top of page

Implementar ISO 27000 en 10 pasos clave

Mucha gente habla acerca de implementar un ISMS (Information Security Management System) y frecuentemente se escucha que es un proceso complejo de realizar, pero la buena noticia es que hay un número de pasos clave que permitirán implementar ISMS de una manera eficiente y que después de  madurar cada uno de los elementos poder pasar  a un esquema de manejo de la seguridad más complejo.

  • Contexto Organizacional

El primer paso al armar un ISMS (Information Security Management System) es entender realmente el contexto de la organización y esto implica tomarse un tiempo para entender el tipo de productos y servicios que se ofrece a los clientes, entender el tipo de riesgos que hay en la organización y así poder construir el ISMS por la ruta correcta de acuerdo a su negocio, poder proteger los procesos que realmente necesitan ser controlados desde el punto de vista de la seguridad de la información.

  • Contexto Externo

Una vez que has entendido el contexto interno, los activos y los procesos de negocio importantes, necesitas mirar qué pasa fuera de la organización, qué tipo de regulaciones aplican para tu negocio desde el punto de vista de seguridad. Qué tipos de amenazas y riesgos se enfrentan desde afuera.  Por ejemplo, si tienes algún tipo de propiedad intelectual ¿Podrían tus competidores estar interesados en ella?, ¿Podrían los cibercriminales estar interesados en datos que tú posees? Con este tipo de preguntas tendrás un muy buen contexto para poder crear y escribir el alcance de tu ISMS. El alcance del ISMS es absolutamente crítico. Si defines un alcance de ISMS acotado, podrás implementarlo muy rápido. Y luego, con el paso del tiempo, tu estrategia podría ser crecer tu ISMS a partir de ese primer alcance.

  • Política de Seguridad de Información

Una vez que se ha entendido el alcance y el estado actual de tu organización, puedes empezar a implementar tu ISMS. El siguiente paso es asegurar el entendimiento completo de la estrategia y los beneficios detrás de ésta. La política de Seguridad de Información es el reflejo del  estado en el cuál tu ISMS está tratando de alcanzarse. Por ejemplo, en la parte de los objetivos, debes tener un número de objetivos a los que están enfocados  tus mecanismos de seguridad, pero también se deben resaltar los beneficios comerciales que puede traer el ISMS al negocio.

  • Aprobación de la Dirección

Una vez que se libera la política, se necesita convencer a la dirección de los beneficios de la implementación de un proceso de ISO 27001. Y una de las mejores formas de convencer a la dirección, es resaltar, créanlo o no, la reducción de los costos que se pueden acarrear.  Se pueden reducir los costos entendiendo el  tipo de riesgos que se enfrentan  y entendiendo los procesos de negocios, ya que cuando lo haces, encuentras muchas oportunidades para incrementar la eficiencia de los ahorros, a través de reducir los costos de las brechas de seguridad en el futuro. Pero el elemento más importante, es que cuando las empresas se certifican en ISO 27001, empiezan a ser reconocidas por sus clientes como una empresa que se toma la Seguridad de la Información muy en serio. Con esos mensajes, el siguiente paso es que la Alta Dirección apruebe el ISMS y que se ponga como un objetivo estratégico que viene desde la Alta Dirección.

  • Evaluación de Riesgos

Ya se mencionó que el proceso se inicia con el entendimiento del contexto y empezamos a pensar acerca de los riesgos y de dónde podrían venir los riesgos para la seguridad de su información.  El siguiente paso es estar de acuerdo con el proceso de cómo se están evaluando esos riesgos y considerar cuáles son los riesgos más significativos.

Muchas organizaciones tienen miedo de esto porque hay muchos métodos de evaluación de riesgos, algunos muy complejos, pero la verdad es que si se va a empezar de cero, sólo hay que arrancar con la metodología básica y empezar con algunos escenarios de riesgo en los cuales debe hacerse la pregunta: “¿De dónde vienen las amenazas?, ¿Quién de haya afuera quiere comprometer o robar nuestra información?, ¿Qué tipo de técnicas podrán usar? ¿Hay posibilidad de que se dé un fraude ya sea interno, o por cibercriminales, o por medio de competidores?”

Esto se puede responder muy rápido en una sesión de lluvia de ideas, donde se identifiquen las fuentes potenciales de riesgo y proponer algún tipo de escala para ponderar la probabilidad de que esos escenarios se vuelvan verdaderos y el nivel de daño potencial pueda ser una realidad.

Hay algunos métodos simples de los cuáles se puede arrancar. Y a su debido tiempo, las técnicas  y herramientas se pueden hacer más sofisticadas para escavar en esos escenarios de riesgo. Y con esto podemos decir que en muy pocos días tendremos un buen lugar para empezar.

  • Plan de Tratamiento del Riesgo

Una vez que se entiende el riesgo que se está enfrentando, es hora de trabajar en equipo para diseñar o crear algo llamado “El Plan de Tratamiento de Riesgo”.

La idea es decidir para cada uno de los riesgos identificados, evaluar si son aceptables para la organización o se puede tomar algún tipo de acción o quizás reducir la afectación de esos riesgos o al menos manejarlos a un nivel en el que la organización se sienta confortable.

  • Medición de Riesgos

Una vez que tenemos el plan de tratamiento de riesgo y que ya decidimos que acciones vamos a tomar, sigue acercarnos al Anexo A del ISO 27001, del cual podríamos  sentirnos agobiados pues hay 114 controles de seguridad. Pero las buenas noticias que no es mandatario que se implementen cada uno de los controles. Lo que se debe hacer es un buen análisis a esos controles de seguridad y escoger aquellos que son relevantes a la organización, basados en la evaluación de riesgos realizada previamente.

  • Declaración de Aplicabilidad

Una vez identificados los controles de seguridad a utilizar, documentamos en una hoja de cálculo, la Declaración de Aplicabilidad, que en términos simple es: qué controles vamos a implementar y por qué. Además de qué controles no vamos a implementar y por qué no. Si se escoge no implementar esos controles, es muy importante que se pueda justificar por qué. Cuando se decide que esos controles son los requeridos, se deben reevaluar de entrada cuatro cosas diferentes:

1. ¿Hay un riesgo que necesita ser manejado? (¿Qué control se seleccionó?)

2. ¿Hay un requerimiento legal para implementar el control? 

3. ¿Hay un razón regulatoria para el control?

4. ¿Hay una obligación contractual con sus clientes? (por ejemplo se podría requerir implementar cosas como responder a un incidente dentro de una ventana de tiempo específica). 

Esas son el tipo de cosas que se podrían considerar. Por supuesto, lo que nosotros necesitamos conocer es que muchas organizaciones que miran internamente su seguridad, probablemente ya implementaron muchos de los controles de ISO 27001 y entonces se podrán considerar esos controles como línea base y también vale la pena mirar lo que ya se tiene en la organización.

  • Auditoria Interna

Una vez que se hicieron los pasos anteriores y se tienen los controles definidos y aplicados, el siguiente proceso para tener un ISMS, es el proceso de Auditoria Interna. Este proceso permite a alguien de la organización, o quizás de fuera, tener una revisión independiente del Sistema Administrado. Nuevamente, esto se puede hacer muy rápido si se inicia con un alcance pequeño. Algo a tomar en cuenta es asegurar que la gente que ejecuta la Auditoria Interna no forme parte del ciclo de seguridad. En otras palabras, que no haya partes del Sistema Administrado de las cuales el auditor sea responsable o que se esté involucrado. Ya que podría volverse ‘juez y parte’ y no podría ser una auditoria objetiva.

 

¿Quién podría ser competente para hacer la auditoria interna? Puedes tomar en cuenta temas como su experiencia, sus certificaciones, su experiencia como ISO27001 Lead Auditor, ese tipo de cosas nos da una idea de que esos auditores van a tener las competencias adecuadas. Y así una vez que se tienen auditores competentes, se puede muy rápido, habilitar un programa de auditoria.

  • Revisión por parte de la Dirección

El paso final en la cadena del proceso, es que se necesita establecer lo que se denomina una Revisión por parte de la Dirección. Una vez que se identificaron los riesgos, se implementaron controles, se validó que los controles funcionan y que ya se hizo la auditoria interna, el paso final es trabajar con la Alta Dirección para revisar los alcances el ISMS  y observar si es el alcance deseado y entonces realmente identificar a dónde ir en términos de la Estrategia de Seguridad de la Compañia.

 

Puntos Finales

Después de trabajar con todos esos puntos, descubrirás que al final es un proceso que tiene una serie de pasos definidos y claros. Para obtener el beneficio real de un ISMS no se trata de solo obtener la certificación, no es solo hacer lo necesario de los hallazgos de la auditoria. Hay mucho trabajo que hacer en términos de incrustar esos procesos en la Empresa, hacer conciencia, hacer que la gente en la Organización se familiarice con sus roles desde el punto de vista de la seguridad de la información y de tener una estrategia de largo plazo para alcanzar los objetivos estratégicos en materia de seguridad informática.

Referencias Bibliográficas

10 Key Steps to Implement ISO 27001 - Graeme Parker 

https://www.youtube.com/watch?v=ZCFx1nPyaCU

bottom of page