Implementación de ISO 27001: checklist de 16 pasos a seguir

Las organizaciones que trabajan en la implementación de ISO 27001 necesitarán un plan de trabajo que facilite la tarea. Dentro de la literatura existente, muchos artículos y textos proponen un plan de trabajo en cuatro o cinco pasos.

Este tipo de guías pueden resultar demasiado elementales para profesionales avezados en Sistemas de Gestión ISO. Para los más novatos, la ilustración será escasa y poco eficaz.

La implementación de ISO 27001 es una tarea compleja. Interesante, apasionante y formativa. Pero intensa y en ocasiones sinuosa. Tener una hoja de ruta que conduzca a un punto seguro resulta ideal.

Es lo que ofrecemos con esta guía para la implementación de ISO 27001 de 16 pasos.

¿Cómo realizar la implementación de ISO 27001 en 16 pasos?

Requisitos, documentos, controles, No Conformidades… la cantidad de elementos para tener en cuenta puede ser abrumadora. La implementación de ISO 27001 puede fluir desde el punto cero, hasta el momento de obtener la certificación y contar con un Sistema de Gestión productivo y eficaz.

Como todos los proyectos valiosos este inicia en la oficina de la Alta Dirección:

1. Obtener el aval de la Alta dirección

Es apenas natural que el proyecto inicie con la aprobación de la Alta Dirección. Es ese órgano el que asignará recursos y el que tendrá la responsabilidad de emitir política e impartir directrices con el tono propio de su jerarquía.

2. Crear un equipo de trabajo

Usualmente, la iniciativa del proyecto de implementación de ISO 27001 nace en el área de TI. Esto, cuando no existe un área dedicada a la Seguridad de la Información, como sucede en organizaciones de gran tamaño.

Sin embargo, el proyecto requiere un equipo conformado por personas de diferentes áreas. Contar con profesionales expertos en Seguridad de la Información y en el estándar ISO 27001 hará una gran diferencia en el desarrollo del trabajo y en el resultado final.

3. Definir el alcance

En adelante, la hoja de ruta que define el equipo que trabaja en la implementación de ISO 27001 sigue el mismo camino que marca la estructura de Alto Nivel de la norma. Se inicia por el alcance.

Se trata de identificar los factores, elementos, condiciones o circunstancia que tienen la posibilidad de impactar, positiva o negativamente, la capacidad del Sistema para alcanzar los objetivos y cumplir con los requisitos de ISO 27001. Se define alcance interno y externo.

4. Crear la política de Seguridad de la Información

Es una responsabilidad que ISO 27001 asigna a la Alta Dirección. Sin embargo, no se espera que sean ellos mismos quienes la redacten. Corresponde tal vez al equipo implementador, y en especial a los integrantes que cuentan con formación en Normas ISO o en Seguridad de la Información basada en ISO 27001.

La política define los objetivos a gran nivel que se espera obtener, los tiempos en los que debe suceder y el compromiso de la Alta Dirección con el proyecto y con la Seguridad de la Información

5. Definir metodologías para evaluar riesgos

La evaluación de riesgos es una tarea medular para el funcionamiento del Sistema. Requiere utilizar metodologías y herramientas de análisis y evaluación. Es importante definir con antelación cuáles serán esos recursos. Algunos de ellos requerirán la implementación de tecnología como soporte. Los Sistemas de Gestión Digitalizados y Automatizados cuentan con mejores herramientas para entregar mejores resultados en menor tiempo.

6. Realizar las evaluaciones de riesgos

Es el momento de emprender la tarea más interesante, pero también más compleja en la implementación de ISO 27001. Utilizando las metodologías elegidas en el ítem anterior, los profesionales identifican las amenazas sobre la Seguridad de la Información, las ordenan de acuerdo con el impacto y la gravedad y las clasifican de acuerdo con el tipo de riesgo: operativo, estratégico, interno, externo…

En el mismo paso se establece el tipo de acción para tratar cada riesgo: eliminar, mitigar, compartir o trasladar, aceptar. De la evaluación se desprende el uso de los controles (Anexo A), que aplicarán. Todo se documenta.

7. Redactar una declaración de aplicabilidad

La más reciente revisión de ISO 27001 – 2022 -, contiene 93 controles en el Anexo A. Las organizaciones no necesitan usar todos. Pero sí deben explicar por qué usan los que deciden implementar, y por qué prescinden de los demás. Esto se hace en un documento que se llama Declaración de Aplicabilidad.

8. Crear un Plan de Tratamiento de Riesgos

Este documento explica que acciones se implementarán para tratar los riesgos y cómo se utilizarán los controles elegidos, según la Declaración de Aplicabilidad. El documento específico quienes asumen responsabilidades, cuándo lo harán, qué recursos requerirán y quién entrega esos recursos.

9. Definir los indicadores y los mecanismos de medición

El Sistema en general debe ser evaluado, monitoreado y revisado. En este apartado, no obstante, se enfatiza en los indicadores y mecanismos que permiten comprobar la eficacia de los controles y el logro de objetivos propuestos.

10. Implementar controles y acciones para tratar riesgos

La implementación de ISO 27001, práctica y sobre el terreno, inicia aquí. En este paso se pone en marcha todo lo planificado y documentado. Se ajustan los procesos, de acuerdo con lo presupuestado, se crean manuales de procedimiento, se designan propietarios de activos, de riesgos y de procesos, se crean programas de capacitación y formación y se incorpora la tecnología necesaria a la Gestión. En otras palabras, se pone la máquina en marcha.

11. Suministrar programas de formación, capacitación y concientización

Con el Sistema operando, aparecen brechas de conocimiento. Algunas de esas necesidades de formación serán de carácter técnico y operativo. Otros empleados necesitarán formación específica en el área de Seguridad de la Información y específicamente en el estándar ISO 27001. Para otro grupo de trabajadores, el trabajo de capacitación se encamina hacia la concientización y la generación de cultura.

12. Ajustar procesos de documentación y registros

Los documentos iniciales, ya mencionados, son apenas algunos de los que solicitará un auditor. El Sistema, en plena operación, necesitará documentar muchos eventos y almacenar muchos registros. Documentos y Registros, que ahora se conocen como Información Documentada, necesitan control y procesos que garanticen su accesibilidad, seguridad, integridad e incorruptibilidad. Los Sistemas que utilizan una Plataforma Tecnológica, cuentan con funcionalidades y herramientas para hacerlo.

13. Vigilar, monitorear y medir el Sistema de Gestión

No es necesario esperar a que una revisión o una auditoría informen que las cosas no están saliendo como se espera. El Sistema necesita vigilancia y monitoreo constante y continuo. Para ello, se utilizan las metodologías establecidas con anterioridad.

14. Auditoría interna

Es el primer hito relevante en el proceso de implementación de ISO 27001. Es la primera prueba de fuego. Y necesita dos elementos clave: un Sistema preparado para ser evaluado en profundidad, y uno o varios auditores internos preparados para afrontar el desafío. Con la tecnología, la formación es el otro elemento clave en el éxito del proyecto.

El proyecto puede requerir una, tres o cinco auditorías internas antes de pasar al siguiente paso. Se practicarán tantas auditorías internas como sean necesarias, y se diseñarán e implementarán tantas acciones correctivas y preventivas como sean necesarias. Mejor encontrar no conformidades en este momento, y no en la auditoría de certificación.

15. Revisión de la Alta Dirección

La Revisión de la Alta Dirección puede ser un acto protocolario en algunas organizaciones. En otras, los Directivos se toman la tarea en serio y revisan el sistema con una lista de verificación de requisitos en la mano. En cualquier caso, es el preámbulo a la llegada del auditor de certificación.

16. Solicitar la auditoría de certificación

El trabajo parece haber terminado para el equipo que trabajó en la implementación de ISO 27001. Lo que sigue es elegir un organismo certificador y obtener la asignación de la auditoría de certificación.

El trabajo de mantenimiento del Sistema y de preparación para la auditoria de recertificación, que se producirá en tres años, continúa. Lo esperado es que el mismo equipo que trabajó en la implementación de ISO 27001 sea el que trabaje en la operación posterior del Sistema.

Software ISO 27001

La implementación de ISO 27001 busca obtener un Sistema ágil, que racionalice el consumo de recursos y que resulte efectivo en la reducción de riesgos y de su impacto negativo.

El Software ISO 27001 es la plataforma tecnológica que hace esto posible, manteniendo todos los riesgos bajo control, proporcionando un control de documentos eficaz y seguro y asegurando una respuesta inmediata y efectiva a los incidentes de Seguridad de la Información. Conózcalo aquí.