Aplicación de la norma ISO 27001
Llevar a cabo un Sistema de Gestión de Seguridad de la Información (SGSI) que se ajuste a la norma ISO 27001 será muy útil para tu organización. Para ello, en IT Governance disponemos de herramientas de aplicación, formación y recursos para conseguirlo. Prueba de ello, es que nuestros expertos han ayudado ya a más de 400 clientes a obtener la certificación ISO 27001.
Aplicar un SGSI basado en ISO 27001 implicará el trabajo de toda la organización. Un SGSI es único para cada empresa ya que no hay dos proyectos ISO 27001 iguales. Todo el proyecto, desde la evaluación del alcance a la certificación, puede durar de tres meses a un año dependiendo de la complejidad y del tamaño del negocio.
A continuación, encontrarás los elementos más comunes para aplicar un proyecto SGSI:
Realizar un análisis de deficiencias
Un análisis de deficiencias determina las imperfecciones entre los procesos de seguridad de la información actuales y los requisitos de la norma. Además, identifica los recursos y las capacidades que se necesitan para reducir las diferencias.
Alcance del SGSI
Para definir el alcance es necesario tomar una decisión acerca de qué recursos informativos se van a delimitar y proteger, algo que puede llegar a ser complejo en las grandes organizaciones. De hecho, si el alcance no está definido correctamente, el proyecto puede dejar a la organización vulnerable a los riesgos que no se han tenido en cuenta.
Para determinar el contexto de la empresa es necesario revisar aspectos tales como la cultura y la tolerancia al riesgo de la misma. De este modo, se garantiza que el SGSI está diseñado adaptándose siempre a las necesidades de la compañía.
La política debe reflejar el punto de vista de la seguridad de la información de la organización y debe estar de acuerdo la junta.
La evaluación de riesgos se encuentra en el núcleo de cualquier SGSI. Un asesor especializado en la materia identificará los riesgos a los que se enfrenta la compañía y realizará una estimación y evaluación de los mismos. A menudo, esto se centra en la evaluación de riesgos de los recursos, la cual ayudará a identificar si los controles son necesarios y asequibles para la organización.
Los controles deben aplicarse para gestionar o reducir los riesgos reales una vez que finalizada la evaluación de riesgos. La norma ISO 27001 requiere que se comparen los controles contra su propia lista de controles de buenas prácticas enumerados en el Anexo A.
La SoA establece una lista de todos los controles del Anexo A de la norma ISO/IEC 27001:2013, junto con una declaración de si se ha aplicado el control o no y la justificación de su inclusión o exclusión.
El PTR describe los pasos que se tienen que dar para tratar cada riesgo identificado en la evaluación de riesgos.
La documentación tiene que desarrollarse para apoyar cada control planificado y cada componente del SGSI. Esto sirve para establecer un punto de referencia que garantice una aplicación consistente y mejora continua.
Recapitular y crear la documentación es la parte que lleva más tiempo a la hora de aplicar un SGSI.
Todo el personal debe recibir formación regular para aumentar su concienciación acerca de los problemas de la seguridad de la información y el objetivo del SGSI.
Realizar pruebas regulares
La norma ISO 27001 requiere auditorías internas del SGSI en intervalos planificados para determinar si los controles funcionan como deberían. Además, deben realizarse pruebas regulares para garantizar que los planes de respuesta ante incidentes funcionan con eficacia.
Obtener una certificación acreditada
Es importante asegurarse de que el organismo de certificación elegido está acreditado correctamente por un organismo de acreditación nacional reconocido que sea miembro del IAF, como el UKAS (Servicio de Acreditación del Reino Unido).
El organismo de certificación revisará la documentación del sistema de gestión y comprobará que se han aplicado los controles adecuados. Además, realizará una auditoría in situ para verificar que los procedimientos se han llevado a la práctica.
¿Por qué confiar en IT Governance?
- Nuestro equipo lideró el primer proyecto de certificación ISO 27001 del mundo.
- Hemos gestionado aplicaciones ISO 27001 desde la creación de esta norma.
- Somos la única tienda para todas las normas ISO 27001. Ofrecemos formación, herramientas, software, aprendizaje online concienciación del personal y asesoramiento para obtener la certificación.
- Cientos de empresas de todo el mundo ya usan nuestros productos y servicios.
- Hemos ayudado a más de 400 empresas a lograr la certificación ISO 27001.
Pon en marcha tu proyecto ISO 27001
Independientemente de la naturaleza o del tamaño del problema, estamos aquí para ayudarte. Haz clic en el botón que se muestra a continuación y solicita la llamada de uno de nuestros asesores. Nos pondremos en contacto contigo lo antes posible.