martes, 5 de marzo de 2019

9 PASOS PARA IMPLEMENTAR LA NORMA ISO 27001

Es de actualidad, la publicación de una nueva Ley de protección de datos y de la nueva ISO 31000:2018 de Gestión de Riesgos, entrando en acción todo lo relacionado con la seguridad de la información, especialmente, la norma ISO 27001 de Sistema de Gestión de la Seguridad de la Información.

Siendo la norma ISO 27001 una norma de aplicación voluntaria, es cierto que aquellas empresas que a día de hoy la tuvieran implementada, tendrán mayores facilidades para adaptarse a los cambios que estas publicaciones han conllevado.
Aunque existen marcadas diferencias entre la norma 27001 y la nueva norma ISO 31000, ambas tienen requisitos que son compatibles.

Podemos encontrar multitud de razones para implementar en nuestra empresa el estándar internacional o norma ISO 27001 de Sistema de Gestión de la Seguridad de la Información. Entre ellas, que en él se describen las mejores prácticas para mantener segura la información de una empresa u organización pero, además, sirve de referencia y ayuda para que las organizaciones mejoren su seguridad, y a la vez cumplan con toda la legislación referente a seguridad cibernética, mejorando y protegiendo la imagen de la empresa.

Si bien es cierto, implementar la norma ISO 27001, así como cualquier otra de estas características, requiere invertir gran cantidad de tiempo y esfuerzo, y en función de la madurez de la empresa, bastante dinero.

Es por ello, que este post lo dedicaremos a explicar cómo implementar la norma ISO 27001 a través de nueve pasos muy sencillos y fáciles de comprender.

A continuación, se describirán los nueves pasos esenciales para llevar a cabo la implementación de la norma ISO 27001 para cualquier empresa u organización, siempre considerando las circunstancias particulares y el sector al que pertenece la empresa.

1 – Director del proyecto

Antes de comenzar con la implementación de la norma ISO 27001, es evidente que debe nombrarse un líder para el mismo, el cual trabajará con el resto de miembros y con el personal para inicialmente, generar un mandato de proyecto.

Por tanto, reunirse y generar un responsable o director del proyecto de implantación de la norma ISO 27001. Para ello se tiene que dar respuesta a preguntas como:
  • ¿Qué esperamos lograr?
  • ¿Cuánto tiempo tardará?
  • ¿Cuánto costará?
  • ¿Tiene soporte de gestión?
2 – Inicio del proyecto

A través del mandato de proyecto previamente definido para el proyecto de implantación de la norma ISO27001, se comienza a definir una estructura más detallada, especificando cuáles van a ser los objetivos de seguridad de la información, cuál va a ser el equipo, la planificación y realizar un registro de los riesgos inherentes al proyecto.

3 – Iniciación del Sistema de Gestión de Seguridad de la Información

Y es aquí, donde se elige qué metodología va a seguirse para implementar el Sistema de Gestión de Seguridad de la Información basado en la norma ISO 27001. Concretamente, en dicha norma sugiere adoptar un enfoque a procesos para la mejora continua, lo cual resulta en la actualidad de lo más efectivo para lograr la mejora continua. No obstante, no especifica qué metodología adoptar, permitiendo a las organizaciones utilizar aquel que mejor se adapte a su organización.

4 – Marco de gestión

Debe identificarse el marco en el cual va a implementarse el SG-SI según la norma ISO 27001. Es decir, definir el alcance del sistema y su contexto, considerando todos los dispositivos móviles y teletrabajadores.

5 – Criterios básicos de seguridad

Como es obvio, a continuación, deben identificarse las necesidades básicas de seguridad que tiene la empresa. Son, por tanto, aquellos requisitos, medidas y/o controles necesarios en las negociaciones o procesos.

6 – Gestión de riesgos

A través de la norma ISO 27001, las organizaciones definen todos y cada uno de los procesos involucrados en la gestión de riesgos, estableciendo su propia gestión de riesgos. Para ellos no hay una metodología concreta, pero independientemente de cuál se elija, se deben considerar cinco aspectos:
  • Establecer un marco para la evaluación de riesgos.
  • Identificación de los riesgos.
  • Análisis de los riesgos.
  • Evaluación de los riesgos.
  • Selección de formas de gestionar los riesgos.
7 – Planificación de la Gestión del Riesgos

Consiste en el establecimiento de los controles de seguridad. Evidentemente, se procede con la verificación de su efectividad y del correcto conocimiento que sobre dichos controles tiene el personal, conociendo sus obligaciones de seguridad y sabiendo operar con ellos.

Para ello, hay que establecer el nivel de competencia que será necesario, por lo que se aconseja realizar un análisis de competencias, y desarrollar un proceso para determinar, revisar y mantenerlas, para que se cumplan los objetivos del SG-SI según la norma ISO 27001.

8 – Medir, controlar y revisar

Como en todos los Sistemas de Gestión, existe una etapa en la cual se tiene que medir, controlar y revisar el desempeño del sistema, y su alineación con los objetivos previsto en la anterior etapa.

9 – Certificación

La certificación de la norma ISO 27001, al igual que todas las de esta familia de normas ISO, no es obligatoria. Si bien es cierto, que carecería de sentido llegar a este punto sin procurar la certificación y mejorar la imagen de la organización.

De manera resumida, este paso trata de solicitar a un organismo de certificación acreditado, que son los encargados de verificar que el SG-SI según la norma ISO 27001 cumple todos los requisitos.

Es decir, se procede con una auditoría externa que, si es positiva, dará lugar a la adquisición del certificado de la norma ISO 27001 y el correspondiente sello para la empresa.

Tomado de: https://www.isotools.org