ISO 27001

ISO 27001: La implementación de un Sistema de Gestión de Seguridad de la Información

ISO 27001

SGSI

A la hora de implementar un Sistema de Gestión de Seguridad de la Información basado en el estándar internacional ISO 27001, debemos utilizar el ciclo PDCA (siglas en inglés) o PHVA (siglas en español).

Dicho ciclo cuenta con los siguientes pasos:

  • Planificar: se establece el Sistema de Gestión de Seguridad de la Información.
  • Hacer: se implementa el SGSI.
  • Verificar: revisión del Sistema de Gestión de Seguridad de la Información.
  • Actuar: en este paso del ciclo lo que se hace es mantener y mejorar el SGSI.

ciclo PHVA

Vamos a proceder a desarrollar cada uno de los pasos del ciclo en detalle:

Planificar

Debemos definir el alcance del Sistema de Gestión de Seguridad de la Información según la norma ISO 14001, es decir, definir los términos de negocio, la organización, la localización de esta, los activos y la tecnología con la que cuenta, además de establecer la justificación necesaria de cualquier exclusión.

Hay que definir perfectamente una política de seguridad en la que se incluyen:

  • El marco general y los objetivos de seguridad de la información que persigue la empresa.
  • Los requerimientos legales que afectan a la organización en materia de seguridad de la información.
  • Debe estar alineada con el contexto estratégico de gestión de riesgos que tenga implantado la organización, gracias al que se establecerá y mantendrá el Sistema de Gestión de Seguridad de la Información basado en la norma ISO27001.
  • Deben quedar claros cuáles serán los criterios a seguir a la hora de evaluar los diferentes riesgos.
  • Finalmente, debe estar aprobada por la alta dirección de la organización.

Durante este paso del ciclo también debemos definir la metodología de evaluación del riesgos que sea más apropiada para el Sistema de Gestión de Seguridad de la Información y todos los requerimientos que tenga el negocio, también hay que establecer todos los criterio sobre la aceptación del riesgo y especificar cuáles serán los niveles de riesgo aceptables. Lo principal que debemos tener en cuenta es que los resultados que obtengamos se puedan comprar y se puedan repetir.

Para poder identificar los riesgos debemos:

  • Identificar los activos que se encuentran al alcance del Sistema de Gestión de Seguridad de la Información y los responsables directos de estos.
  • Conocer las amenazas en relación con los activos.
  • Determinar cuáles son las vulnerabilidades que pueden ser aprovechadas por las amenazas.
  • Identificar los impactos que se pueden generar en la confidencialidad, la integridad y la disponibilidad de los activos.

Tenemos que realizar un análisis y una evaluación de riesgos:

  • Hay que evaluar el impacto que puede causar en el negocio un fallo en la seguridad que suponga la pérdida de datos confidenciales, la disponibilidad de un activo de información, etc.
  • Se debe estimar el nivel de riesgo.
  • Conocer si el riesgo es aceptable o no según los criterios de aceptación que hayan sido previamente establecidos.

Hay que identificar y evaluar todas las opciones de tratamiento de riesgos para poder:

  • Aplicar los controles adecuados.
  • Aceptar el riesgo, siempre que se cumplan todos los requisitos en las políticas.

Seleccionamos los objetivos de control y los controles de la norma ISO-27001 para poder tratar el riesgo, y así se cumplan todos los requerimientos identificados durante el proceso de evaluación del riesgo.

Se debe aprobar por parte de la alta dirección de la organización los riesgos residuales y la implantación del Sistema de Gestión de Seguridad de la Información.

Definimos una declaración de aplicabilidad que incluya:

  • Los diferentes objetivos de control y los controles seleccionados, además de todos los motivos que han declinado elegir esa selección.
  • Todos los objetivos de control y los controles que se encuentran actualmente implementados.

Hacer

Hay que definir un plan de tratamiento de riesgos en que se identifique las acciones, recursos, responsabilidades y prioridades durante la gestión de riesgos en el Sistema de Gestión de Seguridad de la Información.

Se debe implementar un plan de tratamiento de riesgos, persiguiendo el fin de alcanzar los objetivos de control identificados, incluyendo la asignación de recursos, las responsabilidades y las prioridades.

Se implementan controles que manejen los objetivos de control. Definimos un sistema de métricas que permita conseguir los resultados reproducibles y comparables a la hora de medir la eficacia de los controles.

Hay que generar programar de formación y concienciación con relación a la seguridad de la información de todo el personal. Se deben gestionar todas las operaciones referidas al Sistema de Gestión de Seguridad de la Información y gestionar todos los recursos necesarios para que el SGSI se mantenga.

Verificar

La empresa tiene que ejecutar los procedimientos de monitorización y revisión para detectar a tiempo todos los errores generados en los resultados obtenidos en el procesamiento de la información. Debe identificar las fisuras y los incidentes de seguridad y ayudar a la dirección de la organización a determinar si las actividades desarrolladas por las personas y los dispositivos tecnológicos que ayudan a garantizar la seguridad de la información.

Se deben detectar y prevenir, en la medida de lo posible, todos los incidentes de seguridad mediante la utilización de indicadores.

Y hay que determinar si las acciones que se realizaron para resolver las fisuras de seguridad, de las que hablábamos anteriormente, fueron efectivas.

La organización debe revisar regularmente la efectividad del Sistema de Gestión de Seguridad de la Información basado en la norma ISO 27001, que se cumple la política de seguridad y los objetivos del SGSI, además de revisar todos los resultados obtenidos en las auditorías, de los incidentes y las mediciones de eficacia, sugerencias y observaciones realizadas por todas las partes interesadas.

Actuar

La empresa deberá, cada cierto tiempo, implementar en el Sistema de Gestión de Seguridad de la Información todas las mejoras identificadas, realizar las acciones preventivas y correctivas que sean necesarias en relación a lo que disponga la norma ISO27001 y aprender de las experiencias propias que han ido viviendo y de otras organizaciones.

Hay que comunicar las acciones de mejora que se han tomado a toda la organización, con el nivel de detalle necesario y además, si es oportuno indicar la forma de proceder.

Se deben asegurar de que las mejoras introducidas están a la altura de todos los objetivos previstos por la organización.

Software para SGSI

El Software ISO-27001 facilita a las organizaciones la implementación de un Sistema de Gestión de Seguridad de la Información de una forma fácil y sencilla, ya que ofrece las herramientas necesarias para llevarlo a cabo.

Descargue el e-book fundamentos de gestión de Seguridad de la Información
Recibe Nuestra Newsletter
New Call-to-action
Nueva llamada a la acción
Volver arriba