Los roles y responsabilidades ISO 27001 es un tema tratado en la cláusula 5.3 de la norma. Especialmente, el requisito solicita a la alta dirección que se asegure de que los roles, responsabilidades y autoridades sean claros para el sistema de gestión de seguridad de la información.
Lo que ISO 27001 busca es claridad y un enfoque certero en las partes claves del sistema. Esto implica considerar quién es el responsable de modo general y quién lo es en ciertos procesos concretos o quién responde por las prácticas comerciales… La única y la mejor forma de lograrlo es documentando roles y responsabilidades ISO 27001, de tal forma que no se presenten ambigüedades o confusiones y que todo pueda ser comunicado a las partes interesadas pertinentes.
La importancia creciente de la seguridad de la información y el reconocimiento global de ISO 27001 hace que este sea el mejor momento para considerar la formación de auditor interno ISO 27001 como una oportunidad para impulsar una carrera profesional. Y no solamente es beneficiosa para los profesionales del área, sino también en otros campos como TI, Recursos Humanos, Finanzas, e incluso, el área comercial.
Mientras que las organizaciones pequeñas pueden requerir solo un profesional en este rol, las medianas y grandes pueden llegar a necesitar uno o dos, por departamento. Así, se aumenta la responsabilidad y se reducen los riesgos en materia de seguridad de la información dentro de la organización. Entonces la formación de auditor interno ISO 27001 se vuelve imprescindible.
Al igual que sucede con muchos proyectos, comenzar con ISO 27001 es la parte más difícil de la construcción de un sistema de gestión de seguridad de la información. Pero es el principio para obtener la certificación asociada y la garantía de que se está haciendo lo posible por proteger la seguridad de la información de la organización y sus clientes.
Implementar un sistema de gestión de seguridad de la información basado en la norma ISO 27001 siempre requiere su esfuerzo. Pero una checklist para implementar ISO 27001 puede hacer un poco más seguro y simple el camino de la implementación, especialmente en aquellas organizaciones que acaban de comenzar con esta tarea.
Por eso, pensamos que compartir una checklist para implementar ISO 27001, concreta, puntual y de fácil comprensión es una buena ayuda.
El teletrabajo es hoy una opción obligatoria para muchos. La obligatoriedad, sin embargo, no significa que deje de aportar muchos beneficios. Pero para que ello sea así, debe ser un teletrabajo seguro. De lo contrario, puede convertirse en una fuente de riesgos para la seguridad de la información.
ISO 27001 consideró las condiciones de teletrabajo seguro aun antes de la emergencia sanitaria. Actualmente, cuando el teletrabajo se ha convertido en una forma altamente recomendable para operar en muchas organizaciones, es más importante que nunca considerar cuál es la forma de aplicar controles de seguridadpara un teletrabajo seguro.
La gestión de riesgos parece estar diseñada para identificar, evaluar y tratar los efectos negativos de las amenazas. Este enfoque, erróneo, ha llevado a que las oportunidades en ISO 27001 no sean consideradas y, por ello, desaprovechadas. De hecho, pasar por alto las oportunidades es un comportamiento usual no solo en el área de seguridad de la información.
En este caso, nos ocupamos específicamente de las oportunidades en ISO 27001 y de la forma adecuada de considerarlas y tratarlas, a la luz de la norma internacional sobre gestión de riesgos ISO 31000.
Los profesionales de la seguridad de la información que se enfrentan por primera vez a una auditoría suelen tener dudas y preguntas. Estos profesionales pueden necesitar una checklist de auditoría interna para ISO 27001 como apoyo esencial en la tarea. Y, aunque en distinto grado, un profesional experimentado, también puede encontrar en ella algunas ventajas.
Lo primero que debe saber el auditor, antes o después de elaborar una checklist de auditoría interna para ISO 27001 es que este no es un listado inamovible y rígido, sino una herramienta que ha de ser flexible y adaptable a los objetivos y perspectivas del momento.
Checklist de auditoría interna para ISO 27001
No existe una única checklist de auditoría interna para ISO 2700, como tampoco existe un único modelo de auditoría interna. Por eso, quizá crear una lista de verificación de auditoría interna pueda ser una buena opción que se ajuste a las necesidades singulares de la organización.
Para empezar, hay que saber en qué momento del proceso es más oportuno crear esa herramienta y cuándo podremos aplicarla. En este sentido, la auditoría se desarrollaría en los siguientes pasos:
Revisar la documentación: en este paso el auditor revisa todos y cada uno de los documentos obligatorios, exigidos por ISO 27001. Para ello, es preciso que el auditor se familiarice con los requisitos y los procesos del sistema.
Crear la checklist: de modo paralelo a la tarea de revisión de los documentos y aprovechando la inmersión en su contenido, el auditor elabora la lista de verificación.
Planificar la auditoría: la tarea puede llevar al auditor a diferentes áreas y ubicaciones. El plan de auditoría debe establecer cuándo visitar cada una de ellas y cuánto tiempo destinar, dependiendo del número de actividades previstas para cada departamento.
Realizar la auditoría: la labor de auditoría en sí es eminentemente práctica. Se trata de recorrer las instalaciones, verificando la lista, hablando con los empleados, revisando los ordenadores y otro tipo de dispositivos, determinar las condiciones de seguridad física, la implementación adecuada de los controles…Es en este punto en el que el auditor aprovecha al máximo los beneficios de una checklist de auditoría interna para ISO 27001.
Redactar los informes: cuanto más sucinto y puntual mejor. En los informes deben aparecer las no conformidades halladas, pero también los puntos positivos relevantes. La lista de verificación es un buen apoyo en este momento para evitar que algo importante se quede fuera.
Hacer seguimiento: la tarea de auditoría no culmina con la presentación de los informes. El auditor debe verificar que las acciones correctivas propuestas se implementan y que resultan efectivas. Nuevamente, la checklist de auditorìa interna para ISO 27001 resulta muy útil para recordar por qué razón se planteó una no conformidad o se recomendó una determinada acción correctiva.
Como vemos, la lista de verificación puede ser clave en diferentes momentos del proceso. ¿Pero cómo elaborarla? En la creación de una checklist se ha de tener en cuenta uno a uno:
Requisitos del estándar: el listado debe permitir comprobar que se está cumpliendo cada requisito de ISO 27001. Lo ideal es concretar al máximo en relación a la manera en que la empresa, a su modo, ha decido enfocar la conformidad en cada punto con el estándar. Es decir, cada punto de la checklist debe ser fácilmente verificable.
Contenido en políticas y procedimientos y planes: si la política sobre seguridad de la información indica que se debe realizar una copia de seguridad cada seis horas, este debe ser un ítem que forme parte del checklist para ser verificado en su momento.
Además de atender al contenido, es preciso asegurar que la lista en sí sea práctica, equilibrando los siguientes puntos de manera óptima:
Precisión: es necesario que no quede nada fuera de control.
Manejable: a través de la organización en bloques, el orden y la capacidad sintética, la checklist puede quedar recogida en un documento práctico y fácilmente utilizable.
Curso Auditor Interno ISO/IEC 27001:2013 Sistemas de Gestión Seguridad de la Información
La auditoría interna es un requisito de ISO 27001. Es la herramienta que promueve la mejora continua del sistema. Por ello, cualquier herramienta de apoyo puede ser fundamental. Pero, quizá, aún más importante es contar con profesionales formados y cualificados.
La formación, el conocimiento y la capacitación constantes son elementos fundamentales en el éxito de un sistema de gestión. Por ello, desde la Escuela Europea de Excelencia se han diseñado nuevos cursos ISO online con el que los profesionales y las organizaciones puedan aproximarse de manera ágil y cómoda a algunos de los estándares de implementación más común en las organizaciones de todo el mundo.
Los nuevos cursos ISO online de la EEE se enmarcan dentro de una metodología e-learning sostenida por docentes expertos. De ese modo, cada profesional puede aprender a su ritmo y de acuerdo a sus circunstancias, eligiendo los momentos y el espacio que le ofrezcan las condiciones óptimas para alcanzar un aprendizaje de valor.
En algunas organizaciones existe la creencia de que ISO 27001 es un estándar diseñado para la seguridad de la información almacenada en ordenadores o en formatos digitales. La realidad es que la información en papel en ISO 27001 es considerada con la misma prioridad.
Esto significa que la información en papel en ISO 27001 tiene la misma relevancia que la información digital, sin que esto implique que la norma promueva un determinado formato sobre otro. Por ello, la gestión de riesgos en ISO 27001 también debe considerar los documentos en papel.
