Documentos obligatorios para la auditoría de la ISO 27001 (1ª parte)

ISO 27001

Con la llegada de nuevas tecnologías, la implementación de la norma ISO 27001 sobre sistemas de gestión de la seguridad de la información, es casi un deber.

Es decir, la ISO 27001 está siendo clave para abordar la ciberseguridad en las empresas, a parte de la evidente legislación o reglamentación existente a nivel nacional en cada país.

En este sentido, uno de los requerimientos esenciales de cualquier norma, y que más quebraderos de cabeza da a los responsables de los sistemas de gestión, es la documentación y los registros (información documentada) que es necesaria para el óptimo desempeño, especialmente, para superar las auditorías.

Para ello, la gran mayoría de empresas acude a software de gestión, que les ayude a mantener la información y documentación centralizada y accesible y así, evitar incumplimientos por una mala organización

De este modo, en esta primera parte del artículo, queremos mostrar una forma práctica y sencilla de identificar cuál es esta información documentada que, en una auditoría, será solicitada para verificar el cumplimiento del sistema de gestión de la seguridad de la información basado en la norma ISO 27001.

No obstante, los aquí referidos son los documentos que obligatoriamente son requeridos para el cumplimiento, en artículos posteriores, les mostraremos los documentos no obligatorios pero que son de uso frecuente en la ISO 27001.

Alcance del sistema de gestión de la seguridad de la información

Se trata de un documento redactado al inicio de la implementación de la ISO 27001 y que puede ir unificado con la política del sistema de gestión de la seguridad de la información.

Establece los límites del sistema de gestión.

Políticas y objetivos del SGSI

La política es un documento en el que la alta dirección se compromete a cumplir los objetivos establecidos para el sistema de gestión de la seguridad de la información así como la mejora continua.

Los objetivos pueden ir redactados a parte o bien, unificarlos con la política.

Metodología e informes de evaluación y tratamiento del riesgo

En este caso, hablamos de un documento más extenso, de unas 4 o 5 paginas, que se redacta antes de realizar la evaluación y tratamiento de los riesgos, ya que indica la forma en la que hay que llevarlo a cabo.

En cuanto al informe, es posterior y debe incluir los resultados obtenidos tras la evaluación y tratamiento del riesgo.

Declaración de aplicabilidad

También denominada DdA, es un documento que se redacta en base al resultado obtenido en cuanto al tratamiento del riesgo.

Por lo tanto, es un documento fundamental, ya que en él se describen los controles del Anexo A a aplicar, además de cómo implementarlos y el estado en el que se encuentran en la actualidad.

Esencialmente, puede considerarse como un documento en el cual se describe el perfil de seguridad de la organización.

Plan de tratamiento del riesgo

Está basado en el DdA, y en él se desarrolla el plan de acción para la implementación de los controles establecidos en el citado documento.

Debe ser actualizado continuamente durante la implementación, y también puede fusionarse con el Plan de Proyecto.

Funciones y responsabilidades de seguridad

Tanto en la norma ISO 27001 como en el resto de normas, las funciones y responsabilidades deben ser definidas, siendo recomendable que estén descritas al detalle en todas las políticas y procedimientos.

Para terceros, estas funciones y responsabilidades quedan definidas en los contratos.

Inventario de activos

Hay que realizar un inventario de los activos que dispone la empresa y de sus propietarios, ya sea antes del proyecto de implementación de la ISO 27001, o bien, tras obtener el resultado de la evaluación de riesgos.

Uso aceptable de los activos

Aunque este control no queda bien definido en la norma ISO 27001, por lo general se redacta conforme a la estructura de una política y cubriendo un rango amplio de temas.

Política de control de acceso

En ella se establecen los usuarios con acceso a determinada información, documentación, redes o sistemas, siendo recomendable incluir el detalle del aspecto técnico en cuanto al control de acceso.

Adicionalmente, se aconseja definir una reglamentación específica para el acceso lógico y/o físico.

Es redactado tras la evaluación y tratamiento del riesgo.

Procedimientos operativos para gestión de TI

Puede unificarse en un único procedimiento o en varios procedimientos y políticas. Además, se puede englobar todos las áreas correspondientes a las secciones de la norma que van desde A. 12 a A. 13.

Es decir, los servicios a terceros, la transferencia de información, códigos maliciosos o gestión de cambios entre otros.

Principios de ingeniería de seguridad

Se trata de un control que no estaba incluido en la versión anterior. Así, necesita que se fijen los principios de ingeniería de seguridad conforme a la estructura de un procedimiento.

En este documento, se define la forma en la que se incorporarán las técnicas de seguridad en las diferentes secciones (aplicaciones, negocio, tecnología y datos).

Entre los principios se puede incluir la validación de datos de entrada, el control de sesión seguridad, depuración, etc.

Política de seguridad para proveedores

Igualmente, también se trata de un control que no incluía la anterior versión.

Esta política, comprende un amplio abanico de controles, como puede ser la selección de contratistas, la forma en la que modifican los contratos, etc.

Software para ISO 27001

ISOTools, el Software para ISO 27001, le ayuda a dar cumplimiento a los requisitos establecidos, y  entre ellos, al mantenimiento de la información de manera accesible, práctica y centralizada.

Para garantizar la confidencialidad, integridad y la disponibilidad de datos, así como la planificación y seguimiento de las actividades relacionadas con tu sistema de gestión basado en la norma ISO 27001, ISOTools es lo que estás esperando.