Aplicación de la norma ISO 27001

Un análisis de deficiencias determina las imperfecciones entre los procesos de seguridad de la información actuales y los requisitos de la norma. Además, identifica los recursos y las capacidades que se necesitan para reducir las diferencias.

Para definir el alcance es necesario tomar una decisión acerca de qué recursos informativos se van a delimitar y proteger, algo que puede llegar a ser complejo en las grandes organizaciones. De hecho, si el alcance no está definido correctamente, el proyecto puede dejar a la organización vulnerable a los riesgos que no se han tenido en cuenta.

Para determinar el contexto de la empresa es necesario revisar aspectos tales como la cultura y la tolerancia al riesgo de la misma. De este modo, se garantiza que el SGSI está diseñado adaptándose siempre a las necesidades de la compañía.

La política debe reflejar el punto de vista de la seguridad de la información de la organización y debe estar de acuerdo la junta.

La evaluación de riesgos se encuentra en el núcleo de cualquier SGSI. Un asesor especializado en la materia identificará los riesgos a los que se enfrenta la compañía y realizará una estimación y evaluación de los mismos. A menudo, esto se centra en la evaluación de riesgos de los recursos, la cual ayudará a identificar si los controles son necesarios y asequibles para la organización.

Los controles deben aplicarse para gestionar o reducir los riesgos reales una vez que finalizada la evaluación de riesgos. La norma ISO 27001 requiere que se comparen los controles contra su propia lista de controles de buenas prácticas enumerados en el Anexo A.

La SoA establece una lista de todos los controles del Anexo A de la norma ISO/IEC 27001:2013, junto con una declaración de si se ha aplicado el control o no y la justificación de su inclusión o exclusión.

El PTR describe los pasos que se tienen que dar para tratar cada riesgo identificado en la evaluación de riesgos.

La documentación tiene que desarrollarse para apoyar cada control planificado y cada componente del SGSI. Esto sirve para establecer un punto de referencia que garantice una aplicación consistente y mejora continua.

Recapitular y crear la documentación es la parte que lleva más tiempo a la hora de aplicar un SGSI.

Todo el personal debe recibir formación regular para aumentar su concienciación acerca de los problemas de la seguridad de la información y el objetivo del SGSI.

La norma ISO 27001 requiere auditorías internas del SGSI en intervalos planificados para determinar si los controles funcionan como deberían. Además, deben realizarse pruebas regulares para garantizar que los planes de respuesta ante incidentes funcionan con eficacia.

Es importante asegurarse de que el organismo de certificación elegido está acreditado correctamente por un organismo de acreditación nacional reconocido que sea miembro del IAF, como el UKAS (Servicio de Acreditación del Reino Unido).

El organismo de certificación revisará la documentación del sistema de gestión y comprobará que se han aplicado los controles adecuados. Además, realizará una auditoría in situ para verificar que los procedimientos se han llevado a la práctica.