Documentos obligatorios en la ISO 27001

¿Qué documentos son obligatorios en la implementación SGSI?

Con la llegada de nuevas tecnologías, la implementación de la norma ISO 27001 sobre sistemas de gestión de la seguridad de la información, es casi un deber.

Es decir, la ISO 27001 está siendo clave para abordar la ciberseguridad en las empresas, aparte de la evidente legislación o reglamentación existente a nivel nacional en cada país.

En este sentido, uno de los requerimientos esenciales de cualquier norma, y que más quebraderos de cabeza da a los responsables de los sistemas de gestión, es la documentación y los registros (información documentada) que es necesaria para el óptimo desempeño, especialmente, para superar las auditorías.

Para ello, la gran mayoría de empresas acude a software de gestión, que les ayude a mantener la información y documentación centralizada y accesible y así, evitar incumplimientos por una mala organización

De este modo, en esta primera parte del artículo, queremos mostrar una forma práctica y sencilla de identificar cuál es esta información documentada que, en una auditoría, será solicitada para verificar el cumplimiento del sistema de gestión de la seguridad de la información basado en la norma ISO 27001.

No obstante, los aquí referidos son los documentos que obligatoriamente son requeridos para el cumplimiento, en artículos posteriores, les mostraremos los documentos no obligatorios, pero que son de uso frecuente en la ISO 27001.

Alcance del sistema de gestión de la seguridad de la información

Se trata de un documento redactado al inicio de la implementación de la ISO 27001 y que puede ir unificando con la política del sistema de gestión de la seguridad de la información.

Establece los límites del sistema de gestión.

Políticas y objetivos del SGSI

La política es un documento en el que la alta dirección se compromete a cumplir los objetivos establecidos para el sistema de gestión de la seguridad de la información, así como la mejora continua.

Los objetivos pueden ir redactados, aparte o bien, unificarlos con la política.

Metodología e informes de evaluación y tratamiento del riesgo

En este caso, hablamos de un documento más extenso, de unas 4 o 5 páginas, que se redacta antes de realizar la evaluación y tratamiento de los riesgos, ya que indica la forma en la que hay que llevarlo a cabo.

En cuanto al informe, es posterior y debe incluir los resultados obtenidos tras la evaluación y tratamiento del riesgo.

Declaración de aplicabilidad

También denominada DdA, es un documento que se redacta basándonos en el resultado obtenido en cuanto al tratamiento del riesgo.

Por lo tanto, es un documento fundamental, ya que en él se describen los controles del Anexo A a aplicar, además de cómo implementarlos y el estado en el que se encuentran en la actualidad.

Esencialmente, puede considerarse como un documento en el cual se describe el perfil de seguridad de la organización.

Plan de tratamiento del riesgo

Está basado en el DdA, y en él se desarrolla el plan de acción para la implementación de los controles establecidos en el citado documento.

Debe ser actualizado continuamente durante la implementación, y también puede fusionarse con el Plan de Proyecto.

Funciones y responsabilidades de seguridad

Tanto en la norma ISO 27001 como en el resto de normas, las funciones y responsabilidades deben ser definidas, siendo recomendable que estén descritas al detalle en todas las políticas y procedimientos.

Para terceros, estas funciones y responsabilidades quedan definidas en los contratos.

Inventario de activos

Hay que realizar un inventario de los activos que dispone la empresa y de sus propietarios, ya sea antes del proyecto de implementación de la ISO 27001, o bien, tras obtener el resultado de la evaluación de riesgos.

Uso aceptable de los activos

Aunque este control no queda bien definido en la norma ISO 27001, por lo general se redacta conforme a la estructura de una política y cubriendo un rango amplio de temas.

Política de control de acceso

En ella se establecen los usuarios con acceso a determinada información, documentación, redes o sistemas, siendo recomendable incluir el detalle del aspecto técnico en cuanto al control de acceso.

Adicionalmente, se aconseja definir una reglamentación específica para el acceso lógico y/o físico.

Es redactado tras la evaluación y tratamiento del riesgo.

Procedimientos operativos para gestión de TI

Puede unificarse en un único procedimiento o en varios procedimientos y políticas. Además, se puede englobar todas las áreas correspondientes a las secciones de la norma que van desde A. 12 a A. 13.

Es decir, los servicios a terceros, la transferencia de información, códigos maliciosos o gestión de cambios, entre otros.

Principios de ingeniería de seguridad

Se trata de un control que no estaba incluido en la versión anterior. Así, necesita que se fijen los principios de ingeniería de seguridad conforme a la estructura de un procedimiento.

En este documento, se define la forma en la que se incorporarán las técnicas de seguridad en las diferentes secciones (aplicaciones, negocio, tecnología y datos).

Entre los principios se puede incluir la validación de datos de entrada, el control de sesión, seguridad, depuración, etc.

Política de seguridad para proveedores

Igualmente, también se trata de un control que no incluía la anterior versión.

Esta política comprende un amplio abanico de controles, como puede ser la selección de contratistas, la forma en la que modifican los contratos, etc.

¿Qué documentos no son obligatorios en la ISO 27001?

La ISO/IEC 27001 establece los requisitos para implementar un Sistema de Gestión de Seguridad de la Información eficaz. Si bien la norma define ciertos documentos obligatorios, existen otros que, aunque no son requeridos formalmente, son ampliamente utilizados para facilitar la implementación, gestión y mantenimiento del SGSI, especialmente en lo que respecta a los controles de seguridad del Anexo A.

A continuación, presentamos una lista de documentos no obligatorios pero comúnmente recomendados para apoyar una implementación exitosa de la ISO 27001:

• Procedimiento para control de documentos (cláusula 7.5)
• Controles para la gestión de registros (cláusula 7.5)
• Procedimiento para auditoría interna (cláusula 9.2)
• Procedimiento para acciones correctivas (cláusula 10.1)
• Política BYOD (Bring Your Own Device = Trae tu propio dispositivo) (cláusula A.6.2.1)
• Política de dispositivo sobre dispositivos móviles y teletrabajo (cláusula A.6.2.1)
• Política de clasificación de la información (cláusulas A.8.2.1, A.8.2.2 y A.8.2.3)
• Política de claves (cláusulas A.9.2.1, A.9.2.2, A.9.2.4, A.9.3.1 y A.9.4.3)
• Política de eliminación y destrucción (cláusulas A.8.3.2 y A.11.2.7)
• Procedimientos para trabajo en áreas seguras (cláusula A.11.1.5)
• Política de pantalla y escritorio limpios (cláusula A.11.2.9)
• Política de gestión de cambios (cláusulas A.12.1.2 y A.14.2.4)
• Política de Copias de seguridad (cláusula A.12.3.1)
• Política de transferencia de información (cláusulas A.13.2.1, A.13.2.2, y A.13.2.3)
• Análisis de impacto en el negocio (BIA) (cláusula A.17.1.1)
• Plan de pruebas y verificación (cláusula A.17.1.3)
• Plan de mantenimiento y revisión (cláusula 17.1.3)
• Estrategia de continuidad de negocio (cláusula A.17.2.1)

Software para ISO 27001

ISOTools, el Software para ISO 27001, le ayuda a dar cumplimiento a los requisitos establecidos, y  entre ellos, al mantenimiento de la información de manera accesible, práctica y centralizada.

Para garantizar la confidencialidad, integridad y la disponibilidad de datos, así como la planificación y seguimiento de las actividades relacionadas con tu sistema de gestión basado en la norma ISO 27001, ISOTools es lo que estás esperando.