Verificar el cumplimiento de la norma ISO 27001 es un gran desafío para el equipo que ha trabajado en la implementación de un Sistema de Seguridad de la Información, especialmente cuando se debe afrontar la auditoría de certificación.

Diplomado Online: Sistemas de Gestión de Seguridad de la Información con la ISO 27001:2013

La organización, el equipo que trabajó en la implementación del sistema y directores de áreas clave como TI no pueden esperar a que el auditor señale si todo está correcto o qué falta para alcanzar el cumplimiento de la norma ISO 27001. Lo cierto es que el Sistema de Seguridad de la Información debe demostrar el cumplimiento y, para ello, es importante contar con una lista de verificación completa.

Por qué es necesario alcanzar el cumplimiento de la norma ISO 27001

Lo que se busca al implementar un Sistema de Seguridad de la Información basado en la norma ISO 27001 es asegurar la integridad y confidencialidad de los datos y de la información y que este compromiso sea reconocido y aceptado por todas las partes interesadas.

La forma adecuada de conseguirlo es obtener la certificación correspondiente. Para ello, antes es preciso realizar un esfuerzo destinado a garantizar el cumplimiento de la norma ISO 27001.

Cómo garantizar el cumplimiento de la norma ISO 27001

Verificar el cumplimiento de la norma ISO 27001 antes de la auditoría de certificación es una forma de elevar las posibilidades de superar este trámite imprescindible. Para ello, conviene realizar auditorías previas. En ese sentido, el equipo encargado necesita contar con una lista de verificación en la que no quede ningún requisito, solicitud o documento sin comprobar.

La siguiente guía se desarrolla en 17 etapas y recorre el camino de la implementación desde la concepción del proyecto hasta la primera auditoría de seguimiento o mantenimiento, después de obtener la certificación. Es útil no solo para comprobar el cumplimiento de la norma ISO 27001, también es una excelente herramienta de acompañamiento para el equipo implementador.

1. Crear un plan de trabajo

Todos los proyectos importantes necesitan planificación. El equipo necesitará una copia del texto de la norma ISO 27001 y, de forma complementaria, también de ISO 27002. Las tareas que se deben realizar en este primer paso son las siguientes:

  • Crear el plan, de acuerdo con el ciclo PDCA.
  • Establecer los costes de la certificación considerando horas de trabajo, recursos tecnológicos, costes de formación y desarrollo, coste de la certificación, etc.
  • Entender la implementación como un proyecto y, en consecuencia, adoptar herramientas como Tableros Kanban o Diagramas de Gantt.

2. Definir el alcance del sistema de gestión

Algunas organizaciones deciden implementar un SGSI para áreas seleccionadas, una determinada ubicación o solo para algunos procesos. Otras deciden hacerlo para toda la organización, en todas sus ubicaciones y niveles. La decisión no se toma al azar, es preciso considerar problemas de seguridad, puntos críticos o antecedentes, entre otros criterios. En esta fase, los trabajos para asegurar el cumplimiento de la norma ISO 27001 son:

  • Crear un equipo para definir el alcance, formado por miembros de la Alta Dirección y de áreas clave involucradas o con intereses en el SGSI.
  • Hacer una primera lista de controles de seguridad incluidos en el Anexo A que puedan resultar útiles.
  • Comunicar el alcance del sistema a las partes interesadas.

3. Asignar responsabilidades y roles para la implementación

El equipo implementador necesitará empleados con determinadas competencias y conocimientos. Es importante asegurar la presencia de profesionales del área de TI, especialistas en cumplimiento, personal técnico como ingenieros y personas de nivel asistencial. Las tareas son:

  • Seleccionar el equipo de acuerdo con las competencias requeridas.
  • Identificar necesidades de formación y capacitación y resolverlas.
  • Crear la estructura de gobernanza del equipo, comenzando por el líder o director.
  • Asignar las responsabilidades para cada miembro del equipo.
  • Realizar una reunión de inicio de proyecto para comunicar los avances y las expectativas, así como los tiempos en los que se espera culminar el proyecto.

4. Elaborar un inventario de activos de información

Los activos de información son los dispositivos, medios o personas que almacena, transmiten o procesan cualquier tipo de información. Estos activos son el principal objetivo de protección del sistema, y por eso es preciso identificarlos e inventariarlos. Los objetivos para lograr el cumplimiento de la norma ISO 27001 en esta fase son los siguientes:

  • Elaborar un listado con todos los dispositivos o medios utilizados para almacenar, procesar, transmitir, modificar, registrar o comunicar información o datos. Los activos pueden ser físicos o intangibles, objetos o personas.
  • Establecer los propietarios de los activos. Todo activo tiene un propietario, es la persona que lo opera, lo salvaguarda o interactúa con él. El inventario informará sobre el nombre y ubicación del activo, su propietario y su clasificación.
  • Comunicar a todos los interesados y posibles interesados el inventario. El objetivo es obtener retroalimentación para asegurar que todos estén incluidos y que su clasificación y propietario son correctos.

5. Realizar una evaluación de riesgos

La evaluación de riesgos es el paso que mayor minuciosidad requiere cuando se trata de verificar el cumplimiento de la norma ISO 27001. Gestionar los riesgos es el objetivo central del SGSI y para ello es necesario:

  • Crear un marco de gestión de riesgos efectivo, sistemático y coherente. Documentar la tarea.
  • Realizar una actividad de lluvia de ideas para escuchar escenarios teóricos en los que la información puede verse comprometida.
  • Consultar los antecedentes históricos de la organización, las experiencias de organizaciones de la misma industria y los conceptos de expertos para complementar el listado de riesgos.
  • Asignar un nivel de gravedad y de probabilidad de ocurrencia para cada riesgo identificado.
  • Priorizar los riesgos de acuerdo con su impacto y probabilidad de ocurrencia.

6. Crear un registro de riesgos

El registro de riesgos es, en la práctica, la documentación de la tarea efectuada en el paso 5. Este debe cumplir algunos requisitos esenciales:

  • Registrar todos los riesgos detectados en la evaluación.
  • Describir cada riesgo explicando la razón por la que es una amenaza.
  • Asignar el impacto y la probabilidad.
  • Clasificar los riesgos de acuerdo con el área que afectan, los procesos que comprometen u otro criterio relevante.

7. Diseñar un plan de gestión de riesgos y documentarlo

Los riesgos admiten cuatro modos de gestión: eliminar, mitigar, trasladar o compartir o aceptar. El objetivo en este paso es asignar una de ellas a cada riesgo y diseñar una respuesta específica y coherente con la elección. Para ello, los pasos son los que se mencionan a continuación:

  • Elegir una opción de gestión para cada riesgo.
  • Asignar un responsable para la implementación de cada acción de tratamiento.
  • Fijar plazos para la culminación de la etapa de implementación de acciones de tratamiento de riesgos.
  • Realizar seguimiento a la implementación y a la efectividad de las acciones diseñadas e implementadas.
Asegura el cumplimiento de la #NormaISO27001 y la conformidad de tu Sistema de Gestión de Seguridad de la Información con nuestra lista de verificación completa. Share on X

8. Redactar la Declaración de Aplicabilidad

Las acciones de tratamiento o de gestión son diferentes a los controles. ISO 27001 entrega una lista de controles que cumplen esa función. Las organizaciones necesitan elegir en esa lista los controles que utilizará, pero también deben explicar las razones por las que eligen unos y las que justifican la exclusión de otros en un documento llamado Declaración de Aplicabilidad. Las tareas son:

  • Revisar los 93 controles contenidos en el Anexo A.
  • Elegir los controles que son aplicables de acuerdo con los riesgos identificados.
  • Redactar los argumentos considerados para elegir controles y los que sirvieron para descalificar otros.
  • Elaborar la Declaración de Aplicabilidad.

9. Redactar políticas sobre el cumplimiento de la norma ISO 27001

Con una lista priorizada de riesgos y una Declaración de Aplicabilidad, será fácil redactar políticas para garantizar el cumplimiento de la norma ISO 27001. Los pasos son:

  • Asignar un propietario a cada control de seguridad.
  • Diseñar y documentar mecanismos de monitoreo, revisión y control.
  • Crear un programa de auditorías, inspecciones y revisiones que sirva como base para la mejora continua del sistema.
  • Redactar y comunicar las políticas en las que se expresan los objetivos del SGSI, el liderazgo de la Alta Dirección, los roles y responsabilidades y el enfoque basado en el riesgo.

10. Identificar las necesidades de formación y capacitación

Existen diversos tipos de programas de formación que pueden necesitar los empleados: sobre ISO 27001, sobre Seguridad de la Información y sobre técnicas de auditoría. El objetivo, además de garantizar el cumplimiento de la norma ISO 27001, es prevenir una fuga de información o una intromisión abusiva por falta de conocimiento. Las tareas son:

  • Clasificar los empleados entre los que tienen responsabilidades y los que no las tienen.
  • Identificar las necesidades de formación, evaluando los conocimientos mediante diferentes pruebas.
  • Contratar los programas de formación para completar las deficiencias identificadas.
  • Evaluar los niveles de absorción de conocimiento y determinar si son aceptables para verificar el cumplimiento de la norma ISO 27001.
  • Incorporar evaluaciones de conocimientos sobre SI en los procesos de contratación de nuevos empleados o cuando se produce rotación interna de trabajadores.
  • Evaluar de forma periódica el nivel de capacitación mínimo requerido.

11. Revisar la gestión en periodos de tiempo programados

Gran parte de la responsabilidad de verificar el cumplimiento de la norma ISO 27001 recae en la capacidad del sistema para revisarse, evaluarse y actualizarse de forma programadas. Muchos eventos cotidianos, como la actualización de un software, pueden generar nuevos riesgos, por eso es preciso programar revisiones o inspecciones, con los siguientes pasos:

  • Crear el plan de revisión e inspecciones trimestral, semestral o anual. La norma asigna a la Alta Dirección la responsabilidad de realizar una revisión, que también debe ser programada.
  • Documentar y preservar los resultados de las inspecciones.
  • Garantizar accesibilidad de los informes de revisiones para los auditores internos y externos.

12. Verificar la existencia de todos los documentos solicitados por ISO 27001

ISO 27001 requiere documentar algunos procesos y actividades y para otros requiere registros. Es lo que se conoce, en conjunto, como información documentada. Las políticas, la Declaración de Aplicabilidad o el programa de auditorías son, entre otros, documentos obligatorios. Es necesario verificar que todos se hayan generado, garantizar la trazabilidad cuando se actualicen y asegurar la disponibilidad de documentos actuales y el almacenamiento seguro de las versiones caducadas con los pasos siguientes:

  • Revisar la lista de documentos y registros obligatorios en el texto de la norma.
  • Elaborar una lista de verificación solo para estos documentos y registros.
  • Verificar la existencia y la adecuada gestión documental.
  • Crear procesos para garantizar la trazabilidad y la adecuada conservación de versiones antiguas cuando se producen actualizaciones.

13. Realizar auditorías internas

Es el momento de verificar sobre el terreno el cumplimiento de la norma ISO 27001. La auditoría interna es la primera prueba de fuego a la que se enfrenta el SGSI y exige algunos pasos fundamentales:

  • Examinar el cumplimiento de cada uno de los requisitos ISO 27001 contenidos en las cláusulas 4 a 10.
  • Verificar la implementación de los controles elegidos del Anexo A y discriminados en la Declaración de Aplicabilidad.
  • Elegir el equipo que realizará la auditoría, previendo que no se incluya a profesionales que trabajaron en la implementación y confirmando que los auditores posean la formación técnica necesaria.
  • Comunicar los resultados de la auditoría al equipo implementador, los directores de área pertinentes y la Alta Dirección.
  • Abordar los problemas y los hallazgos consignados en la auditoría interna, diseñando e implementando acciones correctivas.
  • Verificar la implementación y la eficacia de las acciones correctivas y, de ser necesario, practicar nuevas auditorías internas hasta verificar el cumplimiento de la norma ISO 27001.

14. Afrontar la auditoría de certificación ISO 27001

La auditoría externa es el colofón del proceso de implementación. Luego vendrán otras actividades también importantes para garantizar la operación del sistema y su sostenibilidad. Pero la certificación ISO 27001, sin duda, es el primero de los hitos en la historia de un SGSI. Para ello hay que dar estos pasos:

  • Elegir un organismo certificador de la lista de avalados por ISO.
  • Solicitar la auditoría de certificación.
  • Afrontar la auditoría.
  • Evaluar las no conformidades o problemas identificados por el auditor externo, si los hay y diseñar las acciones correctivas necesarias.
  • Afrontar una segunda etapa de auditoría en la que el auditor comprueba la implementación de las acciones correctivas y su eficacia.

15. Abordar otras no conformidades

Es poco usual que persistan no conformidades tras la práctica de la segunda etapa de la auditoría de certificación. Si es el caso, es preciso evaluar cada no conformidad, verificar la exactitud de lo consignado por el auditor en el informe y proceder en consecuencia. Las tareas que corresponden son estas:

  • Examinar cada caso con atención, reuniendo todo el equipo y contando con la colaboración de los auditores internos.
  • Seguir los pasos relacionados en el ítem anterior, en caso de que se verifique algún tipo de incumplimiento.
  • Presentar una objeción formal ante el organismo certificador si se determina que la no conformidad es inconsistente e inexistente.

16. Elaborar un programa de auditorías posteriores a la certificación

Para garantizar el cumplimiento de la norma ISO 27001, después de la certificación es necesario elaborar un programa de auditorías. Además, es importante saber que esta es una solicitud de la norma. Para cumplir es necesario:

  • Crear el programa de auditorías anual, semestral o trimestral, según las necesidades de la organización.
  • Realizar las auditorías y resolver los problemas que se reporten en los informes finales.
  • Verificar la mejora continua.

17. Mejorar la capacidad de cumplimiento de la norma ISO 27001

Las organizaciones encuentran dos opciones para mejorar la capacidad de cumplimiento de la norma ISO 27001. La primera es la automatización del sistema, utilizando una plataforma que digitalice la gestión. La segunda es asegurar la formación adecuada de profesionales que se encargarán de tareas prioritarias, como la auditoría interna.

Diplomado Seguridad de la Información ISO/IEC 27001

El cumplimiento de la norma ISO 27001 se verifica con la auditoría interna del SGSI. El Diplomado de Seguridad de la Información ISO/IEC 27001 tiene por objetivo formar a profesionales expertos en el estándar, en cada uno de sus requisitos, en la implementación, seguimiento y también en la auditoría interna.

De hecho, los alumnos que superan este Diplomado tienen la oportunidad de aplicar al certificado ERCA, que los faculta para ejercer como auditores internos de SGSI en cualquier país de Europa o de América Latina.

Este es un programa que representa una gran oportunidad para dar un salto hacia un futuro profesional prometedor. Puedes iniciarlo de forma inmediata, además, la Escuela Europea de Excelencia ofrece un interesante programa de becas sociales. Consigue más información aquí.

New Call-to-action