Saltear al contenido principal

Los pasos a seguir para implementar un SGSI

ISO-27001

ISO 27001

El estándar ISO 27001 presenta diferentes etapas para el alcance de la implantación del Sistema de Gestión de Seguridad de la Información. Durante este artículo vamos a ver las etapas de implantación y la de evaluación.

Implantación

Cuando se comienza a implementar un SGSI se deben realizar las siguientes acciones:

  • Implementar durante el primer año el programa de trabajo que se definió en la etapa anterior.
  • Registro y control de los resultados de la implementación del programa de trabajo, con lo que se debe verificar el alcance del nivel de cumplimiento de todos los controles que existen para minimizar los riesgos a los que se enfrentan al realizar el diagnóstico.
  • Se comienzan a medir los indicadores que han sido definidos en el sistema, además se debe establecer la fecha de inicio y los periodos para llevar a cabo el cálculo.
  • Se tiene que controlar el potencial de cumplimiento durante la implementación del programa de trabajo.

Se deben entregar los documentos necesarios para realizar la implementación, ya que ésta cuenta con dos etapas acumulativas, por esto se tiene que establecer la planificación y el diagnóstico de las actualizaciones. Todos los documentos de dicha etapa se cogen de la etapa anterior.

Ejecución de actividades

Se registran en la plantilla de trabajo del Sistema de Gestión de Seguridad de la Información en la etapa en la que se quieren registrar las actividades. Se pueden prever las desviaciones que sean admisibles y que no supongan un incumplimiento de la norma ISO 27001, gracias al compromiso anual durante la implantación. Todas las desviaciones deben ir junto a su justificante, puede ser externo a la gestión, pero siempre se puede verificar y aceptar por la red de expertos.

Registrar la implementación del producto que se encuentra asociado al control del diagnóstico se tiene que plasmar durante la señalización de todas las evidencias. Dichas evidencias deben estar controladas para cumplir con su fin, de lo contrario no serán válidas.

Avance de la implantación

Cuando se desea implementar un Sistema de Gestión de Seguridad de la Información se tiene que conocer el porcentaje de avance de la implantación de cada dominio de seguridad, por lo que se debe realizar un breve resumen con todos los avances.

Medición de indicadores

Se tiene que registrar los datos que miden los diferentes indicadores que han sido diseñados durante la segunda etapa, esto facilita que se realicen los cálculos necesarios para dar a conocer las diferentes mediciones. Todo debe encontrarse registrado con la medición de los indicadores.

Los valores que se obtienen al ser utilizados durante la evaluación de la efectividad de los controles de implementación durante la mitigación de muchos riesgos. Sabemos que existen muchos tipos de indicadores, obtenidos gracias a la gran cantidad de mediciones que se realizan. Depende del orden de implantación, de los periodos en los que se utiliza para realizar el cálculo y la naturaleza de los tratamientos que se les debe aplicar a todos los indicadores.

No se puede olvidar, que cuando se realiza una medición efectiva de algún indicador, ésta puede estar respaldad por un medio de verificación que tiene fecha de inicio y se sigue durante el periodo de cálculo del indicador.

Evaluación

El fin perseguido por la etapa de verificación y validación del Sistema de Gestión de Seguridad de la Información es la encontrase bajo la implementación del Plan General del Sistema de Gestión de Seguridad de la Información según establece la norma ISO 27001.

Todas las acciones que se llevan a cabo son:

  • Evaluación de los diferentes resultados obtenidos con la implementación del Plan General de Seguridad de la Información y el Programa de Trabajo Anual, en el que se declara y se revisan los riesgos que persisten y se formulan.
  • Se puede llegar a difundir a todos los trabajadores los resultados obtenidos de la evaluación del Programa de Trabajo Anual. Se debe considerar la introducción de terceras personas en los procesos de la empresa. Estas personas pueden ser contratados, clientes, etc.
  • Se debe realizar el diseño de un Programa de Seguimiento en que se pueden introducir fácilmente las recomendaciones que han sido aprobadas anteriormente.
  • Se debe mantener un alto grado de desarrollo del Sistema de Gestión de Seguridad de la Información según la etapa en la que nos encontremos. Se incorpora la programación de las actividades de mejora continua y control, además se puede considerar la realización de un ciclo de mejora continua y un análisis de riesgos.

Se tiene que realizar un análisis de todas las medidas efectivas que han sido obtenidas de los distintos indicadores y todas las propuestas que son mejoradas para evitar las desviaciones.

Es imprescindible ejecutar las auditorías del Sistema de Gestión de Seguridad de la Información según la norma  ISO 27001 realizando revisiones internas por parte del encargado de seguridad, auditorías internas, externas, etc.

Software para ISO 27001

El Software ISOTools Excellence ISO27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa. Toda protección es importante, por mínima que sea, pues el mínimo descuido puede ocasionar una violación de los datos de la misma.

¿Desea saber más?

Entradas relacionadas

Volver arriba