Con las brechas de seguridad de la información, ahora la nueva normalidad, los equipos de seguridad están obligados a tomar medidas específicas para reducir el riesgo de sufrir una brecha dañina. La norma ISO 27001 representa una forma eficaz de reducir esos riesgos.
En este blog, explicamos cómo puede obtener la certificación ISO 27001 y echar un vistazo al proceso de certificación.
Prepare
Obtenga una comprensión de ISO 27001
La lectura de la norma proporciona una excelente base para ISO 27001 y sus requisitos. Hay varias maneras de mejorar tu habilidad sobre ISO 27001:
- Lea un informe técnico gratuito sobre la Norma
- Lea la información gratuita de Gobierno de TI sobre ISO 27001 y cómo comenzar
- Compre una copia de la Norma (no está disponible gratuitamente)
- Es posible que desee asistir a un curso introductorio de formación básica ISO 27001 en línea
Nombrar a un campeón ISO 27001
Conocer la ISO 27001 es una forma útil de familiarizarse con el proceso de certificación, pero necesita un verdadero experto que lo ayude a completar el proceso.
Puede ser alguien dentro de su organización o un tercero para administrar el proceso. De cualquier manera, deben tener experiencia en la implementación de un ISMS (sistema de gestión de seguridad de la información) y comprender cómo implementar sus requisitos dentro de su organización.
Si no tiene experiencia interna, es posible que desee inscribirse en el curso de capacitación en línea para implementadores potenciales ISO 27001.
Soporte seguro de alta dirección
Ningún proyecto puede tener éxito sin la aceptación y el apoyo de los directivos de la organización.
Un análisis de deficiencias, que comprende una revisión exhaustiva de todas las disposiciones de seguridad de la información existentes en relación con los requisitos de la norma ISO/IEC 27001:2013, presenta un buen punto de partida.
Un análisis exhaustivo de las deficiencias debería incluir, idealmente, un plan priorizado de acciones recomendadas y orientación adicional para determinar el alcance de sus SGSI.
Los resultados del análisis de brechas se pueden proporcionar para desarrollar un sólido caso de negocio para la implementación de ISO 27001.
Establecer el contexto, el alcance y los objetivos
Es esencial definir los objetivos del proyecto y del SGSI desde el principio, incluidos los costos y el calendario del proyecto. Tendrá que considerar si utilizará el apoyo externo de una consultoría o tendrá la experiencia interna requerida.
Es posible que desee mantener el control de todo el proyecto mientras confía en la asistencia de un mentor en línea dedicado en las etapas críticas del proyecto.
El uso de un mentor en línea le ayudará a garantizar que su proyecto se mantenga en el buen camino y le ahorrará el gasto asociado de usar consultores de tiempo completo durante la duración del proyecto.
También deberá desarrollar el alcance del SGSI, que puede extenderse a toda la organización o solo a un departamento o ubicación geográfica específicos.
Al definir el alcance, deberá tener en cuenta el contexto organizacional y las necesidades y requisitos de las partes interesadas (partes interesadas, empleados, gobierno, reguladores, etc.).).
El ‘Contexto’ considera los factores internos y externos que podrían influir en la seguridad de la información de su organización. Incluye aspectos como la cultura organizacional, los criterios de aceptación de riesgos, los sistemas existentes, los procesos, etc.
(Considere un paquete todo incluido de Hágalo usted mismo que incluye cinco días de consultoría estructurada, además de herramientas, capacitación y software).
Establecer un marco de gestión
El marco de gestión describe los procesos que una organización debe seguir para cumplir con sus objetivos de implementación ISO27001.
Estos procesos incluyen la afirmación de la responsabilidad del SGSI, un calendario de actividades y auditorías periódicas para respaldar un ciclo de mejora continua.
Realizar una evaluación del riesgo
Aunque la norma ISO 27001 no prescribe una metodología específica de evaluación del riesgo, sí exige que la evaluación del riesgo sea un proceso formal.
Esto implica que el proceso debe ser planificado, y los datos, análisis y resultados deben ser registrados.
Antes de realizar una evaluación de riesgos, debe establecer sus criterios de seguridad de referencia. Esto se refiere a los requisitos comerciales, legales y reglamentarios de la organización, así como a sus obligaciones contractuales relacionadas con la seguridad de la información.
vsRisk Cloud, el software de evaluación de riesgos más sencillo y eficaz, proporciona el marco y los recursos para llevar a cabo una evaluación de riesgos conforme a la norma ISO 27001.
Implementar controles para mitigar riesgos
Una vez que se hayan identificado los riesgos relevantes, la organización debe decidir si tratar, tolerar, eliminar o transferir los riesgos.
Es crucial documentar todas las decisiones con respecto a las respuestas al riesgo, ya que el auditor querrá revisarlas durante la auditoría de registro (certificación).
El SoA (Declaración de Aplicabilidad) y el RTP (plan de tratamiento de riesgos) son dos informes obligatorios que deben presentarse como prueba de la evaluación de riesgos.
Realizar capacitación
La Norma requiere que se inicien programas de sensibilización del personal para crear conciencia sobre la seguridad de la información en toda la organización.
También deberá implementar políticas que orienten a los empleados hacia buenos hábitos. Esto podría incluir una política de escritorio limpio y el requisito de bloquear las computadoras cada vez que salgan de sus estaciones de trabajo.
Un curso de aprendizaje electrónico de sensibilización del personal de toda la empresa es la forma más fácil de transmitir la filosofía detrás de la Norma y lo que los empleados deben hacer para garantizar el cumplimiento.
Revisar y actualizar la documentación requerida
La documentación es necesaria para dar soporte a los procesos, políticas y procedimientos de ISMS necesarios. Sin embargo,
Compilar políticas y procedimientos a menudo es una tarea bastante tediosa y desafiante. Afortunadamente, las plantillas de documentación, desarrolladas por expertos en ISO 27001, están disponibles para hacer la mayor parte del trabajo por usted.
Con formato y totalmente personalizables, estas plantillas contienen orientación de expertos para ayudar a cualquier organización a cumplir con todos los requisitos de documentación de la norma ISO 27001.
como mínimo, el Estándar requiere la siguiente documentación:
- El alcance del SGSI
- Política de seguridad de la información
- Proceso de evaluación de riesgos de seguridad de la información
- Proceso de tratamiento de riesgos de seguridad de la información
- Declaración de aplicabilidad
- Objetivos de seguridad de la información
- Evidencia de competencia
- Información documentada determinada por la organización como necesaria para la eficacia del SGSI
- Planificación y control operativos
- Resultados de la evaluación de riesgos de seguridad de la información
- Resultados del riesgo de seguridad de la información tratamiento
- Pruebas de la supervisión y medición de los resultados
- Un proceso de auditoría interna documentado
- Pruebas de los programas de auditoría y de los resultados de la auditoría
- Pruebas de los resultados de las revisiones de gestión
- Pruebas de la naturaleza de las no conformidades y de las medidas adoptadas posteriormente
- Pruebas de los resultados de las medidas correctivas adoptadas
Mida, supervise y revise
La norma ISO 27001 admite un proceso de mejora continua. Esto requiere que el desempeño del SGSI se analice y revise constantemente para verificar su eficacia y cumplimiento, además de identificar mejoras en los procesos y controles existentes.
Realizar una auditoría interna
ISO / IEC 27001: 2013 requiere auditorías internas del SGSI a intervalos planificados. El conocimiento práctico del proceso de auditoría principal también es crucial para el gerente responsable de implementar y mantener el cumplimiento de la norma ISO 27001.
El curso de Auditor Principal Certificado en línea ISO 27001 le enseña a planificar y ejecutar una auditoría de seguridad de la información efectiva de acuerdo con ISO 27001:2013.
También le enseña a dirigir un equipo de auditores y realizar auditorías externas. Si aún no ha seleccionado un registrador, es posible que deba elegir una organización adecuada para este propósito.
Las auditorías de registro (para lograr un registro acreditado, reconocido a nivel mundial) solo pueden ser realizadas por un registrador independiente acreditado por la autoridad de acreditación pertinente de su país.
Auditorías de registro/certificación
Durante la Primera auditoría, el auditor evaluará si su documentación cumple con los requisitos de la norma ISO 27001. También señalarán las áreas de inconformidad y las posibles mejoras del sistema de gestión.
Una vez que se hayan realizado los cambios necesarios, su organización estará lista para su auditoría de registro de Etapa 2.
Auditoría de certificación
Durante una auditoría de la segunda etapa, el auditor llevará a cabo una evaluación exhaustiva para establecer si cumple con la norma ISO 27001.
¿Cuánto tiempo se tardará en obtener la certificación?
El proceso de implementación de ISO 27001 dependerá del tamaño y la complejidad del sistema de gestión, pero en la mayoría de los casos, las organizaciones pequeñas y medianas pueden esperar completar el proceso en un plazo de 6 a 12 meses.
Soporte de certificación con IT Governance USA
¿Está listo para comenzar su proyecto ISO 27001? Si es así, nuestra gama de paquetes de implementación son el punto de partida perfecto.
Con una combinación de herramientas, software, guías y capacitación basada en calificaciones con hasta 40 horas de consultoría en línea, recibirá la orientación experta que necesita para cumplir con los requisitos de su organización.
Le ayudarán a reducir el tiempo y el esfuerzo necesarios para implementar un SGSI, así como a eliminar los costos de trabajo de consultoría, viajes y otros gastos asociados con la consultoría tradicional.
Una versión de este blog se publicó originalmente el 13 de marzo de 2019.