El Cumplimiento de Seguridad de la Información se revisa cada año. Periodos de tiempo más extensos supone permitir que problemas susceptibles de ser corregidos a tiempo avancen hasta convertirse en graves afectaciones. Revisar el Cumplimiento de Seguridad de la Información dos o tres veces en el año implica un desgaste innecesario para las personas encargadas y para los propietarios de procesos que deben enfrentar la revisión.
La revisión, por otra parte, no sustituye la auditoría. Por el contrario, se hace porque es un requisito de ISO 27001 y el auditor verificará la conformidad. Con un año para preparar el examen no deberían existir dudas sobre lo que se pretende revisar.
Verificar el Cumplimiento de Seguridad de la Información puede ser una tarea muy extensa e incluso, interminable si no se enfoca el trabajo en puntos estratégicos. La lista de verificación que hoy traemos ayudará a los profesionales a no pasar por alto problemas de cumplimiento usuales y garantizar así la seguridad de los datos y de la información.
¿Qué incluir en la revisión anual de cumplimiento de seguridad de la información?
El objetivo de la revisión anual de Cumplimiento de Seguridad de la Información es verificar los aspectos normativos, regulatorios y prácticos que pueden afectar la capacidad de la organización para garantizar la integridad y la seguridad de los datos y la información, propios o de terceros.
La Seguridad de la Información tiene alcance sobre toda la organización, todas sus áreas y todas sus ubicaciones. Siendo así, es importante encontrar los puntos clave en donde concentra la atención el equipo de Seguridad de la Información. Estos puntos son:
1. Formación y capacitación en Seguridad de la Información
La revisión de Cumplimiento de Seguridad de la Información se enfoca en primer lugar en la verificación del conocimiento que tengan los empleados, sobre los procedimientos y protocolos que deben seguir para garantizar la integridad, la confidencialidad y la seguridad de los datos, registros e información a la que tengan acceso o deban tratar.
Utilizar contraseñas que cumplan con determinados requisitos o actualizar las licencias de programas o aplicaciones, son requerimientos usuales en un Sistema de Gestión de Seguridad de la Información. Pero algunos empleados pueden no saberlo. Esto evidencia deficiencias de capacitación y formación que deben ser anotadas en la revisión.
Para algunos empleados, propietarios de procesos críticos o con responsabilidades dentro del Sistema, el conocimiento sobre el estándar ISO 27001 puede ser un requisito que debe verificar el revisor.
2. Conocimiento de las políticas
Las políticas son importantes porque expresan lo que dispone la Alta Dirección. Con este documento la organización dice a sus empleados lo que espera que hagan y demarca las líneas que no deben pasar. La revisión verifica el conocimiento del contenido de la política, pero también su comprensión.
Es importante comprobar también la disponibilidad de canales para comunicar el contenido de la política: carteleras, intranet, blog o sitio web de la organización, cuentas de correo electrónico, charlas, foros, debates…
3. Mecanismos y herramientas de monitoreo
La formación y el conocimiento de las políticas aportan elementos esenciales para que los empleados sepan qué pueden hacer y qué no deben hacer. Sin embargo, y es difícil expresarlo, existen personas que cometen infracciones con la intención clara de dañar o de obtener un lucro.
Por eso es importante que la revisión de Cumplimiento de Seguridad de la Información verifique la existencia de procedimientos, herramientas y mecanismos de monitoreo que permitan obtener trazabilidad confiable de las actividades de los empleados que tengan la capacidad de comprometer la Seguridad de la Información.
4. Incidentes o señales de infracciones
El Sistema de Gestión de Seguridad de la Información dispone de 93 controles que proporciona el Anexo A de ISO 27001. Uno de esos controles es el de Inteligencia de Amenazas, que en términos generales recopila información sobre posibles ataques, incidentes o señales de alarma, para generar un eficaz sistema de inteligencia que contribuya a la prevención o a la reacción inmediata ante un ataque o una vulneración.
El revisor necesita comprobar que el sistema de alarmas funciona y que sí alimenta el sistema de inteligencia de amenazas. Es importante que el sistema ofrezca trazabilidad, y que garantice la invulnerabilidad de las pruebas o los indicios recopilados.
Con la lista de verificación de revisión anual que te entregamos aquí, garantizas el cumplimiento de #SeguridadInformación en tu organización #ISO27001 Clic para tuitear5. Sistema de reacción ante infracciones e incidentes
No se espera que el Sistema de Gestión contenga todas las amenazas, especialmente cuando se encuentra en etapa de maduración. Pero el revisor sí espera encontrar un sistema de reacción ante infracciones e incidentes eficaz.
La reacción comprende la identificación inmediata del problema, la notificación a los interesados, y el diseño e implementación de acciones correctivas inmediatas, que si bien no solucionan el problema de raíz pueden contener el impacto negativo.
La revisión de Cumplimiento de Seguridad de la Información también necesita comprobar la existencia de procesos eficaces de investigación, que se enfoquen en la identificación de la causa raíz y en la resolución definitiva del problema.
6. Evaluación de riesgos
La evaluación de riesgos es un proceso al que el revisor de Cumplimiento de Seguridad de la Información debe prestar especial atención. La forma en que los encargados identifican nuevas amenazas y diseñan estrategias para eliminar, mitigar, compartir o tolerar, es tal vez el elemento más importante de la Gestión.
Es importante tener en cuenta que la evaluación de riesgos, por obvias razones se ocupa de forma mayoritaria de la información digital, virtual, informática o transmitida por medios electrónicos. Pero no puede olvidar la información en papel o la que se difunde de forma verbal.
7. Alcance sobre terceros
La información es un activo al que pueden acceder terceros. Proveedores, clientes, socios, reguladores, entre otros, necesitan estar cubiertos por las obligaciones aplicables a los empleados.
Muchos de ellos necesitarán formación y otros tendrán que cumplir con requisitos estrictos de identificación y suministro de datos, como nombre, ubicación y otros datos demográficos.
El trabajo para el revisor aquí es comprobar que el Sistema tiene alcance sobre los terceros y si ese alcance es efectivo y real en la práctica.
¿La tecnología puede mejorar el Cumplimiento de Seguridad de la Información?
Sí. La Seguridad de la Información comprende en gran medida los medios electrónicos, digitales, virtuales y electrónicos. Pero también la información oral y en papel.
Los Sistemas de Gestión automatizados y digitalizados tienen más recursos para monitorear y vigilar el Cumplimiento de las normas y de los objetivos de Seguridad en tiempo real. La Transformación Digital es la mejor aliada de los especialistas en Seguridad de la Información. Otro soporte importante es la formación de Alta Calidad.
Diplomado de Seguridad de la Información ISO/IEC 27001
El Diplomado de Seguridad de la Información ISO/IEC 27001 es un programa integral, que aborda todos los temas relacionados con la norma, sus requisitos y con las mejores prácticas para la implementación, puesta en marcha y mantenimiento de un Sistema de Seguridad de la Información basado en el estándar internacional.
La formación permite a los alumnos desempeñarse como auditores internos y, por supuesto, revisores del Sistema y su cumplimiento. En este momento hay una convocatoria abierta: inscríbete aquí.
