La ISO 27001 es la norma interna más importante para garantizar la seguridad de la información. Si se aplica correctamente, protege tu entorno y el uso de los equipos tecnológicos. Sin embargo, su implementación no es fácil: de hecho, muchas organizaciones se sienten abrumadas, no saben por dónde comenzar, o se encuentran perdidas durante el proceso.
En este artículo examinaremos algunas ventajas de la norma y cómo te ayudará en tu organización. A continuación, te vamos a proporcionar una checklist para implementar el estándar ISO 27001, con pasos manejables y sencillos para que puedas adaptarla a tu escenario y necesidades específicas. Todo esto acompañado por una plantilla descargable. Por último, te presentaremos un conjunto de buenas prácticas y consejos útiles para que el procedimiento resulte un éxito.
¿Estás preparado para iniciarte en el mundo de la ISO 27001? Comencemos
¿Quién puede beneficiarse de la aplicación de la norma ISO 27001?
La implementación de la norma ISO 27001 proporciona muchas ventajas importantes orientadas a mejorar el funcionamiento de las organizaciones.
En particular las ayuda a:
- Reforzar la seguridad de los datos.
- Aumentar el compromiso de los empleados.
- Perfeccionar continuamente los procesos.
- Proteger los activos de información.
- Prepararse para el futuro.
- Diferenciarse en un mercado muy competitivo.
Si bien la norma ISO 27001 es importante para todas las organizaciones, resulta clave para aquellas que gestionan información sensible o datos que deben protegerse (personales y financieros, entre otros), ya sean grandes o pequeñas, y de cualquier rubro, como:
- Autoridades sanitarias, proveedores y hospitales.
- Instituciones financieras y bancos.
- Agencias gubernamentales.
- Instituciones educativas como colegios, escuelas y universidades.
- Compañías de seguros.
- Ecommerce y minoristas online.
- Empresas de tecnología y software.
- Organizaciones sin fines de lucro y benéficas.
- Empresas manufactureras e industrias.
- Proveedores de servicios.
En síntesis, la norma garantiza la protección de la información sensible, así como a los propios empleados y clientes. Además, reduce el riesgo de violaciones.
La aplicación de la ISO 27001 es una declaración, ya que a través de ella comunicas a las partes interesadas que tu organización se preocupa por mantener seguros sus datos y, por extensión, a sus empleados y clientes. Existe un compromiso deliberado con las mejores prácticas en ese aspecto.
Los 20 pasos de la checklist para implementar el estándar ISO 27001
La aplicación de la norma ISO 27001 supone una inversión importante de tiempo, esfuerzo y recursos: si intentas hacer demasiado de una vez, te sentirás abrumado. Por eso, la mejor forma de abordar esta tarea es dividirla en conjuntos de trabajo más pequeños y factibles.
Aquí los principales pasos de la checklist para implementar el estándar ISO 27001:
- Conseguir la aceptación y el apoyo
- Establecer un órgano de gobernanza
- Crear una hoja de ruta
- Definir un ámbito de aplicación
- Crear una política de seguridad de la información
- Definir la metodología de evaluación de los riesgos
- Crear un registro de los riesgos
- Realizar la evaluación de los riesgos
- Redactar la declaración de aplicabilidad
- Redactar el plan de tratamiento de los riesgos
- Definir cómo medir la eficacia de los controles
- Implementar los controles de seguridad
- Crear un programa de formación y concientización
- Hacer funcionar la checklist de la ISMS
- Hacer el seguimiento y la medición de la ISMS
- Crear un inventario
- Realizar auditorías internas
- Disponer de un plan para auditorías externas
- Tomar medidas correctivas cuando sea necesario
- Incorporar la mejora continua
Ahora veamos cada uno de ellos con más detalle.
1. Conseguir la aceptación y el apoyo
Como la norma ISO 27001 no es una actividad para hacer una sola vez y desligarse para siempre, necesitarás apoyo. Así que prepara el escenario o fracasarás con el primer obstáculo: consigue el aval de la empresa, de los equipos de asistencia y de tus colegas.
En concreto, debes hacer lo siguiente:
- Recopila información sobre las ventajas de la norma ISO 27001 para poder exponerlas, así como los motivos de por qué es necesaria.
- Identifica a las partes interesadas de tu organización que actuarán como promotores de la iniciativa.
- No te olvides de tu service desk y de los equipos de soporte técnico, que tendrán que estar familiarizados con los requisitos en materia de seguridad de la información.
2. Establecer un órgano de gobernanza
La norma necesita un órgano de gobernanza que la respalde.
Así que en este paso de la checklist para implementar el estándar ISO 27001:
- Designa un director de proyecto que monitoree la implementación de la ISMS.
- Selecciona un equipo para llevar a cabo las actividades de aplicación.
- Aborda la implementación como un proyecto para que cuente con el apoyo y la gobernanza adecuados.
3. Crear una hoja de ruta
Para que la aplicación tenga éxito se requiere una hoja de ruta bien constituida que sirva de guía al equipo.
Para ello:
- Utiliza el ciclo Deming, que consiste en planificar, hacer, comprobar y actuar para reconocer lagunas o desafíos, así como para captar ideas de mejora y corrección.
- Trabaja con tu órgano de gobernanza y el equipo del proyecto para establecer hitos clave.
- Crea criterios de calidad para que tú y tu equipo se aseguren de que todo, en cada etapa, se completó eficazmente, antes de pasar a la siguiente fase.
4. Definir un ámbito de aplicación
Muchas organizaciones muestran problemas con la implementación de la norma ISO 27001 porque no toman en cuenta su ámbito de aplicación.
Así que en esta fase:
- Comprueba los requisitos del alcance de la norma y compáralos con las necesidades específicas de tu organización.
- Trabaja con tu equipo para determinar qué debe protegerse o asegurarse para que coincida con cualquier otro objetivo estratégico.
- Identifica las dependencias y los puntos de contacto.
- Comprende el impacto completo que tendrá en tu organización; identificando cualquier otro equipo que pudiera verse afectado por tus decisiones en materia de seguridad de la información.
5. Crear una política de seguridad de la información
La creación de una política de seguridad de la información es crucial en el proceso de implementación, ya que establece qué está permitido y qué prohibido.
Aquí, los consejos de esta fase de la checklist para implementar el estándar ISO 27001:
- Si cuentas con un equipo de gobernanza, riesgo o cumplimiento, pregunta si existen plantillas que puedas utilizar para que tengan un aspecto coherente con la documentación de políticas, de modo que sea fácil de comprender por el personal.
- Define los requisitos básicos de seguridad de la información de tu organización, y recuerda que los detalles vienen de la mano de los procesos y procedimientos que la sustentarán.
- Incluye una sección de objetivos para establecer qué tipo de seguridad de la información es necesaria.
- Asigna funciones y responsabilidades para garantizar que todos saben a quién corresponde la implementación, el mantenimiento y la elaboración de reportes sobre el rendimiento de la ISMS.
6. Definir la metodología de la evaluación de los riesgos
La gestión del riesgo es un componente clave de la norma. Como tal, resulta fundamental crear una metodología de evaluación sólida para definir las reglas para identificar dichos riesgos, los impactos y sus probabilidades, así como el nivel aceptable para la organización.
Así que haz lo siguiente:
- Codifica la forma en que tu organización gestionará los riesgos de seguridad de la información.
- Crea una matriz para identificar la probabilidad del riesgo y su impacto.
- Identifica escenarios en los que la información, los sistemas o los servicios podrían verse comprometidos.
7. Crear un registro de los riesgos
La checklist para implementar el estándar ISO 217001 también contempla crear un registro de los riesgos para identificar, priorizar y actuar cuando éstos aparezcan.
Los consejos en esta fase son:
- Asegúrate de que sea fácil registrar y gestionar los riesgos.
- Crea resúmenes claros y fáciles de entender de cada riesgo.
- Garantiza que sean visibles la probabilidad y el impacto de cada riesgo.
8. Realizar la evaluación de los riesgos
Una vez que tengas tu registro, es hora de realizar las evaluaciones de los riesgos de la norma ISO 27001.
Al efectuarlas:
- Asegúrate de que todos están familiarizados con la metodología de los riesgos definida en los pasos anteriores.
- Identifica las amenazas y vulnerabilidades.
- Evalúa la probabilidad y el impacto de los riesgos.
- Selecciona y prioriza las opciones de tratamiento de los riesgos.
- Aplica los tratamientos elegidos.
- Monitorea y revisa de forma continua todos los riesgos.
9. Redactar la declaración de aplicabilidad
Una vez concluido el proceso de evaluación y tratamiento de los riesgos, comprenderás claramente los controles ISO 27001 Anexo A. El documento de la Declaración de Aplicabilidad o Statement of Applicability (SoA) debe enumerar todos los controles aplicables, proporcionar las razones para su selección u omisión, y describir cómo se implementan en la organización.
Entonces, cuando redactes tu SoA haz lo siguiente:
- Identifica qué controles se aplican en tu organización.
- Describe brevemente cada control aplicable.
- Explica las razones para incluir o excluir controles de la SoA.
- Describe cómo se aplica y gestiona cada control.
- Aporta pruebas de que el control funciona según lo previsto y es eficaz para reducir los riesgos a un nivel aceptable.
- Garantiza que la SoA se revisa y actualiza periódicamente para reflejar los cambios en el Sistema de Gestión de la Seguridad de la Información de la organización y también para avalar que cada control sigue siendo adecuado para su propósito.
10. Redactar el plan de tratamiento de los riesgos
El plan es necesario para reaccionar ante los riesgos que puedan afectar la confidencialidad, integridad y disponibilidad de los activos de información o CIA.
Al momento de crearlo:
- Diseña una respuesta para cada riesgo (Tratamiento de Riesgos).
- Asigna un responsable a cada riesgo identificado.
- Asigna responsables de actividades y mitigación de riesgos.
- Establece fechas objetivo para completar las actividades de tratamiento de riesgos para que puedan ser rastreadas y gestionadas a lo largo del tiempo.
11. Definir cómo medir la eficacia de tus controles
Para medir la eficacia de tus controles, necesitas una directriz sólida. De lo contrario, obtendrás la ISMS de Schrödinger.
Así que considera:
- Un plan para medir los objetivos de los controles.
- Crea Indicadores Clave de Rendimiento o KPIs para medir la eficacia de tus controles, como el número de incidentes de seguridad evitados, la reducción de la exposición al riesgo, el porcentaje de personas que completaron la formación adecuada o el índice de cumplimiento de los reglamentos o normas pertinentes.
- Lleva a cabo pruebas periódicas de los controles para identificar debilidades y vulnerabilidades y para determinar qué tan bien funcionan los controles en la práctica.
12. Implementar los controles de seguridad
Esta etapa de la implementación ayuda a los departamentos de IT a controlar los riesgos que podrían afectar la integridad de los activos de información.
En esta fase:
- Asegúrate de que las políticas y procedimientos adecuados respalden tus nuevos controles.
- Cuenta con protocolos para hacer cumplir los nuevos comportamientos y gestionar las excepciones.
13. Crear un programa de formación y concientización
Una ISO 27001 necesitará formación y un plan de concientización para garantizar que se integren los cambios en los comportamientos y las formas de trabajo.
Por lo tanto:
- Crea contenidos de capacitación y difúndelos entre todos.
- Trabaja con RR.HH. para garantizar que la formación sobre la ISO se encuentra en las actividades de onboarding, y también que se requieren encuentros periódicos de actualización.
- Define las expectativas de los empleados en cuanto a su papel en el mantenimiento de la ISMS.
- Capacita al personal sobre las amenazas comunes a las que se enfrenta tu organización y cómo responder a ellas.
14. Hacer funcionar la checklist de la ISMS
La checklist de para implementar el estándar ISO 27001 te ayuda a gestionar los riesgos, controles e incidentes de seguridad.
Consta de cuatro secciones principales:
- Planificación de un Programa de Seguridad de la Información.
- Desarrollo de políticas, procedimientos, normas, directrices y documentación.
- Implementación de los controles.
- Medición de las métricas de rendimiento.
15. Hacer el seguimiento y la medición de la ISMS
Para medir tu ISMS de forma eficaz, establece actividades regulares de seguimiento. De esta manera, podrás ver si está funcionando bien y si se notificaron incidentes de seguridad.
En concreto:
- Define qué necesita ser monitoreado dentro del alcance de la ISMS de tu organización, considerando los riesgos, vulnerabilidades, amenazas e impactos resultantes de no cumplir con los estándares o de no gestionar el riesgo adecuadamente.
- Asigna a una persona o grupo la responsabilidad de la supervisión para evitar duplicaciones o confusiones.
- Crea un plan sobre cómo se van a monitorear tus actividades utilizando recursos como políticas, directrices o normas que ya estén en vigor.
16. Crear un inventario
Para que tu ISMS tenga éxito, debes crear un inventario completo y detallado de tus activos de información de acuerdo con la norma ISO 27001. Es importante que incluya tanto los tangibles como aquellos intangibles y que cada uno tenga asignado un propietario, que será responsable de su seguridad.
Un software de ITAM te ayudará en todo este proceso y también en el cumplimiento de la norma ISO 27001.
En concreto, la herramienta contribuye a:
- Monitorear el cumplimiento de la seguridad de los activos de IT.
- Detectar dispositivos que ejecutan software no autorizado.
- Informar sobre dispositivos que ejecutan versiones de software obsoletas.
- Comprobar los vencimientos próximos de las garantías de los activos.
17. Realizar auditorías internas
Una excelente manera de prepararse para las auditorías externas y de mantener la transparencia es mediante las auditorías internas.
En ese sentido:
- Asigna recursos internos con las habilidades y competencias necesarias y que estén excluidas del desarrollo y mantenimiento de la ISMS.
- Verifica la conformidad con los requisitos de la norma, el alcance y la SoA.
- Comparte los resultados de la auditoría interna con el órgano de gobernanza de la ISMS y la alta dirección, incluidos los hallazgos, los riesgos y las no conformidades.
- Soluciona todos los problemas identificados antes de proceder con la auditoría externa.
18. Disponer de un plan para las auditorías externas
Este es uno de los pasos finales de la checklist para implementar el estándar ISO 27001, tras haber ejecutado el trabajo duro y realizado la auditoría interna.
Ahora:
- Contrata a un auditor ISO 27001 independiente.
- Realiza una Auditoría de Fase 1 consistente en una revisión exhaustiva de la documentación; y obtén información sobre si estás preparado para pasar a la Auditoría de Fase 2.
- Lleva a cabo la Auditoría de Fase 2 que involucra pruebas realizadas en la ISMS para asegurar el diseño adecuado, la implementación y la funcionalidad en curso, y para evaluar la imparcialidad, la idoneidad y la aplicación efectiva y el funcionamiento de los controles.
19. Tomar medidas correctivas cuando sea necesario
Un plan para gestionar las acciones correctivas incluye:
- Asegurarse de que se abordan todos los requisitos de la norma ISO 27001.
- Examinar si la organización y su personal siguen los procesos especificados y documentados.
- Garantizar que la organización cumple los requisitos contractuales con terceros y socios.
- Abordar cualquier no conformidad identificada por el auditor de la norma ISO 27001.
- Revisar la validación formal del auditor tras la resolución de hallazgos y no conformidades.
20. Incorporar la mejora continua
Para cerrar, debes contar con un plan de mejora a lo largo del tiempo.
Entre los aspectos a tener en cuenta figuran los siguientes:
- Planifica revisiones al menos una vez al año para asegurar que tus controles permanecen alineados con las necesidades del negocio y continúan siendo adecuados para su propósito y uso.
- Asegúrate de que la ISMS y sus objetivos siguen siendo adecuados y eficaces.
- Garantiza que la alta dirección permanece informada y actualizada sobre todas las actividades de información críticas.
Tres consejos para cumplir con la norma ISO 27001
Para ayudarte a lo largo del proceso para lograr la conformidad, aquí tres consejos cruciales:
- Crear una política sólida: abordar cualquier no conformidad identificada por el auditor. La política de seguridad de la información es un componente fundamental de la implementación de la norma ISO 27001, que describe el compromiso de una organización con la protección de los datos confidenciales y proporciona un marco para aplicar controles eficaces, eficientes y seguros.
- Asegurarse de que los proveedores externos y socios cumplen con la norma ISO 27001: es muy importante si se toma en serio la acreditación ISO 27001. Para ello, debes ser abierto sobre lo necesario para que ambas partes puedan colaborar y trabajar juntas de forma eficaz, además de garantizar que todos se sientan cómodos, incluyendo obligaciones contractuales de cumplimiento de la norma y auditorías periódicas de la ISMS de los proveedores.
- Mejorar continuamente la ISMS: conseguir la conformidad con la norma ISO 27001 no es una tarea que se realiza una vez y listo. Se trata de un proceso continuo que requiere revisiones y actualizaciones periódicas, con la finalidad de garantizar la eficacia de la protección de la seguridad de la información en la organización.
Reflexiones finales
La ISO 27001 es la norma de referencia para la seguridad de la información que te ayudará a proteger a los empleados, los clientes, los activos y a toda tu organización. Su cumplimiento también es una forma de mostrar tu compromiso con la seguridad.
La mejor manera, la más sencilla y la que garantiza la coherencia con los objetivos empresariales es contar con una checklist para implementar el estándar ISO 27001 para que no te saltees nada importante y mantengas la confianza durante todo el proceso.
Así que, ¡descarga la que te dejamos más arriba y comienza a implementar el estándar!