Pasos para implementar la norma ISO 27001: Paso 2 - Procedimiento para control de documentos y registros

En el artículo anterior comentamos sobre lo importante que es al inicio contar con el apoyo al proyecto de la Alta Gerencia, a continuación se debe implementar un procedimiento muy importante para mantener un orden en la documentación que será clave para el Sistema de Gestión de Seguridad de la Información (SGSI). Este documento es el procedimiento para control de documentos y registros.

Para la implementación del SGSI es necesario un procedimiento inicial o base para la elaboración, modificación, anulación y aprobación de los documentos que integran el Sistema de Gestión de Seguridad de la Información.

El procedimiento de control de documentos y registros debe aplicar a todos los documentos del SGSI desde el requerimiento o necesidad, cuando se requiera modificarlo, hasta la publicación, mantenimiento y posible anulación.

Mediante este procedimiento, se debe establecer los controles a los registros que integran el Sistema de Gestión de Seguridad de la Información para la identificación de los registros, su almacenamiento, tiempo de vida y la disponibilidad.

Cuando implemente el procedimiento para control de documentos y registros, debe tener en cuenta lo siguiente:

·        Mantener identificada la información.

·        Considerar el formato más adecuado, ya sea en papel o electrónico.

·        Como se va a considerar el lanzamiento del documento, quiénes y cómo se revisarán y aprobarán, así como el flujo a seguir.

·         Cómo asegurará la disponibilidad del documento, es decir, el lugar, el acceso, la alta disponibilidad, la confidencialidad y el respaldo. Esta disponibilidad debe ser para todos los interesados: personal interno y externo a la Organización

·        Identificación de los cambios realizados a los documentos, ya sea el texto cambiado, la persona que lo cambió, la frecuencia de cambios, el responsable de validar los cambios y la posibilidad de restaurar una copia anterior.

Es necesario señalar que elaborar el Procedimiento para control de documentos y registros no es obligatorio según la ISO 27001, pero teniendo en cuenta lo especificado líneas arriba, es aconsejable que se tome el tiempo para realizarlo.

Implementación de la norma ISO 27001:Paso 1 - Lograr el apoyo al proyecto de la Alta Gerencia

En el artículo anterior se indicó los doce pasos para implementar la norma ISO 27001, a continuación revisaremos el primero:

Lograr el apoyo al proyecto de la Alta Gerencia

La implementación del Sistema de Gestión de Seguridad de la Información (SGSI)  es muy complejo, está lleno de actividades y recursos necesarios para realizar en un largo período de tiempo, por tanto corresponde tomarse como un proyecto, de tal manera que permita mantener un orden y ser medible en el tiempo.

Siendo la implementación del SGSI un proyecto estratégico para la Organización, se debe involucrar desde el inicio a la Alta Dirección. Su liderazgo, compromiso y la implicación, son esenciales para la implementación, el desarrollo y la continuidad de un sistema de gestión efectivo y eficiente para obtener los beneficios que se esperan.

Adicionalmente al aporte de los recursos necesarios para el sistema, es muy importante que la Alta Dirección genere un marco propicio a través de una política de seguridad adecuada para la organización y auspiciando una campaña de concienciación masiva a todo el personal, de tal manera que todos se involucren en el logro de los objetivos de la organización.

Por todo ello, sin el compromiso y la completa participación de la alta dirección es imposible implementar un SGSI.  

          

Habiendo entendido la importancia del apoyo de la Alta Gerencia, debemos realizar nuestra mejor estrategia para lograr su apoyo, tanto al inicio, como en el transcurso de todo el proyecto. A continuación le sugiero algunas acciones para obtener el éxito:

·        Haga un análisis empresarial: Reúnase con los Gerentes y personas claves en cada Área de la Organización para conocer los servicios informáticos y la información más importante de la que depende su operación. Evalúe el impacto si estas Áreas perdieran estos servicios o la información, de tal manera de dimensionar los costos que generará a la Organización si no se toman acciones inmediatas. Esto deberá presentar a la Alta Gerencia, para que puedan informarse y reflexionar sobre el apoyo necesario al proyecto.

·         Busque mantener informada a la Alta Gerencia: Mantenga indicadores actualizados a lo largo del proyecto y genere informes de éstos, para que la Alta Gerencia visualice el progreso que se viene realizado y mantenga el apoyo al proyecto.

·        Genere y mantenga las políticas: Adicional a las acciones y mecanismos que implemente, genere y mantenga las políticas de seguridad adecuada. Debe buscar consenso sobre las nuevas políticas o los cambios realizados, involucrando a la Alta Gerencia y el personal clave de la Organización, de tal manera que servirán de apoyo a su rápida aplicación.

·        Sea muy transparente: Ante todo sea muy transparente al momento de informar los problemas, no use estadísticas engañosas y explique las acciones que se vienen tomando y aquellas nuevas que se realizarán con los recursos actuales o con nuevos recursos. Debe argumentar adecuadamente para conseguir el apoyo que requiere.

·        Auditorias internas y externas: Sugiera y gestione para que se realicen auditorías internas y externas a la organización, de tal manera que se pueda conocer las mejoras, pero también atacar rápidamente nuevos riesgos.

Pasos para implementar la norma ISO 27001

Implementar la norma ISO 27001 es complejo, porque abarca muchos cambios que realizar, de acuerdo a la madurez de la Organización, en orden de tecnología, documentación (procedimientos, instructivos, registros, etc.), mecanismos y concienciación de las buenas prácticas de seguridad de la información.  

En muchos países es de carácter obligatorio la implementación de la norma. En el Perú es  obligatorio para todas las entidades del estado la implementación de la norma de seguridad de la información, la cual toma la denominación NTP:ISO/IEC-27001:2014.

Como un apoyo para la implementación de la norma, a continuación proporciono una lista sugerida de los pasos que se debe cumplir si está pensando en implementarla. El siguiente es solo un resumen, pero en las próximas semanas iré publicando el detalle de cada uno de los pasos sugeridos:

1. Lograr el apoyo al proyecto de la Alta Gerencia

Siendo la implementación de la norma muy compleja, llena de actividades y recursos necesarios para realizar en un largo período de tiempo, corresponde tomarse como un proyecto, de tal manera que permita mantener un orden y ser medible en el tiempo. Este proyecto debe contar con un comité de gestión en el que involucre directamente la participación del máximo responsable de la Organización, ya que se debe asegurar la emisión de las directivas y aprobación de recursos necesarios o el proyecto va camino al fracaso.

2.  Implementar Procedimiento para control de documentos y registros

El proyecto incluye muchos documentos necesarios a implementar, por lo que se hace muy importante que antes de iniciar se establezca la forma que se emitirán, aprobarán y mantener cada uno de estos documentos: políticas, procedimientos, instructivos, registros, etc.

3. Definir el Alcance y redactar la Política del Sistema de Gestión de Seguridad de la Información

Estos dos documentos son los más importantes en la implementación de la norma y sirven de base para los demás documentos. En el documento de Alcance, quedará  establecido si se tendrá en cuenta a toda la Organización o a parte de ella. La Política de Seguridad debe contemplar el objetivo del Sistema de Gestión de Seguridad de la Información (SGSI) y en breve como la Organización piensa lograrlo.

4. Establecer la Metodología de Evaluación de riesgos

En este documento se establecen las reglas para la identificación de los activos de información, las amenazas, las vulnerabilidades y medir el riesgo, para finalmente obtener el tratamiento que se debe seguir en cada uno.

5. Emitir la Declaración de aplicabilidad

En la Declaración de aplicabilidad, se incluye todos los controles de seguridad del anexo A de la norma ISO/IEC 27001 (114 controles), indicando aquellos que se van a considerar en el SGSI y aquellos que no serán parte. Será un documento que marque en gran medida el rumbo del proyecto, en tanto para cada uno de los controles se deberá implementar documentos, tecnología y mecanismos necesarios.

6. Redactar Informe de evaluación y tratamiento de riesgos

En esta sección se contempla la evaluación de los activos de información según la Metodología de Evaluación de riesgos establecida.

7.  Realizar Plan de tratamiento de riesgos

Se realiza la programación para mitigar los riesgos según indicados después de la Declaración de aplicabilidad.

8.  Definir indicadores

Importante que se definan los indicadores que permitan medir la eficacia de los controles que se han implementado y los que se implementarán.

9.  Redactar las políticas y procedimientos obligatorios

Esta sección es muy tediosa, porque corresponde la redacción de todas las políticas y procedimientos obligatorios, de acuerdo a la Declaración de aplicabilidad.

10.  Implementar un programa de capacitación y concienciación

Es necesario profundizar en los empleados la aplicabilidad de las políticas, procedimientos y en general todo aquello que modifica la forma de trabajar de la Organización, como parte del proyecto.

11.  Implementación de los controles obligatorios

Puede ser la sección más complicada el implementar los controles, según la Declaración de aplicabilidad, las políticas y procedimientos redactados y aceptados por el Comité de Gestión de Seguridad de la Información.

12.  Supervisión y Auditorías internas

Para asegurar que en el Sistema de Gestión de la Seguridad de la Información, es necesario ejecutar programas de supervisión constantes y auditorías internas que evalúen el nivel de madurez del Sistema.