La implementación de los requisitos de ISO 27001 implica que las organizaciones tienen en cuenta las mejores prácticas, orientaciones y directrices que ofrece el estándar internacional de seguridad de la información, para proteger sus datos y su información, sea cual sea el medio que la contenga.
Esto último es muy importante. Son muchos los profesionales que creen que la implementación de los requisitos de ISO 27001 sólo es pertinente cuando se trata de información en medios digitales, o cuando los riesgos de ataque cibernético o violaciones de seguridad a los ordenadores y redes de la organización son altos.
No es así. En la práctica, la gran mayoría de las organizaciones buscan proteger su información digital o en medios electrónicos. Es apenas natural; después de todo, atravesamos la tercera década del siglo XXI. Pero, si una organización, por una u otra razón aún deposita su confianza en el papel, o en otro medio análogo, también debe proteger esa información, y para ello, puede recurrir a la implementación de los requisitos de ISO 27001.
Implementación de los requisitos de ISO 27001 – Guía para hacerlo fácil y bien
ISO 27001 se divide en dos partes. La primera recoge 11 cláusulas, según la estructura de Alto Nivel adoptada por otras publicaciones recientes de ISO, entre ellas ISO 45001, ISO 9001 e ISO 14001. La segunda parte, denominada Anexo A, incluye los 114 controles que tan merecida reputación han creado para este estándar.
Este Anexo A de la norma respalda los requisitos de una lista de controles, no obligatorios, que la organización selecciona de acuerdo con sus necesidades y los resultados de sus evaluaciones de riesgos.
Así, el trabajo inicial de implementación de los requisitos de ISO 27001 inicia con la cláusula 4. Veamos:
Cláusula 4 – Contexto de la organización
Un requisito anterior a la implementación del sistema, y que ya se ha adelantado si se ha implementado ISO 9001 o ISO 45001, es establecer el contexto de la organización. Es preciso identificar y considerar los elementos y factores externos e internos, al igual que las partes interesadas. El contexto define por deducción el alcance del Sistema de Gestión de la Información.
Cláusula 5 – Liderazgo
ISO 27001 tiene varias solicitudes en cuanto a liderazgo. El compromiso de la Alta Dirección, como era de esperarse y como es habitual, es el primero. Los objetivos de Seguridad de la Información deben establecerse de acuerdo con los objetivos de negocio. El liderazgo de la Alta Dirección se concreta con la asignación de recursos, y el establecimiento de la política.
La política debe documentarse y comunicarse dentro de la organización y a las partes interesadas. Finalmente, es preciso asignar roles y responsabilidades para cumplir con los requisitos de la norma, medir y monitorear el sistema e informar sobre su desempeño.
Cláusula 6 – Planificación
La planificación del Sistema, y su implementación, requiere realizar una evaluación de riesgos y oportunidades. Los objetivos de Seguridad de la Información deben basarse en una evaluación de riesgos.
Estos objetivos, como ya lo anotamos, se alinean con la estrategia de negocios de la organización. Los objetivos deben comunicarse y promoverse en todos los niveles y áreas de la organización. A partir de la evaluación de riesgos, se diseña un plan de tratamiento basado en los 114 controles del Anexo A.
Cláusula 7- Apoyo
El proyecto de implementación requerirá recursos, participación de empleados, procesos de concientización y cultura, tecnología, formación y capacitación, documentación, entre otros elementos que conocemos como “apoyo”.
Cláusula 8 – Operación
Los procesos, que serán el combustible que mueve el motor que denominamos Sistema de Gestión de la Información, deben planificarse, implementarse, medirse y controlarse. Los requisitos de operación nos solicitan vigilar los procesos, modificarlos si es preciso, medir su efectividad, todo ello, con un enfoque constante en el riesgo.
Cláusula 9 – Evaluación del desempeño
ISO 27001 espera que la organización monitoree el sistema, lo mida, lo analice y lo evalúe. Una buena parte de estos objetivos se alcanzan con la auditoría interna, lo cual no excluye a la Alta Dirección de su obligación de revisar el SGSI.
Cláusula 10 – Mejora continua
Como resultado de auditorías, inspecciones u otro tipo de evaluaciones, establecemos la conformidad o no conformidad con uno, varios o todos los requisitos del estándar. Las no conformidades deben abordarse, tomar las medidas correctivas correspondientes. El proceso de mejora continua se desarrolla con base en un ciclo PDCA – Planificar, Hacer, Verificar, Actuar -, lo cual constituye apenas una recomendación ya que no es obligatorio.
La implementación de los requisitos de #ISO27001 es el primer paso hacia la certificación y hacia un nivel de #SeguridadInformática alto. Aprende cómo hacerlo #SGSI Clic para tuitearImplementación de los requisitos de ISO 27001 – Los controles del Anexo A
Resueltas las cláusulas que van del 4 al 11, gran parte del trabajo de implementación está hecho. Llega el momento entonces de revisar los controles del Anexo A.
Los controles, que sabemos no son vinculantes para todas las organizaciones, ya que cada una elige los que considera de acuerdo con sus evaluaciones de riegos que le son aplicables, se han organizado en forma temática en 14 dominios así:
- Política de Seguridad de la Información. A5.
- Organización de la Seguridad de la Información. A6.
- Seguridad de los Recursos Humanos. A7.
- Gestión de activos. A8.
- Control de acceso. A9.
- Criptografía. A10.
- Seguridad física y ambiental. A11.
- Seguridad de las operaciones. A12.
- Seguridad de las comunicaciones. A13.
- Adquisición, desarrollo y mantenimiento de sistemas. A14.
- Relaciones con proveedores. A15.
- Gestión de incidentes de seguridad de la información. A16.
- Aspectos de seguridad de la información de la gestión de la continuidad del negocio. A17.
- Cumplimiento. A18.
¿Cómo implementar los controles técnicos?
La implementación de los requisitos de ISO 27001 no habrá concluido hasta que se implementen los controles técnicos. Los controles son esas acciones prácticas que implementamos para reducir los riesgos a niveles aceptables. Instalar un antivirus es, por ejemplo, una de ellas. Los controles, que son 114, se agrupan para su implementación en cinco grandes grupos:
- Controles técnicos: que se implementan en los sistemas de información, utilizando componentes de hardware, software y firmware como herramientas de backup, software, antivirus, firmware, etc.
- Controles organizacionales: se trata de reglas o normas a seguir, y el comportamiento que se espera de los usuarios, equipos, software y sistemas. Entre ellos, tenemos las políticas de control y de acceso, las políticas de datos, manuales de procedimiento, entre otros.
- Controles legales: se implementan asegurando que las reglas y los comportamientos esperados sigan y hagan cumplir las leyes, regulaciones, contratos y otros instrumentos legales similares con los que la organización debe alcanzar el cumplimiento.
- Controles físicos: se implementan especialmente mediante del uso de equipos o dispositivos que interactúan físicamente con personas y objetos. Cámaras CCTV, cerraduras, sistemas de alarma, y otros similares.
- Controles de Recursos Humanos: se implementan suministrando formación, conocimientos, capacitación, habilidades y experiencia, para que las personas puedan trabajar con la información y realizar actividades de manera segura. Por ejemplo, formación en concientización, como auditores o expertos en la norma ISO 27001.
Diplomado de Seguridad de la Información ISO/IEC 27001
Las organizaciones requieren profesionales formados para participar activamente en el proyecto de implementación de un Sistema de Gestión de Seguridad de la Información basado en el estándar ISO 27001.
El Diplomado de Seguridad de la Información ISO/IEC 27001 es un programa de excelencia que cumple con este propósito. Pero, además, capacita a sus alumnos para realizar auditorías internas, y evaluar así el rendimiento del sistema.
Con este programa tendrás una triple titulación y estarás habilitado para trabajar en cualquier país de la Unión Europea y de América Latina. No esperes más y proyéctate hacia el futuro. Inicia tu formación ahora.
Pero aún tienes una oportunidad más: consulta si aplicas para una beca Excellence.
