Implementar un sistema de gestión de seguridad de la información basado en la norma ISO 27001 siempre requiere su esfuerzo. Pero una checklist para implementar ISO 27001 puede hacer un poco más seguro y simple el camino de la implementación, especialmente en aquellas organizaciones que acaban de comenzar con esta tarea.
Por eso, pensamos que compartir una checklist para implementar ISO 27001, concreta, puntual y de fácil comprensión es una buena ayuda.
Checklist para implementar ISO 27001
La implementación de un sistema de gestión de seguridad de la información que garantice la integridad y confidencialidad de la información y se ajuste a las necesidades de la organización, requiere seguir estos pasos:
1. Obtener el compromiso de la alta dirección
La alta dirección debe comprometerse con el proyecto de implementación. La primera evidencia de ese compromiso es la asignación de los recursos suficientes, de personal, financieros y de tiempo. Igualmente es preciso definir las necesidades de formación y capacitación, así como la conveniencia de contratar un software para automatizar la gestión.
Además, al implementar controles se necesitan herramientas como cortafuegos, enrutadores, servidores y antivirus, entre otras, que también deberán ser proporcionados con aprobación de la alta dirección.
2. Definir el alcance
Definir el alcance ayuda a obtener una idea de la escala real del proyecto. Esto es útil para conocer un presupuesto de recursos definitivo, pero también para comprender mejor el contexto y las particularidades de la implementación.
La definición del alcance del sistema de gestión de seguridad de la información debe considerar:
- Las necesidades del negocio y sus objetivos comerciales.
- El número de ubicaciones físicas.
- La estructura de la organización.
- La existencia de teletrabajadores o trabajadores que desempeñan funciones en lugares diferentes a las instalaciones, que no sean sus hogares.
- Las limitaciones del sistema.
- Número, Tipo y clase de dispositivos para el tratamiento y transmisión de información: ordenadores de escritorios, portátiles, teléfonos inteligentes, tabletas, servidores…
- Contexto interno y externo de la organización.
- Requisitos de las partes interesadas.
Un alcance pequeño no necesariamente significa una implementación fácil, por lo que en ningún caso este punto debe ser usado para tratar de limitar el proyecto con el objetivo de adecuarlo a una cifra de costes. Es preciso tener en mente que definir correctamente el alcance es un paso importante para garantizar la seguridad de la información.
3. Conformar el equipo de trabajo
Con el alcance definido, el siguiente paso es reunir al equipo que tendrá la responsabilidad de conducir el proyecto hasta la obtención de la certificación, o un poco más allá, si la alta dirección lo considera oportuno.
El líder del equipo debe contar con la experiencia, la formación y las competencias que requiere un proyecto de esta importancia. La conformación del equipo puede requerir:
- Contratar nuevos miembros, temporales o permanentes.
- Asignar responsabilidades.
- Contratar consultores externos.
- Realizar programas de formación.
El tamaño y la estructura del equipo corresponde al alcance definido, las dimensiones y la complejidad de la organización.
Para las organizaciones que se inician en la #SeguridadInformación una checklist para implementar #ISO27001 resulta muy útil. Ofrecemos una. Share on X4. Crear un plan de implementación
El siguiente punto de la checklist para implementar ISO 27001 es la elaboración de un plan de implementación. En dicho plan se considera la duración del proyecto, el presupuesto asignado y el número de personas que lo conforman. Se acompaña de un cronograma de actividades, entre las cuales podemos mencionar las siguientes:
- Redactar una declaración de aplicabilidad: este es un documento en el que se indican los controles de ISO 27001 que actualmente se aplican en la organización, y cuáles se considera, en primera instancia, que deben añadirse.
- Política de Seguridad de la Información: es el documento que especifica la política de la organización con respecto a la seguridad de la información y se alinea con los objetivos generales de la misma.
- Definición de los mecanismos de monitoreo y medición y de la efectividad de los controles.
- Definición de las necesidades de capacitación y formación, y de cuáles son los empleados que deben recibirla.
- Lista de los documentos requeridos por ISO 27001 y que no podrán faltar en una auditoría de certificación.
- Plan de tratamiento de riesgos: que incluye la identificación de los riesgos, su evaluación y priorización, así como las acciones de tratamiento propuestas.
- Programa de auditorías: se establece el número de auditorías internas antes de afrontar la de certificación, sus fechas y el alcance de las mismas.
El plan de implementación es la carta de navegación del proyecto. Gracias a él, se puede estimar la duración del proyecto y la fecha de conclusión de la primera fase, con la que se logra la obtención de la certificación.
6. Realizar un análisis de brechas
Todas las organizaciones, por pequeñas y básicas que sean, desarrollan naturalmente procesos para proteger su información. Utilizar un antivirus, por ejemplo, es una de ellas, aunque sea algo habitual y cotidiano. El análisis de brechas, tomando como guía el plan de implementación, determina lo que ya existe y cumple con los requisitos de ISO 27001 y lo que falta para alcanzar la conformidad total.
Consiste en una evaluación objetiva del estado de la organización, de sus controles actuales y de lo que necesita para garantizar la seguridad de la información. Así, los profesionales del área saben de dónde se parte, lo que falta y cuánto falta para alcanzar el objetivo.
7. Evaluar los riesgos
Este punto de la checklist para implementar ISO 27001 es esta la tarea medular y más compleja que se desarrolla durante la implementación. Y lo es porque implica identificar los activos de la organización vinculados al proyecto, las amenazas, las vulnerabilidades, los riesgos, su impacto y su probabilidad.
En etapas anteriores hubo oportunidad de avanzar en este punto. Pero este es el momento propicio para concluir la tarea y obtener una visión panorámica de riesgos completa y ajustada al contexto de la organización. No olvidemos que la gestión de riesgos es una labor dinámica, constante y cíclica sobre la que se deberá volver una y otra vez.
8. Implementar controles, procedimientos y programas de capacitación y sensibilización
Aquí es donde se pone en práctica todo lo planeado y proyectado. La definición de los controles a utilizar, descritos en el Anexo A de la norma, y de acuerdo con la evaluación de riesgos, es lo que garantiza la seguridad de la información.
También es el paso que más recursos demanda. Pero, a menudo, también requiere crear una cultura de seguridad de la información que probablemente necesite procesos de sensibilización y programas de capacitación. Pues es preciso que los empleados, en todos los niveles, conozcan y entiendan la importancia del proyecto y cuál debe ser su respuesta ante ciertas situaciones de vulnerabilidad.
9. Monitoreo y auditoría
Es preciso realizar un seguimiento continuo del funcionamiento del sistema para comprobar que lo planificado e implementado es realmente eficaz a través de procesos de medición. Pero además, es necesario llevar a cabo auditorías internas donde se inspeccionen los procesos y documentos con el objetivo de comprender los problemas del sistema y ponerlos remedio a través de acciones correctivas apropiadas. Estas también deberán someterse a un seguimiento y considerarse en próximas auditorías para promover la mejora continua del sistema.
Una vez el sistema ha sido auditado internamente y se encuentra en un estado avanzado de cumplimiento es posible solicitar la auditoría de certificación.
Experto en Auditoría Interna ISO/IEC 27001:2013 SGSI + Método de Auditoría Remotas de Sistemas de Gestión
La auditoría interna es un proceso que refrenda el trabajo hecho durante meses. Y para ello, la organización necesita contar con auditores expertos, certificados y competentes que además conozcan los nuevos métodos en auditoría como es la auditoría remota. Con el programa Experto en Auditoría Interna ISO/IEC 27001:2013 SGSI + Método de Auditoría Remotas de Sistemas de Gestión es muy fácil convertirse en uno de ellos a través de una cómoda metodología e-learning y con el apoyo de expertos de talla internacional.