Implementación paso a paso ISO 27001

Muchas compañías del mercado que buscan dar un salto en materia de Ciberseguridad y certificaciones apuntan a la Implementación ISO 27001:2022, en este post te contamos paso a paso como se implementa:

 

implementar iso 27001

La ISO 27001 es la norma internacional para los sistemas de gestión de la seguridad de la información (SGSI).
Este estándar brinda un marco de trabajo para proteger la información de las organizaciones y es aplicable a todo tipo y tamaño de empresa.
Las organizaciones se encuentran cada vez más expuestas a los riesgos relacionados con la seguridad de la información, por eso, la necesidad de implementación de un SGSI alineado a ISO 27001 se ha incrementado notablemente..

Este proceso de implementación lo podemos estructurar en 4 fases:

FASE 1: Proceso de planificación

Durante esta primera fase, se deberá definir los aspectos iniciales necesarios que definirán el SGSI.

1.1 Preparación
1.1.1 Definir alcance del SGSI: Determinar los límites dentro de los cuales operará el sistema y tendrá aplicación.
1.1.2 Selección del equipo involucrado en la implementación del SGSI
Definir las personas que formarán parte de este proyecto de implementación, y el rol que ocuparán.
1.1.3 Revisión y aprobación de la Política de Seguridad
Esta política establece las bases sobre las que se creará el SGSI. Esta política debe ser consensuada por la empresa y su difusión es fundamental para el éxito del proyecto.
1.1.4 Recopilar información de seguridad.
Se llevarán a cabo relevamientos de información necesarios para definir el nivel de seguridad en el que se encuentra la empresa y así poder a futuro definir un Plan acorde lo existente
1.2 Determinación de necesidades de protección
1.2.1 Definición de activos alcanzados por el SGSI y confección de inventario.
De todos los activos identificados, se deberán confeccionar inventarios y se clasificarán los elementos en base a criterios de seguridad con el fin de determinar su tratamiento.
1.2.2 Realización del Análisis de riesgo: Este proceso es la base de este estándar y consiste en evaluar los activos e identificar amenazas y vulnerabilidades relacionadas.
1.2.3 Estimación de riesgos: Se definirán las consecuencias potenciales en base al análisis del riesgo y de la vulnerabilidad.
1.2.4 Análisis de medidas de seguridad existentes y necesarias: En base al análisis de las riesgos encontrados, se deberán establecer nuevas medidas de seguridad que complementen las ya existentes con el fin de mitigar o controlar la ocurrencia de peligros de seguridad..
1.3 Determinación de requisitos de seguridad: Se deberán establecer todos aquellos requisitos necesarios para proteger la información identificada dentro del alcance del SGSI
1.4 Definición de controles de seguridad informática teniendo en cuenta:
•Requisitos y restricciones de la legislación.
•Objetivos de la organización.
•Requisitos y restricciones operacionales.
•Costo de la implementación y de la operación.
•Balancear la inversión en la implementación y la operación de controles contra el daño probable.
1.5 Definición de planes y procedimientos.
Este estándar establece una serie de documentación obligatoria que debe formar parte del SGSI. Además, será conveniente generar toda Política o procedimiento adicional que se considere necesario para una exitosa implementación, difusión y concientización del sistema.

FASE 2: Implementación del SGSI

2.1 Programa de implementación
2.1.1 Determinación de tiempos y responsables,
Una adecuada asignación de responsabilidades y planificación de los tiempos garantizará que el proceso de implementación pueda concretarse.
2.1.2 Concientización, formación y educación al personal involucrado.
Se deberá fomentar la formación y concientización a todos los involucrados en el SGSI, lo cual propiciará también un continuo refuerzo de la cultura de la seguridad.
2.1.3 Revisión de procedimientos y políticas.
La documentación generada debe encontrarse en continua revisión o adecuación, con el fin de que siempre refleje la manera de trabajar de la empresa y demás se adecue a los cambios legales, contractuales y de seguridad.
2.1.4 Distribución y difusión de directrices y normas de seguridad.
Es esencial definir medios adecuados para la difusión de las directrices y normas del SGSI. Estos medios deben garantizar que toda la empresa pueda acceder a esta información.
2.1.5 Implementar un proceso efectivo de medición de incidentes: El proceso de gestión de incidentes es fundamental no sólo para resguardar la seguridad de la información sino también como una herramienta de mejora continua y de aprendizaje para la empresa. Es una fuente imprescindible para la revisión de controles de seguridad.
2.1.6 Implementar un sistema de medición y control para evaluar el desempeño del SGSI: La capacidad de medir y controlar el desempeño de la empresa en cuanto al SGSI nos permitirá analizar el nivel de cumplimiento de los objetivos de seguridad. Los indicadores deben encontrarse alineados a estos objetivos y nos deben proporcionar información clara y concisa.

FASE 3: Proceso de verificación del SGSI

3.1 Revisar y evaluar el desempeño (eficiencia y eficacia) del SGSI a través de los indicadores definidos.
Esta revisión del desempeño del SGSI debe involucrar a la Alta dirección, con el fin de generar cambios a nivel organizacional.
3.2 Revisiones periódicas de los indicadores seleccionados.
La revisión de indicadores es parte fundamental de la mejora continua del SGSI.
3.3 Revisiones de los riesgos residuales y riesgos aceptables.
La revisión de riesgos por parte del Comité de riesgos debe llevarse a cabo con una periodicidad establecida, con el fin de evaluar y definir controles que garanticen la seguridad de la información.
3.4 Realización de auditorías internas/externas del SGSI.
Se debe establecer un Plan de auditorías internas/externas con el fin de comprobar que los requisitos y procesos de la organización han integrado correctamente los requisitos de la norma.
3.5 Comunicación de los resultados de las auditorías a las partes interesadas.
El proceso de auditorías internas/externas da como resultado informes de conformidad fundamentales para la toma de decisiones a nivel organizacional.

FASE 4: Proceso de Actualización del SGSI

4.1 Mejora continua del SGSI: El proceso de mejora continua es una práctica que debe involucrar a la Alta dirección, con el fin de mejorar constantemente los procesos y asi incrementar la eficiencia y el rendimiento de la organización.
4.2 Realizar los cambios que sean necesarios para mantener el máximo rendimiento del SGSI
La seguridad de la información representa un gran desafío para las empresas debido a su dinamismo y constante complejización. Esto demanda que las empresas se encuentren en continua búsqueda de actualización y adecuación al entorno y a los riesgos subyacentes.

 

¿Te gustaría implementar ISO 27001 en tu empresa?: Contactanos

Deja una respuesta