Pasos para implementar la norma ISO 27001

Implementar la norma ISO 27001 es complejo, porque abarca muchos cambios que realizar, de acuerdo a la madurez de la Organización, en orden de tecnología, documentación (procedimientos, instructivos, registros, etc.), mecanismos y concienciación de las buenas prácticas de seguridad de la información.  

En muchos países es de carácter obligatorio la implementación de la norma. En el Perú es  obligatorio para todas las entidades del estado la implementación de la norma de seguridad de la información, la cual toma la denominación NTP:ISO/IEC-27001:2014.

Como un apoyo para la implementación de la norma, a continuación proporciono una lista sugerida de los pasos que se debe cumplir si está pensando en implementarla. El siguiente es solo un resumen, pero en las próximas semanas iré publicando el detalle de cada uno de los pasos sugeridos:

1. Lograr el apoyo al proyecto de la Alta Gerencia

Siendo la implementación de la norma muy compleja, llena de actividades y recursos necesarios para realizar en un largo período de tiempo, corresponde tomarse como un proyecto, de tal manera que permita mantener un orden y ser medible en el tiempo. Este proyecto debe contar con un comité de gestión en el que involucre directamente la participación del máximo responsable de la Organización, ya que se debe asegurar la emisión de las directivas y aprobación de recursos necesarios o el proyecto va camino al fracaso.

2.  Implementar Procedimiento para control de documentos y registros

El proyecto incluye muchos documentos necesarios a implementar, por lo que se hace muy importante que antes de iniciar se establezca la forma que se emitirán, aprobarán y mantener cada uno de estos documentos: políticas, procedimientos, instructivos, registros, etc.

3. Definir el Alcance y redactar la Política del Sistema de Gestión de Seguridad de la Información

Estos dos documentos son los más importantes en la implementación de la norma y sirven de base para los demás documentos. En el documento de Alcance, quedará  establecido si se tendrá en cuenta a toda la Organización o a parte de ella. La Política de Seguridad debe contemplar el objetivo del Sistema de Gestión de Seguridad de la Información (SGSI) y en breve como la Organización piensa lograrlo.

4. Establecer la Metodología de Evaluación de riesgos

En este documento se establecen las reglas para la identificación de los activos de información, las amenazas, las vulnerabilidades y medir el riesgo, para finalmente obtener el tratamiento que se debe seguir en cada uno.

5. Emitir la Declaración de aplicabilidad

En la Declaración de aplicabilidad, se incluye todos los controles de seguridad del anexo A de la norma ISO/IEC 27001 (114 controles), indicando aquellos que se van a considerar en el SGSI y aquellos que no serán parte. Será un documento que marque en gran medida el rumbo del proyecto, en tanto para cada uno de los controles se deberá implementar documentos, tecnología y mecanismos necesarios.

6. Redactar Informe de evaluación y tratamiento de riesgos

En esta sección se contempla la evaluación de los activos de información según la Metodología de Evaluación de riesgos establecida.

7.  Realizar Plan de tratamiento de riesgos

Se realiza la programación para mitigar los riesgos según indicados después de la Declaración de aplicabilidad.

8.  Definir indicadores

Importante que se definan los indicadores que permitan medir la eficacia de los controles que se han implementado y los que se implementarán.

9.  Redactar las políticas y procedimientos obligatorios

Esta sección es muy tediosa, porque corresponde la redacción de todas las políticas y procedimientos obligatorios, de acuerdo a la Declaración de aplicabilidad.

10.  Implementar un programa de capacitación y concienciación

Es necesario profundizar en los empleados la aplicabilidad de las políticas, procedimientos y en general todo aquello que modifica la forma de trabajar de la Organización, como parte del proyecto.

11.  Implementación de los controles obligatorios

Puede ser la sección más complicada el implementar los controles, según la Declaración de aplicabilidad, las políticas y procedimientos redactados y aceptados por el Comité de Gestión de Seguridad de la Información.

12.  Supervisión y Auditorías internas

Para asegurar que en el Sistema de Gestión de la Seguridad de la Información, es necesario ejecutar programas de supervisión constantes y auditorías internas que evalúen el nivel de madurez del Sistema.