La implementación de un sistema de gestión de seguridad de la información basado en la ISO 27001 puede realizarse de manera segura y ordenada. Por ello, en el presente artículo se presentan los pasos sugeridos a través de un Checklist para implementar ISO 27001.
Pautas para crear checklist para implementar ISO 27001
1. Comprometer a la Alta Dirección
El compromiso de la Alta Dirección es un requisito fundamental en todos los modelos de implementación de sistemas de gestión y ésta no es la excepción.
En la Norma ISO 27001, la gestión de la Alta Dirección es crucial para la asignación de recursos humanos, financieros y de tiempo. De tal manera que, la implementación del sistema sea vista como un proyecto en el que se puedan definir las actividades y la injerencia de los recursos dispuestos.
2. Definir el alcance
Otro punto importante en este listado es la definición del alcance de la implementación que asegura la seguridad de la información de la empresa. De tal manera que, se pueda establecer un presupuesto real de recursos e identificar el contexto en el que se desenvuelve la organización.
Algunos de los elementos que intervienen en la determinación del alcance son: los requisitos de las partes interesadas, el contexto organizacional, la estructura organizacional, el número de ubicaciones físicas, las funciones de los trabajadores, las limitaciones del sistema, entre otros aspectos.
3. Establecer un plan de implementación
El plan de implementación implica la definición de las actividades del proyecto y los recursos asignados tales como el presupuesto y las personas involucradas. De esta manera, se pueden establecer los plazos de inicio y fin del proyecto de implementación, con el objetivo de lograr la certificación.
En este plan es importante establecer las actividades que deberán desarrollarse, entre las cuales podemos detallar las siguientes:
- Política de Seguridad de la Información.
- Listado de documentos de la ISO 27001.
- Declaración de aplicabilidad.
- Riesgos y vulnerabilidades del sistema.
- Mecanismos de monitoreo y formación.
- Necesidades de capacitación y formación.
- Programa de auditorías.
4. Analizar el cumplimiento de los requisitos de la ISO 27001
Luego de establecer el plan de implementación, se debe analizar la brecha entre lo que cumple con los requisitos de la Norma y lo que falta para lograr el cumplimiento. De tal manera que, se establezca un punto de partida de la implementación y una ruta tentativa de las actividades que se deben abordar.
5. Evaluar los riesgos y vulnerabilidades
La evaluación de los riesgos se realiza a través de la identificación de los activos, las vulnerabilidades, las amenazas, las vulnerabilidades su impacto y probabilidad. Luego, se evalúa lo identificado para determinar los peligros existentes sobre la seguridad de la información. Finalmente, se establece los controles que la declaración de aplicabilidad necesita para el tratamiento de riesgos.
Este proceso es cíclico y debe repetirse cada que vez que sea necesario o las veces que lo establezca su frecuencia de evaluación de riesgos.
6. Implementar controles, procedimientos, programas de capacitación y concientización
En este punto deben implementarse los controles anteriormente establecidos; así como, los procedimientos obligatorios de la Norma. Sin embargo, y por la posible resistencia al cambio, esto no sería posible sin los programas de capacitación y sensibilización al personal.
En tal sentido, la prioridad de estas capacitaciones es el reconocimiento de la necesidad de las políticas y procedimientos. Por ello, también es importante explicarles lo que se espera de ellos frente a la implementación.
7. Realizar seguimiento
El seguimiento continuo del sistema de gestión es la mejor vía para asegurar el cumplimiento de lo planificado e implementado y su eficacia. De mismo modo, se deben llevar a cabo auditorías internas, con el objetivo de identificar los incumplimientos a la Norma y establecer las acciones para corregirlos.
La certificación del SGSI de su organización a través de la Norma ISO 27001 es la mejor oportunidad para asegurar la correcta implementación de su sistema. Calidar a través de la incorporación de diferentes y modernas técnicas le permitirán llevar a cabo un proceso exitoso de Certificación ISO, si desea más información nos puedes contactar aquí.