Guía rápida para implementar la ISO 27001

Por. Francisco Martínez


ISO 27001

¿Qué es ISO2700?


ISO 27001 es la normativa internacional más común de cumplimiento de seguridad y está diseñada para asegurar y proteger su información física y digital, brinda una serie de requisitos a cumplir para gestionar la seguridad de la información de su empresa, sus requisitos, son genéricos y globales.


El origen de la normativa ISO 27001

En 2005, ISO (International Organization for Standardization) tuvo el interés de crear esta normativa para formalizar las recomendaciones de seguridad publicadas en los 90 por la BSI (British Standards Institution).

La versión más reciente y actualizada es la del año 2013, mismo año en que se sumó IEC (International Electrotechnical Commission), formalmente conocida como ISO/IEC 27001:2013, pertenece a un conjunto de estándares desarrollados para manejar la seguridad de la información.



Sistema de Gestión de Seguridad de la Información (SGSI)


La ISO 27001 se enfoca principalmente en adoptar un Sistema de Gestión de Seguridad de la Información (SGSI).


Un SGSI es básicamente una forma de lograr un sistema integral de políticas, procedimientos y acciones para proteger la información.


El cumplimiento 27001 no es obligatorio aunque para muchas entidades privadas y gubernamentales es un requisito a la operación en países regulados como México (Ley Fintech) o Chile (Capítulo 20-10).

El gran desafío es implementar los 244 controles de gestión y de seguridad solicitados por la normativa, porque requiere tiempo, recursos y colaboración de todas las áreas.



¿Qué necesito para implementar ISO 27001?


1. Esfuerzos del personal

La implementación requiere de la colaboración de al menos un líder de cada área, para implementar varios controles y colaborar en el diseño de documentos y registros.


2. Inversión en herramientas

La ISO 27001 requiere invertir en herramientas de seguridad (como antivirus, antimalware, Web Application Firewall, entre otras).


3. Asistencia para capacitaciones

Promover una cultura de concientización por medio de capacitaciones continuas al equipo en forma permanente y deben efectuarse por lo menos de forma anual.


4. Precio de la certificación ISO 27001


Depende de 3 factores:

  • Cantidad de ubicaciones: si se tienen oficinas subsidiarias con sistemas descentralizados deberá certificarlas por separado. Esto se debe a que cada una contará con su propio sistema de seguridad y con diferentes alcances, objetivos y controles.

  • Complejidad tecnológica: Entre mayor sea su arquitectura tecnológica, más elevado será el costo de la auditoría porque se necesitarán varios días de revisión y evaluación.

  • Precio local: Cada país cuenta con organismos acreditados por ISO que se encargan de auditar y certificar a las empresas, este precio varía según el organismo y el país.


La certificación debe renovarse cada 3 años.


Tiempo necesario para implementar ISO 27001

Se requiere el compromiso de dedicar recursos y la prioridad necesaria a esta tarea.

Depende también de la madurez de los procesos de seguridad existentes en la empresa.

Lo normal es que el proceso dure 12 meses.


Primeros pasos para implementar ISO 27001

La clave para cumplir con ISO 27001 es crear un Sistema de Gestión de Seguridad de la Información (SGSI).


Eso se traduce a generar un esquema de prácticas de seguridad que le ayude a monitorear sus riesgos y proteger su información.

Para implementarlo es necesario incorporar los controles de gestión y de seguridad que pide la norma.



Las fases principales para comenzar el proceso son:


1. Obtener el apoyo directivo

El ingrediente principal para lograr implementación exitosa es obtener el apoyo directivo, especialmente con la difusión dentro de la empresa de las prioridades y los beneficios del proyecto, y comenzar a despertar una cultura de seguridad.


2. Definir un plan de proyecto

Definir, organizar y las tareas, personas y prioridades antes de poner en marcha los controles de seguridad:

  • Definir el alcance: para establecer las áreas y procesos que serán alcanzados por el SGSI.

  • Efectuar un Análisis brechas (GAP): Definir el estado actual de cumplimiento (en términos de controles de la ISO 27001).

  • Crear un Plan de Acción: Distribuir y priorizar las tareas que cerrarán esa brecha entre el hoy y cómo quieres estar mañana. Es recomendable crear un comité de seguridad que vele por el avance de este plan y que garantice los recursos necesarios para llevarlo adelante.

  • Identificar los activos: Crear un inventario de los recursos que guardan información valiosa para identificar lo que está en riesgo y tomar medidas. Para ello, será necesario realizar un inventario de activos.

  • Generar una evaluación de riesgo: para tener identificados los riesgos, sus posibles impactos y pensar medidas para mitigarlos. Prepararse para cualquier escenario que pueda afectar la información que considere crítica, es de vital importancia.

  • Declaración de aplicabilidad: Lista de controles de la ISO 27001 en la que se debe indicar los controles que aplicará en su empresa y aquellos que no, justificando los motivos. Algunos son obligatorios y deben ser aplicarlos sin importar el caso.

3. Diseñar e implementar los controles

Una vez terminado el plan de proyecto armado tendrá conocimiento del alcance, riesgos a los que se expone y de las tareas a realizar para mitigarlos.

Se deben crear las políticas, procedimientos y controles definidos en la Declaración de aplicabilidad (último punto del listado anterior). Tenga en cuenta que, aunque debe de seguir el Plan de Acción para priorizar la protección de la información crítica, en paralelo debe ir generando los documentos obligatorios de la normativa.


4. Recopilar las evidencias

Durante la auditoría debe proporcionar evidencias de los controles implementados para que el auditor evalúe si está cumpliendo con los requerimientos de ISO 27001. Le recomendamos tener preparada la evidencia de al menos 3 meses previos a la auditoría.


5. Monitorear, medir y actualizar

Una vez que tenga el SGSI y la evidencia para la auditoría, debe prestar atención a las métricas y verificar que los resultados cumplan con los objetivos del sistema. Esto es importante no solo para superar la auditoría y mantener la certificación, sino también para mantenerte protegido de las nuevas amenazas.


Gestionar la certificación ISO27001

Una vez que tienes el plan de proyecto definido, los controles implementados, la evidencia documentada y las primeras métricas obtenidas es momento de gestionar la certificación.


ISO 27001


Conclusión

Poseer la certificación ISO 27001 es una gran ventaja competitiva y genera confianza para los accionistas, directivos, empleados, entes gubernamentales y clientes porque ha logrado asegurar una postura de seguridad continua y medible.


Fuentes Consultadas: Araujo, A. (2022, 7 abril). Mantén la calma: Esto es la ISO 27001. Hackmetrix Blog. https://blog.hackmetrix.com/manten-la-calma-esto-es-la-iso-27001/


Francisco Martínez

Francisco Martínez

Sales Engineer- Onistec







12 visualizaciones0 comentarios