| 25 años generando CONFIANZA
Índice de contenidos
ToggleLa Seguridad de la Información es una gran preocupación a nivel global. Por ello, implementar la norma ISO 27001 es un propósito que se han planteado muchas organizaciones. Algunas lo han conseguido ya, otras avanzan en el proyecto o están a la espera de la certificación del estándar de seguridad de a información.
Implementar la norma ISO 27001 es un proyecto que requiere trabajo, planificación y una buena dosis de sentido común. Para las organizaciones que han encontrado alguna dificultad en el proceso, una guía corta, pero precisa, ayudará a avanzar en todo lo relacionado con la planificación del proyecto.
Cómo implementar la norma ISO 27001
El primer paso para implementar la norma ISO 27001 es realizar el análisis de brechas o análisis GAP. Esta evaluación permite establecer en qué estado se encuentra la Gestión de Seguridad de la Información, en qué puntos se alcanza conformidad con los requisitos de la norma y qué falta para llegar al cumplimiento de los requisitos de ISO 27001.
El análisis GAP es un buen punto de partida para organizaciones que ya han adoptado algún estándar de Seguridad de la Información, que tienen un departamento dedicado al área o que han implementado medidas para proteger su información. Aquellas que no cumplan estos requisitos pueden ahorrar recursos iniciando directamente el proceso para implementar la norma ISO 27001, que pasa por las siguientes fases:
1. Presentar el proyecto a la Alta Dirección
Antes de invertir tiempo, recursos y esfuerzos, conviene saber si la Alta Dirección apoyará o no el proyecto. Obtener el aval exige la presentación de beneficios, valor y retorno de la inversión y tiempo necesario para la implementación la norma ISO 27001. Esta es la información que necesita la Alta Dirección para decidir.
2. Planificar la implementación con base en el ciclo PDCA
La planificación es un factor determinante para el éxito del proyecto. Las expectativas aumentan si se utiliza, desde el inicio, el ciclo PDCA. Es natural: los estándares ISO se basan en esta metodología, que es la que proporciona la capacidad para mejorar de forma continua, uno de los componentes clave del estándar ISO 27001.
El ciclo PDCA (planificar, hacer, verificar y actuar, por sus iniciales en inglés), aplicado al proceso de implementar la norma ISO 27001, tendría una estructura similar a la siguiente:
Planificar |
Hacer |
Verificar |
Actuar |
|
|
|
|
Implementar la norma ISO 27001 puede llevar un año en el caso de organizaciones medias o grandes. En una pequeña empresa ese tiempo podría reducirse a un semestre o incluso menos. El ciclo se reinicia de forma constante, también los sistemas certificados trabajan bajo el ciclo PDCA, aunque con una menor intensidad en cuanto al número de auditorías internas necesarias.
3. Tratar la implementación como un proyecto
Para que aquello que se ha planificado se desarrolle a tiempo y se haga bien, la implementación del Sistema de Gestión de Seguridad de la Información tiene que ser un proyecto estratégico para la organización. Definir la implementación como proyecto implica:
- Nombrar un gerente o director del proyecto.
- Adoptar una metodología de gestión probada y reconocida.
- Asignar los recursos humanos, financieros, logísticos y tecnológicos necesarios.
- Crear un cronograma de cumplimiento.
- Generar reportes periódicos para informar sobre el avance, los problemas surgidos y las acciones tomadas para solucionarlos.
4. Formar un equipo de trabajo
El proyecto requiere personas que asuman la dirección y profesionales que ejecuten las tareas programadas. La dimensión del equipo, el número de roles y las competencias para cada miembro del equipo dependen del tamaño, la complejidad y el nivel de regulación de la empresa. Un equipo que trabaje para implementar la norma ISO 27001 típico será el siguiente:
- Gerente: con conocimientos avanzados en Seguridad de la Información y el estándar ISO 27001.
- Soporte y Gestión: profesionales que desarrollan tareas y ejercen labores de monitoreo y control. Por lo general, los empleados del área de IT funcionan muy bien en este rol.
- Soporte de nivel C: personas que toman decisiones, solucionan problemas y sirven de enlace entre las diferentes áreas involucradas, como TI, Recursos Humanos, Finanzas, Comunicaciones, Adquisiciones, etc. Los directores de área pueden ocupar este rol.
- Auditores internos: los auditores requieren conocimiento profundo sobre Seguridad de la Información, sobre el estándar ISO 27001 y sobre las técnicas de auditoría generalmente aceptadas. Si la organización no dispone de auditores internos competentes, puede tercerizar esta función.
Consejos para implementar ISO 27001
Implementar ISO 27001 es un proceso no exento de complejidad. Por eso es fundamental seguir unas directrices claras que ayuden en el camino hacia la certificación:
1. Activar adecuadamente controles y políticas
Dentro de la compleja estructura que integra un Sistema de Gestión de Seguridad de la Información, es fundamental prestar atención especial a algunos puntos muy concretos:
- Proceso de gestión de riesgos.
- Políticas sobre dispositivos móviles y portátiles y en especial sobre aquellos que son personales, pero que tienen permitido el acceso a recursos informáticos de la organización.
- Políticas de control de acceso y de escritorio y pantalla limpios.
- Políticas y procedimientos de seguridad física.
- Políticas de gestión de incidentes, de generación de reportes, registros y procedimientos para recuperación de información tras un incidente.
Por extensión, la elección e implementación de los controles pertinentes, en el Anexo A de la norma, forman parte de esta recomendación.
2. Crear documentos claros, cortos y precisos
La carga documental del sistema es alta. Es preciso reconocerlo y proceder de acuerdo a ello. En la práctica, un empleado no dedicará horas a leer y tratar de entender extensos documentos llenos de tecnicismos. Documentos precisos y redactados de acuerdo a la capacidad de la audiencia aumentan la probabilidad de que el sistema sea bien acogido por parte de los empleados.
3. Comunicar los documentos de forma suficiente y fácil
A la hora de implementar la norma ISO 27001 no solo hay que informar a los empleados sobre la forma en la que se prevé que trabajen para alcanzar los objetivos del sistema. Es importante que exista un almacenamiento seguro, accesible y amigable en el que puedan encontrar información: cómo notificar un incidente, qué pasos dar ante una brecha de seguridad, cómo comunicarse con los responsables de la Seguridad de la información, etc.
4. Invertir en tecnología
Implementar la norma ISO 27001 y conseguir un Sistema de Gestión de la Seguridad de la Información realmente eficaz será más sencillo si se cuenta con apoyo tecnológico. Una plataforma adecuada puede automatizar tareas, entregar información relevante para la toma de decisiones, presentar mapas de calor para identificar puntos críticos y crear flujos de trabajo, entre otras funcionalidades.
La tecnología genera valor e impulsa el logro de objetivos y la mejora continua en la gestión de las organizaciones. Además, la transformación digital es una motivación que encuentran los empleados para asumir una posición proactiva ante la Gestión de Seguridad de la Información.
Software ISO 27001
El Software ISO 27001 es una plataforma de alta tecnología que ofrece funcionalidades avanzadas para la Gestión de Sistemas de Seguridad de la Información. Entre sus objetivos incluye el de ser un aliado para que las organizaciones automaticen la Gestión de Seguridad de la Información basada en la norma ISO 27001.
Ahorrar tiempo y recursos en la implementación de la norma, mantener los riesgos de Seguridad de la Información bajo control, simplificar documentos y registros y asegurar el cumplimiento para evitar sanciones son solo algunas de las ventajas que ofrece este software. Si te interesa más información, solo tienes que contactar con nuestros asesores.
¿Desea saber más?
Entradas relacionadas
Equilibrar la rentabilidad empresarial y la sostenibilidad por parte de las organizaciones no es tarea fácil. Por el contrario, supone...
En esta edición de diciembre, te invitamos a descubrir la nueva Revista Empresa Excelente ISOTools: Noviembre 2024, elaborada por ESG...