Obtener la certificación de la norma ISO 27001 es fundamental para cualquier organización que quiera garantizar la protección de sus datos. Para lograrlo, es imprescindible el trabajo de profesionales con formación especializada que aseguren una correcta implementación del sistema de gestión. Superar la auditoría de terceros y obtener la certificación valida el esfuerzo realizado para cumplir con el estándar de seguridad de la información más reconocido a nivel mundial.

Diplomado Online: Sistemas de Gestión de Seguridad de la Información con la ISO 27001:2013

La certificación de la norma ISO 27001 demuestra a todos los interesados que la empresa preserva su información y la de sus terceros, utilizando el escudo de protección más sólido y eficiente que existe. Por supuesto, un proyecto de tal envergadura necesita una estrategia. Es importante, por ello, conocer los tiempos y la ruta que debe recorrer la empresa para obtener la certificación.

¿Cuál es el cronograma para obtener la certificación de la norma ISO 27001?

Desde que la Alta Dirección aprueba el proyecto hasta que la empresa obtiene la certificación de la norma ISO 27001 pueden transcurrir desde 3 hasta 12 meses. El plazo depende del tamaño de la empresa, del nivel de complejidad y del resultado del análisis de brechas inicial.

Algunas organizaciones ya muestran avances que disminuyen la carga de trabajo en la implementación del sistema de gestión de seguridad de la información. Otras deben iniciar todo desde cero. El proyecto se desarrolla en tres etapas:

ETAPA TAREAS TIEMPOS
Planificación del proyecto
  • Aval de la Alta Dirección.
  • Designación del equipo de trabajo.
  • Diseño de los procesos.
  • Definición de contexto, alcance y configuración del SG-SI.
 3 a 6 meses
Auditorías y revisiones
  • Elección de auditor interno o equipo de auditores.
  • Recopilación de documentación, información y evidencia que solicitará el auditor.
  • Práctica de auditorías internas.
  • Implementación de acciones correctivas y verificación de su eficacia.
  • Práctica de nuevas auditorías internas.
 6 a 12 meses
Mantenimiento y vigilancia
  • Actividades de seguimiento, control y verificación.
  • Auditorías internas de vigilancia.
  • Auditoría de terceros de recertificación.
 3 años, que se extienden por periodos de tiempo iguales de forma indefinida, mientras la empresa decida mantener la certificación de la norma ISO 27001.

Pasos para obtener la certificación de la norma ISO 27001

En el camino que necesita transitar la empresa hacia el objetivo de obtener la certificación de la norma ISO 27001 es necesario seguir unos pasos, y en cada uno de ellos tendrá que llevar a cabo algunas actividades. La siguiente guía sirve como bitácora para recorrer el camino, pero también como lista de verificación para entender qué es preciso hacer en cada paso:

1. Planificar los procesos que requerirá el sistema

La implementación y posterior certificación de la norma ISO 27001 es un proyecto que compromete a diferentes áreas de la organización, más allá de IT o de seguridad de la información, cuando este departamento existe. El sistema protegerá la información en cualquier formato o medio en el que esté disponible: papel, audios, medios magnéticos, etc. Por eso el proyecto requiere una estrecha colaboración entre áreas y departamentos.

El diseño de los procesos exige la participación de los directores de área y de los empleados clave, en particular si se prevé que asuman funciones dentro del sistema o sean propietarios de activos de la información. La definición de procesos, en esta etapa de planificación, contendrá:

  • Diagrama del proceso, especificando procedimientos, tareas y actividades.
  • Responsabilidades de las personas para cada tarea o actividad.
  • Tiempo de ejecución y recursos requeridos para cada tarea.
  • Posibles interacciones con otros procesos

2. Definir el alcance del SG-SI

La definición del alcance determina la elección de los controles de la ISO 27001:2022, la identificación de las partes interesadas, la estimación del presupuesto y, lo más importante, la definición de los objetivos del sistema. El alcance puede ser absoluto y general, pero también sobre un área, una ubicación o una unidad de negocio. La cobertura absoluta puede representar un desafío, pero garantiza protección sobre todos los activos de información.

El enfoque principal en el momento de definir el alcance tiene que estar en las partes interesadas. De poco o nada sirve definir un alcance que deje fuera a los clientes, a los inversores o a los organismos reguladores. Es importante acotar, con respecto a esto último, que las empresas en la UE están obligadas a cumplir con el Reglamento General de Protección de Datos y que, para ese propósito, ISO 27001 resulta un elemento clave.

3. Implementar el proceso de evaluación de riesgos

ISO 27001 solicita a la organización diseñar e implementar un proceso para la evaluación de riesgos. El proceso incluye tareas para identificar los riesgos, evaluarlos, priorizarlos y, finalmente, describir acciones correctivas para eliminar la amenaza, mitigarla, compartirla o tolerarla. En este proceso es importante considerar:

  • Metodologías de evaluación de riesgos que se utilizarán.
  • Indicadores, métricas y KPIs que medirán el riesgo.
  • Listado de activos de información y sus propietarios.
  • Principales amenazas o vulnerabilidades.
  • Puntuaciones de riesgos que se utilizarán.
  • Responsables de cada etapa del proceso.
  • Periodicidad de la evaluación de riesgos.
Aprovecha esta guía estratégica de cumplimiento que te asegurará la certificación de la norma #ISO27001. Compartir en X

4. Crear e implementar políticas y controles

La evaluación de riesgos señalará los procesos, las áreas, los puntos o los activos que no cuentan con la suficiente protección. Con base en esa información se redactan las políticas de seguridad y se definen los controles que se utilizarán, dentro de los que conforman el Anexo A de la norma ISO 27001.

5. Evaluar las brechas de formación y capacitación y subsanarlas

La organización necesita identificar las necesidades de formación de sus empleados en dos niveles: las de los empleados que necesitan concienciación y las de los trabajadores que tendrán responsabilidades en el sistema y necesitan conocimientos específicos sobre el estándar y los requisitos de ISO 27001.

Además de definir qué empleados necesitan formación y qué programas requieren, es importante establecer la periodicidad con la que se actualizarán los conocimientos. Finalmente, la organización debe evaluar la calidad de la capacitación y el nivel de absorción de conocimiento de los trabajadores.

6. Preparar y practicar las auditorías internas

El sistema está listo para ser examinado, y el examinador apropiado es el auditor interno. Así, la primera actividad en esta etapa es elegir el auditor indicado que reúna experiencia y conocimiento. Las organizaciones que no hayan previsto este evento y no hayan formado a auditores internos de SG-SI tendrán que acudir a un consultor externo que realice la auditoría.

La preparación de la auditoría interna requiere planificación, crear un cronograma de actividades, comunicarlos a las personas que serán entrevistadas, que tendrán que suministrar evidencia o demostrar cómo funciona un proceso o un procedimiento. Se realizarán tantas auditorías internas como se considere necesario, hasta lograr que el sistema esté a punto para afrontar la auditoría de certificación en ISO 27001.

7. Realizar una evaluación o revisión final del sistema

Antes de enfrentarse al auditor del organismo certificador, es preciso realizar una última evaluación. En algunas organizaciones se deja esta evaluación en manos de la Alta Dirección. En ella resultan de gran utilidad las orientaciones y directrices de los auditores internos y del equipo que trabajó en la implementación. El objetivo es detectar alguna brecha, por pequeña que sea, que haya pasado el filtro de las auditorías internas.

8. Afrontar la primera etapa de la auditoría de certificación de la norma ISO 27001

Usualmente, una auditoría de terceros o auditoría de certificación de la norma ISO 27001 se desarrolla en dos etapas. En la primera, el auditor de certificación se enfoca en solicitar la documentación obligatoria:

  • Política de seguridad de la información.
  • Definición del alcance del sistema.
  • Definición de roles y responsabilidades en el sistema.
  • Documento de objetivos del sistema.
  • Procesos de evaluación de riesgos y sus metodologías.
  • Declaración de aplicabilidad de controles del Anexo A.
  • Informes sobre evaluaciones y gestión de riesgos.
  • Informes de auditorías internas.
  • Informe de la revisión de la Alta Dirección.

Además, en esta primera etapa de la auditoría de certificación de la norma ISO 27001, la organización necesitará suministrar evidencia de las acciones correctivas que haya implementado para solucionar las no conformidades informadas por el auditor interno.

Es poco probable que una organización reciba la certificación al finalizar esta primera etapa. En el informe final, el auditor consignará las observaciones y describirá las acciones que espera que la empresa implemente para alcanzar la conformidad total con los requisitos de ISO 27001.

9. Afrontar y aprobar la segunda etapa de la auditoría de certificación de la norma ISO 27001

Esta segunda etapa de la auditoría de certificación de la norma ISO 27001 se enfoca en revisar los puntos anotados en el informe de auditoría de la primera etapa y en revisar el funcionamiento de los controles y la procedencia de la elección o la posible necesidad de implementar un control que el equipo no consideró necesario.

Una vez revisados estos aspectos, el auditor estará listo para presentar su informe final, en el que recomendará emitir la certificación de la norma ISO 27001 a la empresa que la solicita.

10. Mantener el sistema y procurar la mejora continua

Con la obtención de la certificación de la norma ISO 27001 se inicia un periodo de tres años en el que la organización tendrá que realizar auditorías internas periódicas. Además, tendrá que implementar actividades de vigilancia y monitoreo, siempre enfocadas en el manteamiento de la conformidad y en la verificación de la mejora continua.

Transcurridos tres años, la empresa necesita afrontar una auditoría de recertificación, imprescindible para mantener vigente su certificación de la norma ISO 27001.

Diplomado de Seguridad de la Información ISO/IEC 27001

El Diplomado de Seguridad de la Información ISO/IEC 27001 se ha diseñado para ofrecer a sus alumnos las herramientas, las competencias y los conocimientos necesarios para implementar, mantener, mejorar y auditar un SG-SI basado en la norma ISO 27001 y, por supuesto, llevarlo a la certificación.

Los alumnos que superan con éxito este programa también reciben la acreditación como auditores internos y pueden optar a la certificación ERCA. De esta manera, se resuelve uno de los desafíos que afrontan las empresas que inician el camino hacia la certificación ISO 27001. Solicita más información a nuestros asesores, la convocatoria está abierta.

New Call-to-action