11 Elementos clave para dar cumplimiento a los requisitos de la ISO 27001

¿No tienes tiempo para construir los documentos del Sistema de Gestión?

Kit de Certificación ISO 22000:2018

Kit de Certificación ISO 9001:2015

Kit de Certificación ISO 27001:2013

Si de identificar y abordar los riesgos de seguridad de la información se trata, la ISO 27001 es la norma indicada para ayudarte a cumplir estos y otros propósitos.

 

A diferencia de algunos consejos de seguridad, que se enfocan en solucionar de forma prescriptiva los riesgos más amplios, la ISO 27001 reconoce que cada organización enfrenta problemas únicos.

 

De esta forma, la gestión del riesgo constituye la parte más importante y estratégica para identificar, analizar e intervenir riesgos partiendo de las oportunidades y potenciales de cada organización.

 

Aunque algunos negocios cierran sus puertas a la implementación de la ISO 27001, creyendo que el proceso puede ser costoso y tomar mucho tiempo, la verdad es que el cumplimiento de la norma resulta más fácil de lo pensado.

 

A continuación te presento 11 elementos clave para dar cumplimiento a los requisitos de la ISO 27001 en tu organización.

 

Empecemos!

 

Número 1. Objetivos de seguridad de la información

 

En cumplimiento con la ISO 27001, la organización debe establecer objetivos que se ajusten a los riesgos, las oportunidades y los intereses del sistema, centrándose principalmente en:

 

  • La confidencialidad. Proteger la información y no divulgarla sin el debido consentimiento.

 

  • La integridad. Garantizar que la información no es alterada, agregada o destruida.

 

  • La accesibilidad. Permitir acceso oportuno y confiable a la información.

 

  • La autenticidad. Identificar de forma exclusiva al autor o la fuente de la información.

 

  • El no rechazo. Garantizar la responsabilidad tanto del emisor como del receptor en la comunicación.

 

Número 2.  Personas, presupuesto y tiempo

 

Disponer de los recursos adecuados es importante para implementar y mantener de forma efectiva la seguridad de la información. La alta dirección es la encargada de evaluar la necesidad y utilización de los recursos a parir de los intereses en tecnología, experiencia y cumplimiento de la organización.

 

Número 3. Compromiso del personal

 

Una parte indispensable para la eficacia del Sistema de Gestión de Seguridad de la información es la disposición y el compromiso del personal, incluyendo directivos y gerentes.

 

Asegurar el apoyo y la entrega de la fuerza laboral facilita el cambio de conductas y la adopción de buenas prácticas que fortalezcan la cultura de seguridad en toda la organización.

 

Número 4. Política de seguridad de la información

 

Disponer de una política de seguridad de la información actualizada, respaldada por los directivos y conocida por toda la organización, es el principio de todo sistema eficaz y consistente.

Podría decirse que esta directriz es la parte más importante del sistema ISO 27001 de una organización, ya que establece la posición corporativa en términos de seriedad  y cumplimiento con la seguridad informática

 

Aunque la política no requiere ser extensa ni detallada, es importante que establezca claramente el compromiso de la organización y sus empleados con la seguridad de la información.

 

El documento debe ser aprobado y respaldado por la alta dirección antes de comunicarlo a las partes interesadas. Además, la organización debe garantizar la disponibilidad, acceso y cumplimiento de esta política.

 

Dado que los riesgos son cambiantes, es conveniente revisar, modificar y actualizar la política continuamente.  

 

Número 5. Requisitos normativos aplicables

 

Actualmente son muchos los requisitos legislativos, estatutarios, reglamentarios y contractuales, sujetos a la seguridad de la información aplicables a las organizaciones. Identificarlos y comprender su naturaleza es fundamental para adoptar las medidas correspondientes para su cumplimiento.

 

Número 6. Evaluación de riesgos

 

La organización debe disponer de un proceso consistente y documentado de evaluación de riesgos para la seguridad de la información. Bajo el enfoque basado en riesgos se logra comprender la naturaleza y severidad del riesgo para priorizar e implementar las medidas adecuadas.

 

Debido a que el SGSI se fundamenta en los resultados de la evaluación de riesgos, la organización debe garantizar que este proceso se lleve a cabo en cumplimiento con los requisitos de la ISO 27001.

 

Algunas recomendaciones que pueden servirte son:

 

  • Establecer un marco de gestión de riesgos con las reglas para identificar el riesgo, definir el propietario, determinar el impacto y calcular la probabilidad de ocurrencia.

 

  • Abordar dentro de la metodología formal de evaluación de riesgos los criterios básicos de seguridad, la escala de riesgo y el apetito por el riesgo

 

  • Identificar los riesgos a través de un enfoque basado en activos que permita conocer los activos existentes incluyendo copias impresas de la información, archivos electrónicos, medios extraíbles, dispositivos móviles e intangibles, así como la propiedad intelectual.

 

  • Analizar los riesgos identificando las amenazas y vulnerabilidades relacionadas a cada activo. Asigna valores de impacto y probabilidad de acuerdo a los criterios de riesgos.

 

  • Evaluar los riesgos en términos de aceptabilidad y prioridad.

 

  • Abordar los riesgos de acuerdo a la conveniencia y la necesidad de tratamiento, que puede incluir evitar el riesgo eliminándolo por completo, modificar el riesgo implementando los controles de seguridad, compartir el riesgo con un tercero mediante seguros o subcontratos o retener el riesgo cuando cumple con los criterios de aceptación.

 

  • Documentar el proceso de evaluación de riesgos. Entre los informes más importantes están: La declaración de aplicabilidad que justifica la inclusión o exclusión de los controles del Anexo A y el plan de tratamiento de riesgos.

 

  • Mantener auditorías para garantizar la revisión y mejora continua del sistema.

Número 7. Concientización del personal

 

Contar con un programa efectivo de formación y concientización del personal sobre seguridad de la información es una necesidad estratégica. Principalmente porque de los empleados depende la efectividad de las medidas implementadas, ya que en un clic pueden permitir proteger o afectar la seguridad de la información.

 

La mejor forma de mitigar los riesgos asociados a las prácticas del personal es la capacitación centrada en generar conciencia de aprendizaje electrónico breve e interactivo.

 

Los empleados deben comprender que la seguridad es responsabilidad de todos y no sólo del área de TI.

 

Número 8. Probabilidad e impacto

 

La evaluación de la probabilidad y el impacto de los riesgos de seguridad de la información debe estar relacionada directamente con el apetito o nivel de tolerancia al riesgo de la organización.

 

El nivel de un riesgo se obtiene como el producto de la probabilidad de que se materialice y la magnitud de su impacto negativo.

 

Número 9. Controles del Anexo A

 

Es necesario comparar los controles seleccionados por la organización con el conjunto del Anexo A, de esta forma te aseguras de cumplir los requisitos normativos, las buenas prácticas de seguridad y estar un paso más cerca de la certificación.

 

El Anexo A de la ISO 27001 es el mejor punto de referencia, ya que al no estar vinculado a un proceso o tecnología en particular, puede aplicarse por parte de cualquier organización del mundo.

 

Número 10. Habilidades y competencias del personal

 

La organización debe contar con un proceso que le permita identificar las habilidades y competencias de seguridad de la información necesarias en su personal, así logra conocer las fortalezas y debilidades de su equipo de trabajo, favoreciendo el diseño y desarrollo de programas de capacitación y entrenamiento.

 

Frente al panorama cambiante de la seguridad de la información, en el que cada vez surgen nuevas amenazas y riesgos, el personal debe mantenerse preparado y dotado con las herramientas idóneas para asumir sus responsabilidades de seguridad.

 

Número 11. Mejora continua

 

Un SGSI exitoso y consistente exige que la organización cuente con un programa de mejora continua que favorezca el seguimiento, control y eficacia de las medidas y procesos de seguridad implementados.

 

Debido a las constantes amenazas y a los nuevos requisitos organizacionales y normativos, la mejora continua es de los requisitos más importantes de la ISO 27001 durante la implementación y el mantenimiento del sistema.  

 

La alta dirección debe comprender y comprometerse con las necesidades del programa de seguridad de la información, alineando los objetivos del sistema a los intereses más amplios de la organización.

 

De esta forma, habrá control sobre los incidentes de seguridad de la información, se reducirán las pérdidas financieras por multas, fallas de producción o daños en la reputación.

 

Conclusión

 

Cuando apliques estos 11 elementos en tu organización, lograrás implementar exitosamente un Sistema de Gestión de Seguridad de la Información (SGSI) centrado en los principios de  confidencialidad, integridad y disponibilidad de los datos.

 

Operando bajo la ISO 27001 tu organización podrá identificar los activos de información y los riesgos de seguridad asociados a ellos. De esta forma, los controles para gestionar las amenazas serán altamente efectivos, reforzando la seguridad de los datos, la confianza en los clientes, proveedores y demás partes interesadas.

 

Si este post te ha sido de utilidad me gustaría que lo compartas en tus redes sociales.

 

Nos vemos en breve!

 

Talvez te interese leer más sobre:

0 comentarios

Enviar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *