ISO 27001: Implementación y evaluación

ISO 27001

En la norma ISO 27001 encontramos diferentes etapas a la hora de realizar la implementación de un Sistema de Gestión de Seguridad de la Información. Durante este post vamos a hablar sobre la tercera etapa (implementación) y la cuarta etapa (evaluación).

Etapa III: Implementación

A la hora de comenzar a implementar un Sistema de Gestión de Seguridad de la Información se deben realizar las siguientes acciones:

1. Implementar dentro del año en curso el programa de trabajo anual definido en la etapa anterior, es decir, en la etapa dos.
2. Registrar y controlar todos los resultados de la implementación del programa de trabajo, con lo que podemos verificar el alcance del nivel de cumplimiento de los controles que se requieren en el servicio utilizado para mitigar los riesgos contra la cobertura de controles que se declara durante el diagnóstico.
3. Se debe comenzar a medir todos los indicadores de desempeño definidos en el sistema, teniendo en cuenta las fechas de inicio y los periodos establecidos de cálculo.
4. Hay que controlar el porcentaje de cumplimiento conseguido con el dominio, según la implementación del Programa de Trabajo Anual.

Los documentos que se deben entregar para realizar dicha implementación depende de las etapas si son acumulativas, ya que se tiene que indicar si el diagnóstico y la planificación con las actualizaciones correspondientes. Los documentos propios de esta etapa se agregan a los de las etapas anteriormente mencionadas.

Ejecución de actividades

Dentro de la misma planilla de trabajo del Sistema de Seguridad de la Información en esta etapa se tiene que registrar el término real de las actividades cuantificado las desviaciones. Se tiene que prever que las desviaciones admisibles son las que no suponen el incumplimiento del compromiso durante el año de la implementación. Cualquier tipo de desviación tendrá que contar con una causa justificada, que sea externa a la gestión, siendo verificada y aceptada por la Red de Expertos.

El registro de la implementación de un producto, se encuentra asociado al control desde el diagnostico, se tiene que plasmar señalando la evidencia de ello, en el último hito del producto en sí. La evidencia tiene que contener el sufriente control para cual fue definido, de lo contrario no será válido como tal.

Avance de la implementación

Cuando deseamos implementar un Sistema de Seguridad de la Información se tiene que indicar el porcentaje del avance durante la implementación por cada dominio de seguridad, esto debe realizarse en una hoja denominada “Resumen Avance”.

Medición de indicadores

Se tiene que registrar los datos para medir los indicadores que se han diseñado durante la segunda etapa, lo que permite realizar los cálculos necesarios para obtener las mediciones de una forma efectiva. Todo esto debe quedar registrado en la hoja denominada “Medición Indicadores”.

Los valores obtenido gracias a la estas ediciones serán utilizados para evaluar la efectividad de los controles de implementación durante la mitigación de ciertos riesgos. Se puede entender que hay algunos indicadores con mayor cantidad de mediciones que otros, puesto que esto depende del orden de implementación seguido, de los periodos utilizados durante el cálculo establecido y la naturaleza de los tratamientos a los que se les aplican los indicadores.

Se debe tener presente, que cuando se presente una medición efectiva de cualquier indicador, se tiene que respaldar mediante algún medio de verificación que tiene que ser consistente a fecha de inicio del registro y durante el periodo de cálculo establecido para el indicador.

Etapa IV: Evaluación

La finalidad de esta etapa es  realizar una verificación y una validación de Sistemas de Seguridad de la Información, ya sea durante su operación como en los aspectos que aún pudieran encontrarse bajo la implementación del Plan General del Sistema de Seguridad de la Información ISO27001. Esto generará que se retroalimente el Sistema haciendo mucho más fácil la corrección de debilidades y su mejora continua de una efectiva.

Las acciones que se deben llevar a cabo son:

1. Evaluación de todos los resultados obtenidos de la implementación del Plan General de Seguridad de la Información y el Programa de Trabajo Anual, revisar y declarar riesgos persistentes y formular las recomendaciones de mejora.
2. Se tiene que difundir  a todos los trabajadores los resultados obtenidos de realizar la evaluación del Plan y Programa de Trabajo Anual. Se tiene que considerar de forma adicional a terceras personas que sean relevantes, pero cuando les corresponda. Estas personas relevantes pueden ser clientes, proveedores, beneficiarios, etc.
3. Se debe diseñar un Programa de Seguimiento en el que encontrar de una forma fácil todas las recomendaciones aprobadas por el CSI.
4. Hay que mantener el grado de desarrollo del Sistema de acuerdo a cada una de las etapas, incorporando en su programación todas las actividades de control y mejora continua, que consideren al menos: el establecimiento durante la realización del ciclo de mejora continua en el que se incluyan las actualizaciones de inventario de todos los  activos de información y su correspondiente análisis de riesgo, además de la definición de los planes de tratamiento de riesgo cuando sea correspondiente. Analizar las mediciones efectivas obtenidas para los indicadores formulados y propuestas de medidas de mejora cuando se detecten ciertas desviaciones, que hayan sido sancionadas por el CSI.  Ejecución de auditorías regulares en la operación del Sistema de Seguridad de la Información, como pueden ser revisiones internas del Encargado de Seguridad, auditorías internas, externas, etc.

Software para ISO 27001

El Software ISO-27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa. Toda protección es importante, por mínima que sea, pues el mínimo descuido puede ocasionar una violación de los datos de la misma.