ISO 27001
La norma ISO 27001 es una norma internacional elaborada y desarrollada por la International Standards Organization, conocida comúnmente como ISO. Esta norma abarca toda la gestión relativa a la seguridad de la información dentro de una empresa. La versión más actualizada que podemos encontrar de esta norma es la ISO 27001 2013, publicada en ese mismo año. Esta norma se ha ido renovando y actualizando desde su primera publicación en 2005, la cual fue desarrollada a partir de la norma británica BS 7799-2.
La implementación de la norma ISO 27001 puede llevarse a cabo en cualquier empresa, indiferentemente del sector en que desempeñe su actividad. Así mismo independientemente del tamaño o la actividad de la misma. Para su desarrollo se reunieron un grupo de especialistas en seguridad de la información. Gracias a esta norma se proporciona una metodología para la implantación de la gestión de la seguridad de la información en la empresa. Ofrece la posibilidad de certificarse a través de cualquier organismo acreditado para ello. Es decir, aquel organismo autorizado para la certificación debe asegurar que la seguridad de la organización se ha implantado conforme a los requisitos de la ISO 27001.
Al principio puede tenerse un cierto temor debido al desconocimiento de si nuestro Sistema de Gestión de Seguridad de la Información está listo para todas las exigencias o requerimientos que solicitará el auditor encargado de emitir el certificado.A día de hoy, la ISO 27001 es una norma de referencia en seguridad de la información a nivel mundial. Por ello, multitud de organizaciones ya han comenzado a prepararse para poder certificarse en la norma.
Revisión de la documentación
En primer lugar, el auditor desarrollará la primera fase de la auditoria, la “Revisión de la documentación”. Para esta fase el auditor requerirá información relativa al Sistema de Gestión de Seguridad de la Información. Entre esta documentación se encuentra:
- Alcance de un SGSI
- Política
- Objetivos
- Descripción de la metodología de evaluación de riesgos
- Informe acerca de la evaluación de los riesgos
- Declaración de aplicabilidad
- Plan de tratamiento del riesgo
- Procedimientos para el control de documentos
- Medidas correctivas y preventiva
- Auditoría interna
Junto con estos documentos deben de presentarse otra serie de controles del Anexo A. Dichos controles solo son aplicables en la declaración de aplicabilidad:
- Inventario de activos
- Uso aceptable de activos
- Tareas y responsabilidades de los trabajadores, contratistas y terceros
- Términos generales de empleo
- Procedimientos para el funcionamiento de las instalaciones de procesamiento de información
- Política de control de acceso
- Identificación de la legislación
- Registro de la auditoría interna y revisión por la alta dirección
Si faltase alguno de los elementos mencionados anteriormente, la empresa no estaría preparada para pasar a la siguiente fase. Está permitido el uso de otros documentos pero siempre y cuando se garantice el cumplimiento de los que hemos enumerado.
Auditoría principal
En segundo lugar, el auditor llevará a cabo la segunda fase “Auditoria principal”. Esta se realiza después de unas semanas tras haber acabado la Fase 1. El enfoque principal de esta auditoría es el de examinar la organización en sí. De esta manera se comprobará que lleva a cabo los documentos siguiendo las pautas de la norma ISO 27001.
Dicho de otra manera, el auditor debe comprobar si el Sistema de Gestión de Seguridad de la Información se ha materializado correctamente en la organización. Esto debe llevarse a cabo a través de la observación y de entrevistas con los empleados, controlado por los registros. Entre dichos registros de carácter obligatorio deben de incluirse aquellos que corresponden a:
- Formación
- Capacitación
- Habilidades
- Experiencia
- Calificaciones
Si el auditor encuentra algún incumplimiento grave es muy probable que no emita la certificación de la norma ISO 27001.
Si se da esta situación, el proceso que se lleva a cabo es el siguiente:
- El auditor informa de los resultados en el informe de auditoría.
- Se habilita un plazo para solucionar el incumplimiento.
- La organización debe llevar a cabo las medidas correctivas correspondientes para solucionar el origen del incumplimiento.
- Cuando se garantice la aplicación de las medidas correctas se debe notificar el auditor con la evidencia de lo que se ha llevado a cabo.
En la mayor parte de los casos, si se ha llevado a cabo un trabajo de manera inteligente, el auditor debe aceptar la medida correctiva y activar el proceso de emisión del certificado.
Software ISO 27001
La herramienta ofrecida por el Software ISOTools Excellence para la norma ISO 27001 con el objetivo de implementar en la organización el Sistema de Gestión de Seguridad de la Información, está capacitada para responder a numerosos controles para el tratamiento de la información gracias a las aplicaciones que contiene y que son totalmente configurables según los requerimientos de cada organización.
¿Desea saber más?
Entradas relacionadas
31 enero, 2018
Compliance La ley 30424, ha sido modificada por el D. Leg. 1352, que exige la implantación de un…
26 diciembre, 2017
Proveedores Hoy en día pocos fabricantes dan la importancia que tiene a auditar sus proveedores sin darse cuenta…
19 diciembre, 2017
Ley 29783 Durante este artículo hablaremos sobre cómo se puede automatizar los requisitos establecidos en la ley 29783.…
12 diciembre, 2017
Gestión del rendimiento La gestión del rendimiento es uno de los siete subsistemas que componen el Sistema Administrativo…