Esta web utiliza cookies. Conoce aquí nuestra política de cookies.
Cerrar

Aplicación de la norma ISO 27001

 

Llevar a cabo un Sistema de Gestión de Seguridad de la Información (SGSI) que se ajuste a la norma ISO 27001 será muy útil para tu organización. Para ello, en IT Governance disponemos de herramientas de aplicación, formación y recursos para conseguirlo. Prueba de ello, es que nuestros expertos han ayudado ya a más de 400 clientes a obtener la certificación ISO 27001.

Aplicar un SGSI basado en ISO 27001 implicará el trabajo de toda la organización. Un SGSI es único para cada empresa ya que no hay dos proyectos ISO 27001 iguales. Todo el proyecto, desde la evaluación del alcance a la certificación, puede durar de tres meses a un año dependiendo de la complejidad y del tamaño del negocio.

 

A continuación, encontrarás los elementos más comunes para aplicar un proyecto SGSI:

Realizar un análisis de deficiencias

Un análisis de deficiencias determina las imperfecciones entre los procesos de seguridad de la información actuales y los requisitos de la norma. Además, identifica los recursos y las capacidades que se necesitan para reducir las diferencias.

Alcance del SGSI

Para definir el alcance es necesario tomar una decisión acerca de qué recursos informativos se van a delimitar y proteger, algo que puede llegar a ser complejo en las grandes organizaciones. De hecho, si el alcance no está definido correctamente, el proyecto puede dejar a la organización vulnerable a los riesgos que no se han tenido en cuenta.

Para determinar el contexto de la empresa es necesario revisar aspectos tales como la cultura y la tolerancia al riesgo de la misma. De este modo, se garantiza que el SGSI está diseñado adaptándose siempre a las necesidades de la compañía.

Desarrollar la política de la seguridad de la información

La política debe reflejar el punto de vista de la seguridad de la información de la organización y debe estar de acuerdo la junta.

Realizar una evaluación de riesgos

La evaluación de riesgos se encuentra en el núcleo de cualquier SGSI. Un asesor especializado en la materia identificará los riesgos a los que se enfrenta la compañía y realizará una estimación y evaluación de los mismos. A menudo, esto se centra en la evaluación de riesgos de los recursos, la cual ayudará a identificar si los controles son necesarios y asequibles para la organización.

Seleccionar los controles

Los controles deben aplicarse para gestionar o reducir los riesgos reales una vez que finalizada la evaluación de riesgos. La norma ISO 27001 requiere que se comparen los controles contra su propia lista de controles de buenas prácticas enumerados en el Anexo A.

Crear una declaración de aplicabilidad (SoA)

La SoA establece una lista de todos los controles del Anexo A de la norma ISO/IEC 27001:2013, junto con una declaración de si se ha aplicado el control o no y la justificación de su inclusión o exclusión.

Establecer un plan de tratamiento de riesgos (PTR)

El PTR describe los pasos que se tienen que dar para tratar cada riesgo identificado en la evaluación de riesgos.

Crear la documentación adecuada

La documentación tiene que desarrollarse para apoyar cada control planificado y cada componente del SGSI. Esto sirve para establecer un punto de referencia que garantice una aplicación consistente y mejora continua.

Recapitular y crear la documentación es la parte que lleva más tiempo a la hora de aplicar un SGSI.

Ampliar un programa de sensibilización del personal

Todo el personal debe recibir formación regular para aumentar su concienciación acerca de los problemas de la seguridad de la información y el objetivo del SGSI.

Realizar pruebas regulares

La norma ISO 27001 requiere auditorías internas del SGSI en intervalos planificados para determinar si los controles funcionan como deberían. Además, deben realizarse pruebas regulares para garantizar que los planes de respuesta ante incidentes funcionan con eficacia.

Realizar revisiones de la gestión

La alta dirección debe revisar el rendimiento del SGSI al menos una vez al año.

Elegir el organismo de certificación

Es importante asegurarse de que el organismo de certificación elegido está acreditado correctamente por un organismo de acreditación nacional reconocido que sea miembro del IAF, como el UKAS (Servicio de Acreditación del Reino Unido).

Obtener una certificación acreditada

El organismo de certificación revisará la documentación del sistema de gestión y comprobará que se han aplicado los controles adecuados. Además, realizará una auditoría in situ para verificar que los procedimientos se han llevado a la práctica.

Gestionar y revisar el SGSI

La norma internacionl ISO 27001 especifica los requisitos para mantener y mejorar continuamente el SGSI.

 

Descarga la guía gratuita de aplicación de la norma ISO 27001
 

Pon en marcha tu proyecto ISO 27001

El enfoque demostrado de IT Governance para aplicar un SGSI bajo los requisitos de la norma ISO 27001, te ayudará a abordar con éxito cualquier proyecto sobre esta norma internacional de seguridad de la información.

 

Es hora de empezar el cumplimiento ISO 27001 gracias a estos recursos ampliamente utilizados

Norma ISO 27001

Guía de aplicación imprescindible

Clase magistral de aplicación

Herramientas de políticas y procedimientos

Asesoramiento del análisis de deficiencias

Paquetes DIY

 

 

¿Por qué confiar en IT Governance?

  • Nuestro equipo lideró el primer proyecto de certificación ISO 27001 del mundo.
  • Hemos gestionado aplicaciones ISO 27001 desde la creación de esta norma.
  • Somos la única tienda para todas las normas ISO 27001. Ofrecemos formación, herramientas, software, aprendizaje online concienciación del personal y asesoramiento para obtener la certificación.
  • Cientos de empresas de todo el mundo ya usan nuestros productos y servicios.
  • Hemos ayudado a más de 400 empresas a lograr la certificación ISO 27001.

 

Trabajemos juntos para recorrer el camino

Independientemente de la naturaleza o del tamaño del problema, estamos aquí para ayudarte. Haz clic en el botón que se muestra a continuación y solicita la llamada de uno de nuestros asesores. Nos pondremos en contacto contigo lo antes posible.

Habla con un experto

No dudes en ponerte en contacto con nosotros para cualquier consulta o si deseas hablar con un experto.

Contactar