implementar la norma ISO 27001

Cómo implementar la norma ISO 27001: consejos de expertos

Inicio / Cómo implementar la norma ISO 27001: consejos de expertos

La Seguridad de la Información es una gran preocupación a nivel global. Por ello, implementar la norma ISO 27001 es un propósito que se han planteado muchas organizaciones. Algunas lo han conseguido ya, otras avanzan en el proyecto o están a la espera de la certificación del estándar de seguridad de a información.

Reciba asesoramiento de un consultor experto de ISOTools sin compromiso

Implementar la norma ISO 27001 es un proyecto que requiere trabajo, planificación y una buena dosis de sentido común. Para las organizaciones que han encontrado alguna dificultad en el proceso, una guía corta, pero precisa, ayudará a avanzar en todo lo relacionado con la planificación del proyecto.

Cómo implementar la norma ISO 27001

El primer paso para implementar la norma ISO 27001 es realizar el análisis de brechas o análisis GAP. Esta evaluación permite establecer en qué estado se encuentra la Gestión de Seguridad de la Información, en qué puntos se alcanza conformidad con los requisitos de la norma y qué falta para llegar al cumplimiento de los requisitos de ISO 27001.

El análisis GAP es un buen punto de partida para organizaciones que ya han adoptado algún estándar de Seguridad de la Información, que tienen un departamento dedicado al área o que han implementado medidas para proteger su información. Aquellas que no cumplan estos requisitos pueden ahorrar recursos iniciando directamente el proceso para implementar la norma ISO 27001, que pasa por las siguientes fases:

1. Presentar el proyecto a la Alta Dirección

Antes de invertir tiempo, recursos y esfuerzos, conviene saber si la Alta Dirección apoyará o no el proyecto. Obtener el aval exige la presentación de beneficios, valor y retorno de la inversión y tiempo necesario para la implementación la norma ISO 27001. Esta es la información que necesita la Alta Dirección para decidir.

2. Planificar la implementación con base en el ciclo PDCA

La planificación es un factor determinante para el éxito del proyecto. Las expectativas aumentan si se utiliza, desde el inicio, el ciclo PDCA. Es natural: los estándares ISO se basan en esta metodología, que es la que proporciona la capacidad para mejorar de forma continua, uno de los componentes clave del estándar ISO 27001.

El ciclo PDCA (planificar, hacer, verificar y actuar, por sus iniciales en inglés), aplicado al proceso de implementar la norma ISO 27001, tendría una estructura similar a la siguiente:

Planificar

Hacer

Verificar

Actuar
  • Definir objetivos y metas para el Sistema de Gestión.
  • Definir la estructura administrativa del Sistema.
  • Crear un presupuesto de recursos y un cronograma de actividades.
  • Redactar las políticas, las declaraciones de objetivos y de aplicabilidad y otros documentos obligatorios.
  • Implementar los controles, de acuerdo con la declaración de aplicabilidad.
  • Asignar responsabilidades y roles.
  • Establecer métricas, indicadores y metodologías de monitoreo y seguimiento.
  • Realizar inspecciones al funcionamiento del sistema.
  • Efectuar la revisión de la Alta Dirección.
  • Programar y realizar auditorías internas.
  • Identificar los problemas,
  • investigarlos y encontrar la causa raíz.
  • Diseñar medidas para corregir los problemas.
  • Implementar las acciones correctivas y monitorear su desempeño para verificar su eficacia.

Implementar la norma ISO 27001 puede llevar un año en el caso de organizaciones medias o grandes. En una pequeña empresa ese tiempo podría reducirse a un semestre o incluso menos. El ciclo se reinicia de forma constante, también los sistemas certificados trabajan bajo el ciclo PDCA, aunque con una menor intensidad en cuanto al número de auditorías internas necesarias.

3. Tratar la implementación como un proyecto

Para que aquello que se ha planificado se desarrolle a tiempo y se haga bien, la implementación del Sistema de Gestión de Seguridad de la Información tiene que ser un proyecto estratégico para la organización. Definir la implementación como proyecto implica:

  • Nombrar un gerente o director del proyecto.
  • Adoptar una metodología de gestión probada y reconocida.
  • Asignar los recursos humanos, financieros, logísticos y tecnológicos necesarios.
  • Crear un cronograma de cumplimiento.
  • Generar reportes periódicos para informar sobre el avance, los problemas surgidos y las acciones tomadas para solucionarlos.

4. Formar un equipo de trabajo

El proyecto requiere personas que asuman la dirección y profesionales que ejecuten las tareas programadas. La dimensión del equipo, el número de roles y las competencias para cada miembro del equipo dependen del tamaño, la complejidad y el nivel de regulación de la empresa. Un equipo que trabaje para implementar la norma ISO 27001 típico será el siguiente:

  • Gerente: con conocimientos avanzados en Seguridad de la Información y el estándar ISO 27001.
  • Soporte y Gestión: profesionales que desarrollan tareas y ejercen labores de monitoreo y control. Por lo general, los empleados del área de IT funcionan muy bien en este rol.
  • Soporte de nivel C: personas que toman decisiones, solucionan problemas y sirven de enlace entre las diferentes áreas involucradas, como TI, Recursos Humanos, Finanzas, Comunicaciones, Adquisiciones, etc. Los directores de área pueden ocupar este rol.
  • Auditores internos: los auditores requieren conocimiento profundo sobre Seguridad de la Información, sobre el estándar ISO 27001 y sobre las técnicas de auditoría generalmente aceptadas. Si la organización no dispone de auditores internos competentes, puede tercerizar esta función.

Consejos para implementar ISO 27001

Implementar ISO 27001 es un proceso no exento de complejidad. Por eso es fundamental seguir unas directrices claras que ayuden en el camino hacia la certificación:

1. Activar adecuadamente controles y políticas

Dentro de la compleja estructura que integra un Sistema de Gestión de Seguridad de la Información, es fundamental prestar atención especial a algunos puntos muy concretos:

  • Proceso de gestión de riesgos.
  • Políticas sobre dispositivos móviles y portátiles y en especial sobre aquellos que son personales, pero que tienen permitido el acceso a recursos informáticos de la organización.
  • Políticas de control de acceso y de escritorio y pantalla limpios.
  • Políticas y procedimientos de seguridad física.
  • Políticas de gestión de incidentes, de generación de reportes, registros y procedimientos para recuperación de información tras un incidente.

Por extensión, la elección e implementación de los controles pertinentes, en el Anexo A de la norma, forman parte de esta recomendación.

2. Crear documentos claros, cortos y precisos

La carga documental del sistema es alta. Es preciso reconocerlo y proceder de acuerdo a ello. En la práctica, un empleado no dedicará horas a leer y tratar de entender extensos documentos llenos de tecnicismos. Documentos precisos y redactados de acuerdo a la capacidad de la audiencia aumentan la probabilidad de que el sistema sea bien acogido por parte de los empleados.

3. Comunicar los documentos de forma suficiente y fácil

A la hora de implementar la norma ISO 27001 no solo hay que informar a los empleados sobre la forma en la que se prevé que trabajen para alcanzar los objetivos del sistema. Es importante que exista un almacenamiento seguro, accesible y amigable en el que puedan encontrar información: cómo notificar un incidente, qué pasos dar ante una brecha de seguridad, cómo comunicarse con los responsables de la Seguridad de la información, etc.

4. Invertir en tecnología

Implementar la norma ISO 27001 y conseguir un Sistema de Gestión de la Seguridad de la Información realmente eficaz será más sencillo si se cuenta con apoyo tecnológico. Una plataforma adecuada puede automatizar tareas, entregar información relevante para la toma de decisiones, presentar mapas de calor para identificar puntos críticos y crear flujos de trabajo, entre otras funcionalidades.

La tecnología genera valor e impulsa el logro de objetivos y la mejora continua en la gestión de las organizaciones. Además, la transformación digital es una motivación que encuentran los empleados para asumir una posición proactiva ante la Gestión de Seguridad de la Información.

Software ISO 27001

El Software ISO 27001 es una plataforma de alta tecnología que ofrece funcionalidades avanzadas para la Gestión de Sistemas de Seguridad de la Información. Entre sus objetivos incluye el de ser un aliado para que las organizaciones automaticen la Gestión de Seguridad de la Información basada en la norma ISO 27001.

Ahorrar tiempo y recursos en la implementación de la norma, mantener los riesgos de Seguridad de la Información bajo control, simplificar documentos y registros y asegurar el cumplimiento para evitar sanciones son solo algunas de las ventajas que ofrece este software. Si te interesa más información, solo tienes que contactar con nuestros asesores.

RECIBA ASESORAMIENTO SIN COMPROMISO
Nueva llamada a la acción

¿Desea saber más?

Entradas relacionadas

ISO 45003
¿Qué es la norma ISO 45003?
18 octubre, 2024

La ISO 45003 es la primera norma internacional que ofrece directrices para gestionar los riesgos psicosociales en el trabajo, complementando...

Ver más
ISO 45003
ISO 45003: ¿Qué es, qué tiene que ver con la salud mental y por qué es tan importante su publicación?
14 octubre, 2024
El bienestar de los empleados se ha convertido en un tema central para las organizaciones, y cada vez toma más...
Ver más
Implementación Exitosa De ISO 14001
10 Pasos Cruciales para la Implementación Exitosa de ISO 14001
11 octubre, 2024

La ISO 14001 es la norma internacional más reconocida para la implementación de un Sistema de Gestión Ambiental (SGA). Adoptar...

Ver más
Modelo Integrado De Planeación Y Gestión 
7 dimensiones del Modelo Integrado de Planeación y Gestión
9 octubre, 2024

El Modelo Integrado de Planeación y Gestión (MIPG) es una solución que abarca siete dimensiones: planeación estratégica, gestión...

Ver más

Volver arriba
💬 ¿Necesitas ayuda?