y 8.3)
– Plan de tratamiento de riesgos y resultados (cláusulas 6.1.3e, 6.2 y 8.3)
– Pruebas de competencia (revisiones de rendimiento, registros de formación, etc.) (cláusula 7.2d)
– Planificación y control operativo (cláusula 8.1)
– Métricas de seguimiento y medición (KPI) y resultados (cláusula 9.1)
– Evidencia del Programa de Auditoría Interna para incluir el Informe de Auditoría Interna y sus resultados (Cláusula 9.2g)
– Evidencia de las revisiones de la gerencia (notas de reuniones, cronogramas, presentaciones, etc.) (Cláusula 9.3)
– No conformidades identificadas y evidencia de las acciones correctivas tomadas (Cláusula 10.1.f)
– Plan de acción correctiva para las no conformidades identificadas (cláusula 10.1.g)
Los documentos y registros adicionales requeridos en el Anexo A incluyen
– Definición de funciones y responsabilidades de seguridad (cláusulas A.7.1.2 y A.13.2.4)
– Gestión e inventario de activos (cláusula A.8.1.1)
– Uso Aceptable de los Activos (Cláusula A.8.1.3)
– Política de Control de Acceso (Cláusula A.9.1.1)
– Procedimientos Operativos para la Gestión de TI (Cláusula A.12.1.1)
– Registros del Sistema de Actividades de Usuarios, Excepciones y Eventos de Seguridad (Cláusulas A.12.4.1 y A.12.4.3)
– Principios de ingeniería y desarrollo de sistemas seguros (cláusula A.14.2.5)
– Política de seguridad de proveedores y vendedores (cláusula A.15.1.1)
– Procedimiento de respuesta y gestión de incidentes (cláusula A.16.1.5)
– Procedimientos de continuidad del negocio (cláusula A.17.1.2)
– Estatutaria, reglamentaria, y requisitos contractuales (cláusula A.18.1.1)
Además, hay una serie de documentos no obligatorios que se pueden utilizar para aplicar la norma ISO, en particular para abordar los controles de seguridad del Anexo A. Si bien estos documentos no se identifican explícitamente como obligatorios, es una práctica común que los auditores busquen estos documentos para asegurarse de que el SGSI de una organización está bien definido, establecido y está gestionando eficazmente los riesgos. Estos documentos incluyen:
– Procedimiento para el Control de Documentos (Cláusula 7.5)
– Controles para la Gestión de Registros (Cláusula 7.5)
– Procedimiento para la auditoría interna (cláusula 9.2)
– Procedimiento para las acciones correctivas (cláusula 10.1)
– Política de Bring Your Own Device (BYOD) (Cláusula A.6.2.1)
– Política de dispositivos móviles y teletrabajo (cláusula A.6.2.1)
– Política de Clasificación y Manejo de Información y Datos (Cláusulas A.8.2.1, A.8.2.2 y A.8.2.3)
– Política de contraseñas (cláusulas A.9.2.1, A.9.2.2, A.9.2.4, A.9.3.1 y A.9.4.3)
– Política de eliminación y destrucción (cláusulas A.8.3.2 y A.11.2.7)
– Política de seguridad física y procedimientos para trabajar en zonas seguras (cláusula A.11.1.5)
– Política de Escritorio y Pantalla Despejada (Cláusula A.11.2.9)
– Política y procedimientos de gestión de cambios (cláusulas A.12.1.2 y A.14.2.4)
– Política de copias de seguridad (cláusula A.12.3.1)
– Política de Transferencia de Información (Cláusulas A.13.2.1, A.13.2.2 y A.13.2.3)
– Análisis de Impacto en el Negocio (Cláusula A.17.1.1)
– Plan de ejercicios y pruebas (cláusula A.17.1.3)
– Plan de mantenimiento y revisión (cláusula A.17.1.3)
– Estrategia de Continuidad de Negocio (Cláusula A.17.2.1)
Escollos comunes de la ISO 27001 y principales no conformidades
Una no conformidad es el incumplimiento de un requisito de la norma ISO. Si hay requisitos de la norma ISO que su empresa no ha abordado; si su propia documentación ha especificado un proceso que no está siguiendo; o si su empresa no está respetando los requisitos contractuales en sus relaciones con terceros, está pisando el espacio de la no conformidad.
Su auditor ISO utilizará las no conformidades para juzgar la conformidad del SGSI de su empresa con la norma ISO. Un auditor describirá la no conformidad, proporcionará pruebas del problema, hará referencia por cláusula al requisito que no se está abordando adecuadamente y resumirá lo que debe hacerse para cumplir el requisito establecido.
Tanto las no conformidades mayores como las menores pueden registrarse en el proceso de la auditoría de certificación de su empresa. La presencia de una no conformidad mayor significa que una empresa no puede obtener la certificación. Algunos ejemplos de no conformidades mayores son
– Incumplimiento total de un determinado requisito de la norma
– Ausencia de documentación obligatoria
– La ruptura de un proceso o procedimiento
– La acumulación de no conformidades menores en relación con un proceso o elemento de su sistema de gestión, lo que pone de manifiesto un problema mayor
– Uso incorrecto de una marca de certificación, engañando así a los clientes
– Las no conformidades menores que no se resuelven en el plazo previsto para ello.
Una no conformidad menor es cualquier no conformidad que no sea mayor; la designación de una no conformidad menor representa el incumplimiento de un requisito que, por sí solo, no es probable que provoque el fracaso del SGSI de una empresa.
Centrarse en el personal: Su primera línea de defensa
Como se ha comentado anteriormente en esta guía, la seguridad de la información es una responsabilidad que va más allá de los equipos de TI o de seguridad de la información de una empresa. El éxito de la seguridad de la información es un proceso de protección de toda la empresa, por lo que su personal, que opera en toda la empresa, es su primera línea de defensa. Los programas de formación y concienciación de los empleados son, por tanto, una parte fundamental del establecimiento y mantenimiento de un SGSI eficaz y exitoso en su empresa. El personal de todas las facetas de su organización debe ser consciente de las nuevas políticas y procedimientos, por qué son necesarios, cómo pueden garantizar su cumplimiento y qué se espera de ellos para mantener el SGSI. El personal también debe recibir formación para comprender las amenazas comunes a las que se enfrenta su organización y a las que es probable que se enfrenten, y cómo deben responder adecuadamente. La ausencia de actividades de formación y concienciación de los empleados en un sistema de gestión es una razón común para el fracaso del proyecto ISO 27001; deben existir políticas y procesos disciplinarios o de sanción para el personal que no cumpla con los requisitos de la organización en materia de seguridad de la información.