Mantener el cumplimiento en ISO 27001 es el reto tras implementar y certificar el SGSI. Es en ese momento cuando inicia el verdadero trabajo de gestión y control para los profesionales en el área de Seguridad de la Información.
La buena noticia es que en la norma, y en la documentación que se ha realizado para implementar el SGSI, se encuentran las instrucciones sobre lo que hay que hacer y en qué puntos concentrar la atención.
Para mantener el cumplimiento en ISO 27001 el estándar establece los controles adecuados para cumplir con los requisitos del Sistema de Gestión de Seguridad de la Información.
A continuación, explicamos cuáles son esos controles y la mejor forma de implementarlos y ejecutarlos para asegurar el cumplimiento en ISO 27001.
Cumplimiento en ISO 27001 – Los controles de auditoría
Una vez certificado el sistema de gestión de seguridad de la información conforme a ISO 27001, el organismo de certificación vigilará de cerca el Sistema, y lo someterá a auditorías externas periódicas durante los primeros tres años de vida.
La organización por su parte también deberá realizar auditorías internas de seguridad de la información efectivas. Estas son una parte importante para mantener el cumplimiento en ISO 27001.
Para saber qué examinará un auditor externo y qué debe vigilar la organización, en la segunda parte del Anexo A de la norma, encontramos un conjunto de controles que ayudan a cumplir con los requisitos y el cumplimiento en ISO 27001. No todos los controles son obligatorios. La organización debe seleccionar los que mejor se adapten a sus necesidades específicas, y tiene la libertad de complementarlos o asociarlos con otros controles según lo crea necesario.
Veamos cuáles son estos controles y cuál es la función de cada uno de ellos:
- Políticas de seguridad de la información: garantiza que las políticas se escriban bien y se revisen de acuerdo con las prácticas de seguridad y las orientaciones de la Alta Dirección.
- Organización de la seguridad de la información: para asignar responsabilidades en tareas específicas.
- Seguridad de recursos humanos: garantiza que empleados, contratistas y otras partes interesadas entienden sus responsabilidades.
- Gestión de activos: garantiza que las organizaciones identifiquen sus activos de información y definan las responsabilidades de protección adecuadas.
- Controles de acceso: para que los empleados solo tengan acceso a información relevante para el cumplimiento de sus funciones.
- Criptografía: para cifrar datos a fin de garantizar la confidencialidad y la integridad.
- Seguridad física y ambiental: para evitar el acceso físico no autorizado o la interferencia a las instalaciones o los datos, y controlar el equipo para evitar la pérdida, el daño o robo de software, hardware y archivos físicos.
- Seguridad de las operaciones: para proteger las redes de información.
- Adquisición, desarrollo y mantenimiento del sistema: para proteger tanto los sistemas internos como los que brindan servicios a través de redes públicas.
- Relaciones con proveedores: para la adecuada gestión de acuerdos contractuales con terceros.
- Gestión de incidentes de seguridad de la información: garantiza una gestión eficaz, con informes claros y transparentes sobre los incidentes de seguridad.
- Aspectos de seguridad de la información de la gestión de la continuidad del negocio: para minimizar las interrupciones del negocio.
- Cumplimiento: para garantizar el cumplimiento de las leyes, normas, reglamentos y acuerdos contractuales pertinentes, y mitigar los riesgos de incumplimiento.
¿Cómo mantener el cumplimiento en ISO 27001?
En el día a día, mantener el mismo nivel de cumplimiento certificado en la auditoría de certificación supone un reto para muchas organizaciones. La rotación de empleados, por ejemplo, es un factor de riesgo para el cumplimiento, que obliga a identificar necesidades de capacitación y formación y subsanarlas.
Para ello, será necesario evaluar de forma periódica las prácticas que siguen los empleados, formarlos acerca de nuevas amenazas y realizar auditorías internas. Rutinas que deberían tener una periodicidad mínima de un año.
Si bien, en la práctica, los profesionales encargados del Sistema deben programar reuniones semanales y mensuales para revisar problemas o puntos críticos, discutir actualizaciones de la documentación, y revisar otros temas como estos:
- Revisar el avance del sistema, tratando la Gestión como un proyecto único.
- Definir el alcance de aplicación de la norma en las diferentes áreas de la organización.
- Escribir o actualizar una política sobre seguridad cibernética.
- Definir nuevas metodologías para evaluar los riesgos.
- Realizar evaluaciones de riegos periódicas e implementar acciones de tratamiento para las amenazas.
- Escribir una declaración de aplicabilidad para determinar los controles que sean aplicables.
- Redactar un plan para el tratamiento de riesgos, destinado a las partes interesadas, para que conozcan y comprendan cómo se mitigan los peligros.
- Definir los mecanismos e indicadores de medición de los controles.
- Implementar los controles que sean obligatorios y apliquen a la organización.
- Establecer las necesidades de capacitación e implementar los programas adecuados.
- Determinar la necesidad de obtener soporte y apoyo externo para la gestión si se considera apropiado.
- Incorporar la operación del Sistema como parte rutinaria en todas las áreas de la organización.
- Medir, supervisar y monitorear el rendimiento del Sistema.
- Crear un plan de auditoría de seguridad de la información y velar por que se ejecute.
- Revisar los resultados de auditoría.
- Diseñar e implementar acciones correctivas y preventivas.
- Revisar la efectividad de las acciones implementadas.
Estas acciones, sumadas a la elección e implementación de los controles adecuados, facilitarán mantener el cumplimiento en ISO 27001. Y para llevarlo a cabo de forma adecuada, formación y capacitación son elementos esenciales.
Diplomado en Seguridad de la Información – ISO 27001
Desde la etapa de preparación y planificación de la implementación, hasta después de obtener la certificación, las organizaciones necesitan profesionales con el conocimiento y la experticia necesarios para mantener el Sistema operando de forma eficaz.
Pero también se requiere que estos profesionales tengan la capacidad para auditar y evaluar el funcionamiento del Sistema de Gestión de Seguridad de la Información. Habilidades y conocimientos que los profesionales del área adquieren a través del Diplomado en Seguridad de la Información – ISO 27001.
Este programa de excelencia además ofrece un interesante valor agregado: titulación de Diplomado de la Escuela Europea de Excelencia, de Auditor Interno de Gestión de Seguridad de la Información y la posibilidad de obtener la certificación ERCA.
Para este Diplomado, la Escuela Europea de Excelencia te apoya con una beca del programa Excellence: comprueba si puedes aplicar aquí.