Conocimiento

ISO 27001: Guía de implementación completa en 10 pasos

19 de June de 2023
Por Camilla Christino

¿Necesitas implementar la norma ISO 27001 y no sabes por dónde empezar? Obtenga acceso a una guía completa de cómo implementar la norma.

La protección de la información es un tema de vital importancia para el mundo interconectado y globalizado en el que vivimos hoy. Toda la infraestructura digital de la sociedad moderna, incluidas las empresas, el comercio internacional y las redes sociales, depende de tecnologías y servicios que deben protegerse. Podemos mencionar como amenazas: invasiones, accesos no autorizados, pérdida de datos, entre otras. La gestión de la seguridad de la información es aún más desafiante porque implica una variedad de variables, como políticas, procedimientos, procesos, medidas de control y aplicaciones, que deben gestionarse de manera estratégica e inteligente.

La gestión de la seguridad de la información es esencial para proteger a las empresas y a la sociedad de amenazas potencialmente devastadoras. Es crucial que las organizaciones evalúen los riesgos involucrados, considerando el impacto potencial de los incidentes de seguridad, y adopten un enfoque de evaluación de riesgos inteligente y apropiado.

La familia de normas ISO 27000 ayuda a las organizaciones a mantener seguros sus activos de información. La ISO/IEC 27001 es la norma más conocida de esta familia y establece los requisitos para el sistema de gestión de seguridad de la información (SGSI).

Implementación

Para implementar cualquier sistema de gestión, se requiere cierto nivel de documentación: políticas, procedimientos, instrucciones de trabajo detalladas, etc. La ISO 27001 no es diferente en este sentido: se requiere documentación formal.  Sin embargo, presenta un patrón ligeramente inusual en la existencia de la lista de controles que una organización debe considerar como parte de su implementación, donde un control es un método para tratar los riesgos.

Probablemente como resultado de esto, una pregunta muy común es “¿debería comenzar por escribir la documentación o implementar los controles?”. La respuesta es “ninguno”.  La propia norma menciona que un SGSI debe preservar la confidencialidad, integridad y disponibilidad de la información mediante la aplicación de un proceso de GESTIÓN DE RIESGOS. Por lo tanto, escribir la documentación o aplicar controles para abordar los riesgos ANTES de identificarlos y clasificarlos significa pisotear el orden de las cosas.

La implementación de un sistema de gestión de seguridad de la información que cumpla con la norma ISO 27001 puede ser un desafío. Para facilitar este viaje, a continuación se prenta una guía de 10 pasos de cómo implementar la norma ISO 27001 en tu empresa. Desde la adhesión de la alta dirección hasta las actividades de implementación, monitoreo y mejora.

¿Conoces las novedades de la ISO/IEC 27001:2022?

Paso 1: Crea un equipo de implementación

Su primera tarea es nombrar a un líder de proyecto para supervisar la implementación del SGSI. Debe tener un conocimiento integral de la seguridad de la información, así como la autoridad para dirigir un equipo y dar órdenes a los gestores.

¿Quién dentro de su organización supervisará el proceso, establecerá expectativas y gestionará los hitos? ¿Cómo ganarás la aceptación del liderazgo de la empresa? ¿Contratará a un consultor de ISO 27001 para que lo ayude en el proceso?

Una vez que el equipo está unido, deben crear un plan de proyecto y definir algunas respuestas:

  • ¿Qué esperamos lograr?
  • ¿Cuánto tardará?
  • ¿Cuánto costará?
  • ¿El proyecto cuenta con el apoyo de la Dirección?

Educarse sobre la norma ISO 27001 y sus 93 controles es una parte clave de este proceso.

Paso 2: Defina el alcance de tu SGSI

Cada negocio es único y contiene diferentes tipos de datos. Antes de crear tu SGSI, debes determinar exactamente qué tipo de información necesitas proteger. Esto implica identificar los locales donde se almacenaran las informaciones: en archivos físicos o digitales y sistemas o dispositivos portátiles. Definir correctamente el alcance es una parte esencial de tu proyecto de implementación del SGSI.

Si tu alcance es demasiado pequeño, puedes dejar informaciones expuestas, poniendo en riesgo la seguridad de tu organización. Pero si tu alcance es muy amplio, el SGSI se volverá demasiado complejo de gestionar. Para algunas empresas, el alcance incluye a toda la organización. Para otras, incluye solo un departamento o sistema específico, y eso está bien, la norma permite eso. Algunas consideraciones que deben tomarse en ese instante:

  • Asuntos internos y externos definidos en la cláusula 4.1.
  • Todos los requisitos definidos en la cláusula 4.2. Las interfaces y dependencias entre lo que está sucediendo dentro del alcance y el ambiente externo.

Paso 3: Localice e identifique los riesgos

Una evaluación formal de riesgos es un requisito para el cumplimiento de la norma. Esto significa que los datos, análisis y resultados de tu evaluación de riesgos deben estar documentados.

La ISO 27001 es en realidad parte de una “familia” de normas, la serie ISO 27000. La ISO 27005 proporciona directrices para la gestión de riesgos de seguridad de la información. Propone dos enfoques para identificar y puntuar los riesgos:

  • Enfoque basado en escenarios: los riesgos se identifican considerando los eventos y se califican evaluando sus consecuencias. En otras palabras, intentas pensar en todo lo que puede salir mal (eventos) y determinar qué impacto (consecuencias) tendría esto en la confidencialidad, integridad y disponibilidad de las informaciones en tu alcance.
  • Enfoque de vulnerabilidad de amenazas de activos: los riesgos se identifican usando el inventario de activos como punto de partida. Para cada categoría de activos (por ejemplo, computadoras portátiles, servidores, redes), las amenazas (robo, error humano, malware, etc.) se consideran y califican en consecuencia.

Paso 4: Establezca un proceso de gestión de riesgos

Ahora que has identificado los riesgos, tendrás que decidir cómo responderá tu organización. ¿Qué riesgos estás dispuesto a tolerar y cuáles necesitas abordar? Todos los riesgos, controles y métodos de mitigación deben estar claramente definidos y actualizados en la política de seguridad. Esto ayuda a las organizaciones a proporcionar una orientación clara a sus stakeholders y crear una estructura estratégica que sirve como base para la seguridad de la información.

En una auditoría futura, el auditor deseará revisar las decisiones que tomó con respecto a cada riesgo identificado durante el mapeo. También deberás presentar una Declaración de aplicabilidad y un Plan de tratamiento de riesgos como parte de tu evidencia de auditoría.

La Declaración de aplicabilidad resume y explica qué controles y políticas ISO 27001 son relevantes para tu organización. Este documento es una de las primeras cosas que el auditor revisará durante su auditoría de certificación.

El Plan de Tratamiento de Riesgos es otro documento esencial para la certificación ISO 27001. Registra cómo tu organización responderá a las amenazas identificadas durante el proceso de evaluación de riesgos.

Con respecto a los riesgos, puedes seguir una de las siguientes cuatro acciones:

  • Modifique el riesgo estableciendo controles que reduzcan la probabilidad de su ocurrencia.
  • Evite el riesgo evitando las circunstancias en las que podría ocurrir.
  • Comparta el riesgo con un tercero (es decir, tercerizar los esfuerzos de seguridad a otra empresa, comprar un seguro, etc.).
  • Acepte el riesgo porque el costo de solucionarlo es mayor que el daño potencial.

A continuación, debes implementar controles en respuesta a los riesgos identificados. Sus políticas deben establecer y hacer cumplir las mejores prácticas de seguridad, como exigir a los empleados que usen la autenticación multifactor y bloqueen los dispositivos cada vez que salgan de sus estaciones de trabajo.

Eso puede ser más fácil decir que hacerlo. Aquí es donde debes implementar todos los documentos y tecnologías y, en consecuencia, cambiar los procesos de seguridad de tu empresa. Generalmente, esta es la tarea más difícil en tu proyecto porque significa imponer un nuevo comportamiento en la organización. A menudo, se necesitan nuevas políticas y procedimientos (lo que significa que se requiere un cambio) y las personas a menudo se resisten al cambio; es por eso que la siguiente tarea (capacitación y concientización) es crucial para evitar este riesgo.

Paso 5: Implementar programas de capacitación y concientización

Si deseas que el personal implemente todas las nuevas políticas y procedimientos, primero debes explicarles por qué son necesarios y capacitarlos para que puedan actuar como se espera. Además, la ISO 27001 requiere que todos los empleados estén capacitados en seguridad de la información. Esto garantiza que todos en la organización entiendan la importancia de la seguridad de los datos y su papel en el logro y mantenimiento del cumplimiento.

Es esencial que haya evidencia de capacitación.

Paso 6: Documente y recopile evidencias

Esta es la parte en la que la ISO 27001 se convierte en una rutina diaria en la organización. La palabra clave aquí es: “registros”. Para obtener la certificación, debes demostrar a tu auditor que ha establecido políticas y controles efectivos y que están funcionando según lo exige la norma.

Además de la auditoría, los registros deben ayudarlo en primer lugar – al usarlos, puedes monitorear lo que está sucediendo. Sabrás con seguridad si todos los involucrados en el SGSI están realizando sus tareas según sea necesario.

Paso 7: Monitoree y mida el SGSI

¿Qué está pasando en tu SGSI? ¿Cuántos incidentes tienes y de qué tipo? ¿Todos los procedimientos se realizan correctamente?

Aquí es donde se unen los objetivos de tus controles y tu metodología de medición: debes verificar si los resultados obtenidos están logrando lo que has definido en tus objetivos. De lo contrario, sabrás que algo está mal y debe tomar las medidas correctivas y/o preventivas para corregir el problema.

Paso 8: Realice auditorías internas

La auditoría interna periódica es obligatoria para el seguimiento y la revisión. Consiste en probar los controles e identificar las brechas para posteriormente abordar los controles correctivos y preventivos.

Para ser eficaz, el SGSI debe ser revisado por la alta dirección en intervalos planificados y periódicos. La revisión debe evaluar los cambios/mejoras en las políticas, procedimientos, controles y decisiones del personal. Este paso importante en el proceso es la revisión de la gestión de proyectos. Los resultados de las auditorías y revisiones periódicas deben documentarse y mantenerse.

Paso 9: Prepararse para la auditoría de certificación

Para que la organización esté certificada, es esencial que lleve a cabo un ciclo completo de auditorías internas, revisiones de la gestión y actividades en el proceso de PDCA y conserve las evidencia de las acciones y decisiones tomadas como resultado de estas revisiones y auditorías. La gestión del SGSI revisará las evaluaciones de riesgos, RTP, SOA y las políticas y procedimientos al menos una vez al año.

La auditoría de certificación inicial se divide en dos fases, fase 1 y fase 2. La fase 1 es una auditoría predominantemente documental para verificar que el sistema de gestión es capaz de ser auditado en una auditoría de certificación de fase 2, es en esta etapa que se prepara el plan de auditoría de la fase 2. La Fase 2 es una auditoría donde se aplican todas las técnicas, con verificación documental, entrevistas, evaluación de procesos, evaluación de infraestructuras, etc. Esta etapa tiene el mayor número de días de auditoría y, en consecuencia, el mayor muestreo del ciclo de certificación.

Paso 10: Mantenga la mejora continua

La seguridad no es un destino, sino un viaje. Es posible que ya hayas sido auditado y certificado, pero es importante continuar monitoreando, ajustando y mejorando tu SGSI. A medida que tu empresa evoluciona y surgen nuevos riesgos, debes buscar oportunidades para mejorar los procesos y controles existentes.

La norma ISO 27001 requiere de auditorías internas periódicas como parte de este monitoreo continuo. Los auditores internos examinan los procesos y las políticas para buscar posibles debilidades y áreas de mejora antes de una nueva auditoría externa.

¿Cuánto cuesta implementar la norma ISO 27001?

Esta es a menudo la primera pregunta de los directores y dueños de empresas. Bueno, la respuesta no es inmediata y el costo total de la implementación dependerá de algunos factores:

  • El tamaño de tu empresa, es decir, el número de empleados (debes calcular solo los empleados que se incluirán en el alcance de la norma ISO 27001).
  • El nivel de criticidad de la información (por ejemplo, la información en los bancos se considera más crítica y requiere un mayor nivel de protección).
  • La tecnología que usa la organización (por ejemplo, los centros de datos tienden a tener costos más altos debido a sus sistemas complejos).
  • Requisitos legislativos (generalmente, los sectores financiero y gubernamental están fuertemente regulados con respecto a la seguridad de la información).

Además, existen todos los demás costos posibles que pueden ocurrir durante la implementación, tales como: capacitación y literatura, consultoría, nuevas tecnologías y certificación.

¿Cuál es el tiempo requerido para la implementar la norma ISO 27001?

¿Cuánto tardará? Es probable que esta sea la segunda pregunta después de la evaluar los costos. Bueno, la respuesta no es realmente motivadora: muchas personas creen que la implementación solo toma unas pocas semanas. Pero, eso no es nada realista. La realidad es de unos meses para las empresas más pequeñas hasta más de un año para las organizaciones más grandes.

Por supuesto, siempre puedes producir docenas de documentos en cuestión de días afirmando que se cumple con la norma ISO 27001, pero esto no es lo que trata la verdadera implementación de la norma con el propósito real de producir resultados – menos incidentes, mayor eficiencia, reducción de costos, etc.

La duración y la complejidad pueden ser mucho más cortas si hay una ayuda de consultoría o herramientas de software. Si estás tratando de hacer esto solo, sin ayuda, sin duda va a tomar mucho más tiempo.

¿Cómo SoftExpert puede ayudarte?

Con SoftExpert, tienes acceso a la solución de software más completa y avanzada del mercado para la gestión de la seguridad de la información. SoftExpert Excellence Suite  lo ayuda a cumplir con la ISO/IEC 27001, reduciendo los costos de cumplimiento, maximizando el éxito, aumentando la productividad y reduciendo los riesgos.

Con la solución de SoftExpert puedes cumplir fácilmente los requisitos de la norma ISO 27001, garantizando los tres pilares de la seguridad de la información: Confidencialidad, Integridad y Disponibilidad (CID). Esta le ayudará en diversos procesos como gestión de riesgos, controles, políticas de seguridad de la información, activos, incidentes, proveedores, indicadores de desempeño, procesos, entre otros. Esto impulsará la eficiencia organizacional en tu empresa y reducirá el retrabajo y el desperdicio.

¿Quieres saber más sobre nuestra solución? ¡Solicita una demostracón ahora!

Quero solicitar uma demo

    Camilla Christino

    Autor

    Camilla Christino

    Camilla Christino es Analista de Negocios en SoftExpert, graduada en Ingeniería de Alimentos en el Instituto Mauá de Tecnologia. Tiene una sólida experiencia en el área de la calidad en las industrias alimentarias con un enfoque en el seguimiento y adecuación de los procesos de auditoría interna y externa, documentación del sistema de gestión de la calidad (ISO 9001, FSSC 22000, ISO / IEC 17025), Control de Calidad, Asuntos reglamentarios, buenas prácticas de fabricación (BPF)/normas de correcta fabricación (NCF), HACCP y FCC. También está certificada como auditor líder en la norma ISO 9001: 2015.

    ¡Reciba contenido gratuito en su e-mail!

    Inscríbase en nuestra Newsletter y reciba contenidos sobre las mejores prácticas en gestión producidos por especialistas.

    Al hacer clic en el siguiente botón, usted confirma que ha leído y acepta nuestra Política de Privacidad.

    Por favor, rellene el formulario para descargar

    Campo obligatorio
    Campo obligatorio
    Campo obligatorio
    Por favor , introduce um número de teléfone válido
    Campo obligatorio

    Al hacer clic en el siguiente botón, usted confirma que ha leído y acepta nuestra Política de Privacidad