Una guía definitiva para comenzar tu certificación
Si estás pensando en certificarte en ISO 27001 o estás por comenzar con el proceso, llegaste al lugar indicado. A lo largo de este artículo te explicaremos las 10 fases en las que desglosamos esta certificación.
Queremos ayudarte a entender de qué se trata el proceso y qué es lo que necesitas para comenzar. Por otra parte, te recomendamos echarle un vistazo también a estos artículos sobre ISO 27001:
- ?Mantén la calma: Esto es la ISO 27001
- ?¿Mi startup debería cumplir con ISO 27001?
- ?Cómo prepararte para la auditoría de certificación en ISO 27001
- ?7 beneficios de invertir en ISO 27001
Fase 1: Define el alcance y estructura de seguridad de la información
Primero que nada es necesario que definas en qué proceso, servicio o activos de la empresa vas a realizar la certificación. Es decir, aquí decides que vas a certificar y cuál va a ser tu sistema de gestión de seguridad de la información (SGSI).
Recuerda que una certificación no es siempre para toda la empresa. Es necesario que identifiques las áreas que son relevantes para ti y que tienen que ver directamente con la seguridad.
Para profundizar en este tema te sugerimos leer : Lo que tienes que hacer antes de certificarte.
Fase 2: Analiza tus riesgos
Durante esta fase vas a identificar los riesgos a los que está expuesta tu organización. Esto consiste en identificar cuáles son tus activos y las amenazas y vulnerabilidades a las que pudieran estar expuestos. Tener un inventario de activos, te facilitará esta tarea.
El propósito de este análisis de riesgo es saber que es lo que te duele y como puedes curarlo. Sólo así podrás estar preparado para ataques que comprometan tu seguridad.
Fase 3. Gestión de accesos y segregación de funciones
La información confidencial no debe de estar al alcance de todos tus empleados. Dependiendo del departamento y el rango de cada persona deberás otorgar dichos privilegios. Sin duda un punto muy importante para la seguridad de la información dentro de tu empresa.
Lo que debes hacer aquí es tener control sobre quién tiene acceso a qué dentro de tu organización. Digamos que tienes 100 empleados y 5 sistemas. De ese total de personas, 40 entran a un mismo sistema pero no todos como administradores. La función laboral que tengan es lo que definirá el perfil de acceso que tendrán.
Para llevar de una manera eficiente los accesos de tus empleados, te sugerimos realizar una matriz de control de accesos.
Fase 4: Documenta tu SGSI
Tendrás que documentar en qué consiste tu SGSI. Esto es esencialmente para formalizar estas reglas o lineamientos. Además, te será útil para alinear las expectativas que tienes del proyecto.
Es aquí donde defines qué va a soportar tu SGSI, como por ejemplo: políticas, procedimientos e instructivos o manuales. Si tienes alguna duda sobre cómo realizar las políticas de tu SGSI, nosotros te explicamos cómo hacerlo.
Fase 5: Gestiona la seguridad en tus sistemas
Si estás trabajando con un sistema de terceros, como por ejemplo, la app de Hackmetrix, tienes que asegurarte de que es seguro y que no te vuelve vulnerable. Es decir, aplicar pruebas de vulnerabilidades y/o Ethical Hacking, definir controles de red, tener respaldos de información, etc.
En pocas palabras aquí tendrás que trabajar con la seguridad de tus sistemas y buscar herramientas que te pueden ayudar a cumplir con los controles de seguridad.
Fase 6: Identifica regulaciones locales con impacto en Seguridad de la información
A diferencia de ISO 27001, que es un estándar, existen leyes o regulaciones de seguridad de la información que son obligatorias para operar en ciertos espacios geográficos. Podemos tomar como referencia a la Ley Fintech en México y a la Ran 20-10 en Chile.
ISO 27001 es una buena práctica que puedes o no adoptar. Sin embargo, al implementarla, te pide revisar qué leyes te aplican y declararlas. Aunque ISO 27001 no te obliga a cumplir con ellas, considera que es tu obligación moral hacerlo.
Fase 7: Define las métricas para evaluar tu SGSI
El siguiente paso es definir los objetivos de seguridad para tu SGSI. Crea y estructura los indicadores o KPIs (Key Performance Indicators) que te indiquen si estás cumpliendo con dichos objetivos.
Fase 8: Gestiona la evidencia que soporta tu SGSI
Ya implementaste tu SGSI y lo documentaste, ahora tienes que tener evidencia de que ese SGSI existe y está funcionando. En este paso hay que recabar evidencia de que todo lo que dice tu documentación es cierto.
Esto puedo hacerlo mediante la configuración de tus sistemas, dando evidencia de que tu personal está capacitado en temas de seguridad, con ejercicios de ethical hacking o de pentesting, etc.
Fase 9: Evalúa de manera interna el SGSI implementado
Llegó el momento de la verdad. Ahora tendrás que asegurarte de que tu SGSI funciona correctamente. No te preocupes, en esta fase la evaluación se hace de manera interna.
Como empresa tienes que evaluar que tu SGSI sea funcional, es decir, hacer una auditoría interna. Así puedes validar que lo que implementaste está de acuerdo con la ISO 27001.
Toma en cuenta que el auditor tiene que ser independiente del proceso de implementación. Esta persona tiene que asegurarse de que todo lo que implementaste es correcto antes de realizar la auditoría externa que te da la certificación.
Fase 10: Repara errores y aplica un sistema de mejora continua
Una vez que tuviste la auditoría interna, sabrás qué puntos hay que corregir y que puedes mejorar antes de la auditoría externa para la certificación. Mejora todo lo que tienes bien y corrige todo lo que está mal. Si no quieres certificarte, haz las mejoras para tu tranquilidad.
Bueno, como puedes ver, certificarte con ISO 27001 consiste básicamente en identificar qué área de la empresa y activos quieres certificar para así definir correctamente tu SGSI. Luego, hay que documentarlo, definir KPIs y hacer una auditoría interna para revisar que todo esté en orden.
Esperamos que este artículo te haya sido útil para ayudarte a comprender el camino para certificarte en ISO 27001. De igual manera, si tienes alguna duda sobre el proceso, puedes contactarnos y con gusto te asesoraremos.