Documentos de Académico
Documentos de Profesional
Documentos de Cultura
5 (100%) 1 vote
Si bien es cierto, implementar la norma ISO 27001, así como cualquier otra de estas
características, requiere invertir gran cantidad de tiempo y esfuerzo, y en función de la
madurez de la empresa, bastante dinero.
Es por ello, que este post lo dedicaremos a explicar cómo implementar la norma ISO 27001 a
través de nueve pasos muy sencillos y fáciles de comprender.
¿Cuánto costará?
4 – Marco de gestión
6 – Gestión de riesgos
A través de la norma ISO 27001, las organizaciones definen todos y cada uno de los
procesos involucrados en la gestión de riesgos, estableciendo su propia gestión de
riesgos. Para ellos no hay una metodología concreta, pero independientemente de cuál se
elija, se deben considerar cinco aspectos:
Establecer un marco para la evaluación de riesgos.
Para ello, hay que establecer el nivel de competencia que será necesario, por lo que se
aconseja realizar un análisis de competencias, y desarrollar un proceso para determinar,
revisar y mantenerlas, para que se cumplan los objetivos del SG-SI según la norma ISO
27001.
Como en todos los Sistemas de Gestión, existe una etapa en la cual se tiene que medir,
controlar y revisar el desempeño del sistema, y su alineación con los objetivos previsto en
la anterior etapa.
9 – Certificación
La certificación de la norma ISO 27001, al igual que todas las de esta familia de normas
ISO, no es obligatoria. Si bien es cierto, que carecería de sentido llegar a este punto sin
procurar la certificación y mejorar la imagen de la organización.
Es decir, se procede con una auditoría externa que, si es positiva, dará lugar a la adquisición
del certificado de la norma ISO 27001 y el correspondiente sello para la empresa.
Lista de documentos obligatorios
exigidos por la norma ISO 27001
(revisión 2013)
Autor: Dejan Kosutic
Documentos no obligatorios
Hay numerosos documentos no obligatorio que pueden ser utilizados para la
implementación de la ISO 27001, especialmente para los controles de seguridad del anexo
A. Sin embargo, me encuentro con estos documentos que no son obligatorios pero que
comúnmente son los más usados:
Política BYOD (Bring Your Own Device = Trae tu propio dispositivo) (cláusula
A.6.2.1)
Así que esto es – ¿Qué opinas? ¿Hay que escribir demasiado? ¿Estos documentos cubren
todos los aspectos de seguridad de la información?
Clic aquí para descargar un White paper Lista de documentación obligatoria requerida por
ISO 27001 (Revisión 2013) con información más detallada acerca de las recomendaciones
más comunes para la estructuración e implementación de los documentos y registros
obligatorios que establece la norma.
Haga clic aquí para descargar la documentación técnica con la Checklist of Mandatory
Documentation Required by ISO 27001 (2013 Revision). Incluye la información más
detallada sobre las formas más comunes para estructurar e implementar documentos y
registros obligatorios.
Esto puede parecer un tanto obvio y, generalmente, no es tomado con la seriedad que
merece. Pero, de acuerdo con mi experiencia, es el principal motivo en el fracaso de los
proyectos para la implementación de la norma ISO 27001 ya que la dirección no destina
suficientes recursos humanos para que trabajen en el proyecto ni suficiente dinero.
(Lea Cuatro beneficios clave de la implementación de la norma ISO 27001 para
presentarle el tema a la dirección)
3. Definir el alcance
Si se trata de una gran organización, probablemente tenga sentido implementar la norma
ISO 27001 solamente en una parte de la misma, reduciendo significativamente de esta
forma, los riesgos del proyecto. (Problemas para definir el alcance de la norma ISO 27001)
Aquí es donde se cruzan los objetivos de los controles con la metodología de medición;
debe verificar si los resultados que obtiene cumplen con lo que se estableció en los
objetivos. Si no se cumplen, es evidente que algo está mal y debe aplicar medidas
correctivas y/o preventivas.
Tal vez, este artículo haya aclarado qué es necesario hacer. Aunque implementar la norma
ISO 27001 no sea una tarea sencilla, no necesariamente tiene que ser tan complicado.
Solamente debe planificar detalladamente cada paso, y no se preocupe… obtendrá su
certificado.