Saltear al contenido principal
implementacion de ISO 27001

3 claves de la implementación de ISO 27001 para el Sistema de Gestión de la Seguridad de la Información

implementacion de ISO 27001Implementación de ISO 27001 para el Sistema de Gestión de la Seguridad de la Información

Son muchas las organizaciones que se han emprendido el proceso de implementación de ISO 27001. Si su organización recién inicia el proceso, es probable que esté buscando una manera fácil de hacerlo.

Aunque parezca demasiado adusta la afirmación, lo cierto es que no hay una forma fácil de hacer el trabajo. Pero si podemos compartir con nuestros amables lectores, tres claves para la implementación de ISO 27001 y otras recomendaciones adicionales, que ofrecerán una guía amigable para emprender la tarea. Veamos:

3 claves para la implementación de ISO 27001

Escribir la política del Sistema de Gestión de la Seguridad de la Información

La política de SGSI es el documento de más alto nivel en el sistema. Si bien, es un documento esencial, no debe ser demasiado detallado, pero si debe definir algunas cuestiones básicas de seguridad de la información en la organización.

Tal vez usted se pregunte ¿Cuál es el objetivo si no se permite el detalle?: el objetivo es que el documento exprese la gestión en su conjunto, los objetivos que se quieren lograr y como conseguirlos. Dentro de esos objetivos, sin duda ocupa lugar preponderante, establecer una metodología para la evaluación del riesgo.

CTA 27001 BOTON EBOOK

Descarga gratis e-book: La norma ISO 27001

 

La evaluación de riesgos es la más compleja tarea, que ordena la norma ISO 27001. El objetivo es definir las reglas para la identificación de los activos, vulnerabilidades, amenazas, impactos, probabilidades, todo ello con el fin de definir el nivel de riesgo aceptable.

Si estas reglas no están claramente definidas, es probable que los resultados del trabajo resulten inutilizables.

Llevar a cabo la evaluación y el tratamiento de los riesgos

Es necesario poner en práctica lo que definimos en el paso anterior. Esto pude tomar varios meses, sobre todo en organizaciones de gran tamaño, por lo que es necesario coordinar esta labor con mucha atención. El objetivo es obtener una visión completa de los riesgos a los que está expuesta la información de la organización.

El propósito del proceso de tratamiento de riesgos es reducir los riesgos que no son aceptables. Esto, normalmente se hace mediante el uso de los controles descritos en el Anexo A.

En esta etapa, usted debe escribir un informe de evaluación de riesgos, que documente las medidas adoptadas durante el proceso de evaluación y tratamiento de riesgos. Además, se debe obtener la aprobación de los riesgos residuales, ya sea como un documento separado o como parte de la Declaración de Aplicabilidad.

Una vez completado el proceso del tratamiento del riesgo, usted sabrá exactamente qué controles del Anexo A son requeridos. El Anexo, consta de 114 controles, pero no todos ellos son necesarios en todas las organizaciones.

La declaración de aplicabilidad es también el documento más adecuado para obtener la autorización para poner práctica la gestión del SGSI.

Preparar el plan de tratamiento del riesgo

Aunque usted piense que ya son suficientes los documentos relacionados con los riesgos de la información, aún falta uno: el plan de tratamiento del riesgo. El propósito de este plan de riesgos, es definir exactamente como se deben implementar los controles del Anexo A. ¿Quién va a hacer el trabajo?, ¿Cuándo se va a llevar a cabo?, ¿Con que presupuesto se puede contar?

Este documento es en realidad un plan de implementación enfocado en los controles, sin lo cual no sería posible coordinar los próximos pasos del proyecto.

Otra tarea que a menudo se subestima, es la medición de la efectividad de los controles. Y es que, ¿si no se pueden medir el trabajo realizado, ¿cómo podemos estar seguros de que se ha cumplido con los objetivos? Así es que no debemos olvidar establecer mecanismos para medir el cumplimiento de los objetivos establecidos, tanto para todo el SGSI y para los controles que son aplicables en la Declaración de Aplicabilidad.

Esperamos que estas claves resulten de utilidad durante la implementación de ISO 27001, que, como hemos advertido no es una tarea fácil, pero no necesariamente complicada. Solo es necesario planificar cuidadosamente cada paso, en el camino hacia la certificación.

Software ISOTools Excellence

Desde ISOTools Excellece, ponemos a disposición de las organizaciones la plataforma tecnológica, donde pueden realizar una correcta implementación de su Sistema de Gestión de la Seguridad de la Información basada en la norma ISO 27001. Así mismo, aumenta la eficacia y la agilidad de la gestión de manera automatizada.

CTA 27001 TIRA EBOOK

E-book gratis la norma ISO 27001

¿Desea saber más?

Entradas relacionadas

Plan De Respuesta A Emergencias
6 Puntos clave para probar su plan de respuesta a emergencias

Hemos hablado de la importancia del plan de respuesta a emergencias, de las características que este documento debe…

Ver más
Volver arriba