La certificación ISO/IEC 27001 avala la eficacia de un Sistema de Gestión de Seguridad de la Información basado en el más reconocido estándar a nivel global. Adoptado por todo tipo de organizaciones, el marco de seguridad ofrecido por ISO 27001 aporta competitividad a las empresas que lo implementan y confianza en sus terceros, socios, clientes o inversores.
La implementación del Sistema de Gestión de Seguridad de la Información es un proceso complejo que culmina con la certificación ISO/IEC 27001. Las organizaciones que recién incursionan en el mundo de la Seguridad de la Información encontrarán muy útil esta guía de diez pasos para alcanzar el objetivo final: la certificación ISO/IEC 27001.
¿Cómo preparar el Sistema de Gestión de Seguridad de la Información para la certificación ISO/IEC 27001?
Antes de iniciar el camino hacia la certificación ISO/IEC 27001 es importante asegurar el aval y el compromiso de la Alta Dirección. Esto garantiza los recursos humanos, tecnológicos y financieros que demandará la implementación.
Con la aceptación de la Alta Dirección, el proceso inicia con:
1. Elaborar un análisis de brechas
Aunque la Seguridad de la Información no se haya asumido como un proyecto formal, la organización habrá tomado algunas medidas, implementado algunos controles o divulgado directrices u orientaciones sobre el tema. Este es el punto de partida, significativo para algunas organizaciones, no tanto para otras, pero al final es un inicio. El análisis de brechas mostrará lo que falta para llegar a la conformidad total con los requisitos del estándar ISO 27001.
2. Conformar un equipo de implementación
Sabiendo qué hay que hacer, lo que sigue es determinar quién lo debe hacer. Por supuesto, como es habitual en estos casos, tamaño y complejidad de la organización influyen en la conformación del equipo. El número de personas que trabajarán en el proyecto, así como el número de horas que emplearán a diario – equipo dedicado o asignación adicional – son las variables a tener en cuenta.
En este paso también se determina el alcance del Sistema, y, con base en ello, se estiman los recursos que demandará. Las organizaciones que han avanzado en la automatización de sus Sistemas de Gestión aportarán a sus equipos herramientas digitales que facilitarán el logro del objetivo y disminuirán el tiempo de implementación y el consumo de recursos financieros.
3. Crear los documentos
En la auditoría de certificación ISO/IEC 27001 la verificación de documentos exigidos por la norma es un apartado muy importante. La política de Seguridad de la Información, a cargo de la Alta Dirección, es tal vez el primero y el más importante. También es preciso documentar el alcance, la evaluación de riesgos, la aplicabilidad de controles, los objetivos de la gestión, entre otros.
4. Comunicar el proyecto a los empleados
La publicación y comunicación de los documentos es el momento ideal para compartir el proyecto con todos los empleados. La Seguridad de la Información es un proyecto de todos. En algunas organizaciones se suele creer que interesa apenas al área de TI. La información que se transmite de forma verbal o la que se plasma en papel, también está protegida por ISO 27001.
5. Realizar una evaluación de riesgos
Esto incluye identificar amenazas, asignar propietarios de activos y de riesgos, diseñar e implementar acciones de tratamiento y de monitoreo, documentar la tarea y definir un procedimiento estandarizado que permita repetir el ciclo una y otra vez de forma indefinida.
Obtén la certificación #ISO27001 siguiendo estos diez pasos clave e incorporando los mejores programas de formación para tu equipo #SeguridadInformación #SeguridadDatos Clic para tuitear6. Elegir controles e implementarlos
La elección de los controles adecuados, contenidos en el Anexo A, es un elemento definitivo que tendrá en cuenta el auditor de certificación ISO/IEC 27001. En la declaración de aplicabilidad, mencionada en el punto sobre documentos, se deben desglosar los controles que se utilizarán, y explicar por qué. Igualmente hay que explicar la razón por la que se obvian los controles que no se implementarán.
Las organizaciones que implementaron ISO 27001:2013 contaban con 114 controles. La edición 2022 de la norma contiene 93 controles en el Anexo A.
7. Asignar responsabilidades y determinar necesidades de formación
El equipo implementador trabaja en la conformación de la estructura del Sistema. Una vez obtenida la certificación ISO/IEC 27001, el Sistema tendrá que ser mantenido y ser funcional y productivo. Para que esto suceda, personal en todas las áreas, niveles y departamentos tendrá que asumir responsabilidades. Muchas de estas personas necesitarán tomar programas de formación relacionados con el estándar o con la Seguridad de la Información.
8. Realizar una auditoría interna
Antes de enfrentar al auditor para la certificación ISO/IEC 27001 la organización necesita poner a prueba la máquina. La herramienta ideal para hacerlo es la auditoría interna. A esta altura, de acuerdo con el paso anterior, la organización ya contará con profesionales especializados en esta tarea.
9. Implementar acciones correctivas, revisar y volver a auditar
Es poco probable que el Sistema, en la primera auditoría, sea aprobado sin reparos. Hallazgos y No Conformidades deben ser revisados, corregidos y monitoreadas las acciones implementadas con el foco puesto en una nueva auditoría interna. La organización puede evaluar su Sistema tantas veces como sea necesario antes de enfrentar la auditoría de certificación.
10. Elegir un organismo certificador y solicitar la auditoría
El punto culminante en el camino hacia certificación ISO/IEC 27001 es la auditoría de terceros o auditoría de certificación. Para acceder a ella es preciso elegir un organismo certificador – en cada país hay varios -, consultar costes, disponibilidad y tiempos de ejecución. La auditoría, dependiendo de la capacidad del organismo, suele ser asignada con una media de tres meses de espera.
¿Qué programas de formación ayudan a obtener la certificación ISO/IEC 27001?
Obtener la certificación ISO/IEC 27001 es un proyecto de Alto Nivel que demanda capacitación y formación especializada. Algunos programas recomendados para cumplir con las diferentes etapas de implementación, y el mantenimiento posterior a la certificación son:
Curso Análisis e Interpretación de la ISO/IEC 27001:2013
El Curso Análisis e Interpretación de la ISO/IEC 27001:2013 es un programa introductorio, ideal para conocer la norma, familiarizarse con los requisitos y comprender su funcionamiento y el aporte que ofrece a la Seguridad de la Información. Inscríbete aquí.
Curso Transición a ISO/IEC 27001:2022
Algunas organizaciones que implementaron ediciones anteriores del estándar de Seguridad de la Información tienen la necesidad de hacer la transición a la versión 2022 de la norma. Para algunos profesionales, actualizar su conocimiento con las novedades que incorpora ISO 27001:2022 es el objetivo prioritario. El Curso Transición a ISO/IEC 27001:2022 es el programa ideal para ellos. Infórmate aquí.
Curso Auditor Interno ISO/IEC 27001:2013 – Sistemas de Gestión Seguridad de la Información
El Curso Auditor Interno ISO/IEC 27001:2013 Sistemas de Gestión Seguridad de la Información ha sido diseñado para suministrar a las organizaciones profesionales idóneos para la realización de las múltiples auditorías que requerirá el Sistema, en la etapa de implementación y después de obtener la certificación ISO/IEC 27001. Este programa ofrece además la posibilidad de ofrecer el servicio a las empresas que lo requieran. Tú puedes ser uno de estos demandados profesionales. Empieza aquí.
Diplomado de Seguridad de la Información – ISO/IEC 27001
Finalmente, los profesionales que aspiren a liderar el proyecto de Seguridad de la Información, o necesiten obtener conocimiento profundo sobre el tema y sobre el estándar ISO 27001, cuentan con el Diplomado de Seguridad de la Información ISO/IEC 27001. Este programa, al igual que el de Auditor Interno, está avalado por el Registro Europeo de Auditores Certificados. Esto significa que, al tomar este programa, encontrarás muy fácil obtener el certificado de ERCA y, así, trabajar en cualquier lugar de Europa o América Latina. Inscríbete ahora.
