Certificación ISO 27001, simplificada

Certificación ISO 27001

La certificación demuestra el compromiso de la organización con la mejora, el desarrollo y la protección continuos de los activos de información/datos confidenciales mediante la implementación de evaluaciones de riesgos apropiadas, políticas y controles apropiados.

Una organización certificada ISO 27001 anuncia al mundo que es confiable, ha implementado un Sistema de gestión de seguridad de la información (SGSI) de acuerdo con la Cláusula 4.4 de la norma y ha demostrado el cumplimiento ante un auditor externo/organismo de certificación ISO independiente, por ejemplo, UKAS.

La certificación ISO 27001 es un diferenciador empresarial y demuestra a otras empresas que pueden confiar en su organización para gestionar valiosos activos/datos de información de terceros y propiedad intelectual; esto fomenta una gran cantidad de nuevas oportunidades y al mismo tiempo protege su negocio de la exposición al riesgo.

La norma ISO 27001 es el marco de mejores prácticas reconocido internacionalmente para un SGSI

El reconocimiento ISO 27001 es más valioso para las organizaciones en el Reino Unido cuando obtiene la certificación de un organismo de certificación acreditado por UKAS (Servicio de Acreditación del Reino Unido) que auditará de forma independiente su organización y le proporcionará la certificación ISO 27001.

Existen otros organismos de certificación comparables a UKAS a nivel internacional, lo que ayuda a mantener el estándar de gestión de seguridad de la información ISO/IEC 27001 siempre que una organización pretenda lograr la certificación ISO 27001. La certificación ISO 27001 no se trata solo de las medidas técnicas que se implementan. ISO 27001 trata de garantizar que los controles comerciales y los procesos de gestión que tiene implementados sean adecuados y proporcionados para las amenazas y oportunidades de seguridad de la información que ha identificado y evaluado en su evaluación de riesgos. Y todo eso debería hacerse con un enfoque empresarial para el proceso de gestión de la seguridad de la información.

Certificación ISO 27001 versus cumplimiento

Las organizaciones nuevas en los sistemas de gestión de seguridad de la información a menudo preguntan sobre la diferencia entre la certificación ISO 27001 y el cumplimiento, especialmente cuando se siguen estándares reconocidos como ISO 27001.

En términos simples, el cumplimiento podría significar que la organización sigue la norma ISO 27001 (o partes de ella). La certificación ISO 27001 significa que el Sistema de Gestión de Seguridad de la Información ISO 27001 de la organización ha sido certificado de conformidad con la norma por auditores conocidos como Organismos de Certificación.

¿Por qué necesita la certificación ISO 27001?

La certificación ISO 27001 se aplica a cualquier organización que desee o deba formalizar y mejorar los procesos comerciales en torno a la seguridad de la información, la privacidad y la protección de sus activos de información.

El tamaño/facturación de una empresa no dicta la necesidad de ISO 27001 de una organización; Incluso las empresas más pequeñas pueden tener clientes influyentes u otras partes interesadas, como inversores, que buscan las garantías intrínsecas de contar con ofertas de certificación UKAS ISO 27001.

Como resultado de la certificación ISO 27001, su organización puede demostrar que su gente, procesos, herramientas y sistemas se adhieren a un marco reconocido. Imagine un mundo de informes financieros o de salud y seguridad sin normas. La seguridad de la información está un poco por detrás de esas áreas desde las perspectivas de certificación y auditoría independiente. Aún así, con el ritmo del cambio acelerándose en casi todo, más organizaciones innovadoras están avanzando internamente, particularmente en su cadena de suministro. Así pues, se puede observar la certificación ISO 27001 a través de dos lentes;

Confianza en tus proveedores

Como cliente, necesita confiar en que sus proveedores están certificados para ayudar a mitigar los riesgos comerciales y aprovechar las oportunidades, por ejemplo, a partir de estándares más altos y consistentes y menores costos y riesgos totales del trabajo que le brindan.

Generando confianza en su negocio

Sus clientes son cada vez más inteligentes; les gusta que usted necesite saber que la cadena de suministro está protegida adecuadamente. Los clientes influyentes simplemente exigen la certificación ISO 27001 y transfieren el proceso de gestión de riesgos a lo largo de la cadena de suministro. También existen otros beneficios derivados, y mucho menos todo el negocio adicional que obtendrá al obtener la certificación ISO 27001 frente a los rezagados que no lo están. Por ejemplo, el personal bien informado querrá trabajar para marcas confiables. A medida que las aseguradoras se pongan al día con mejores prácticas laborales, también debería significar primas más bajas para las organizaciones con un sistema de gestión de información ISO 27001 certificado de forma independiente.

Los beneficios de la certificación ISO 27001

Para todas las partes interesadas, el mensaje clave es la confianza y la seguridad obtenidas de una gestión de seguridad de la información auditada externamente. La certificación ISO 27001 ofrece múltiples beneficios, por ejemplo:

Beneficios para ti

• Proteger la propiedad intelectual, la marca y la reputación
• Obtenga más negocios con clientes nuevos y existentes
• Reducir el costo de venta.
• Retener más negocios
• Procesos mejorados que conducen a ahorros de costos y tiempo.
• Evite multas por incumplimiento normativo (como GDPR)
• Evite demandas civiles derivadas de una violación de datos
• Evite los costos de acciones correctivas resultantes de incidentes y/o incumplimientos
• Atraer mejor personal

Beneficios para su personal

• Confianza en la sostenibilidad de la organización
• Formación para el trabajo (y la seguridad del hogar)
• Claridad a través de políticas y procedimientos
• Orgullo por la organización y su papel en protegerla.

Beneficios para sus clientes

• Confianza y seguridad en usted y su cadena de suministro
• Menos probabilidad de una infracción costosa
• Costo reducido de incorporación de proveedores.

Certificación ISO 27001: ¿Vale la pena?

Probablemente no hacer nada no sea una opción si accede y administra activos de información valiosos que pertenecen a otros. Para algunas organizaciones, todo su negocio se basa en el desarrollo o gestión de activos de información.

Entonces, en ese caso, perder parte o la totalidad de ese negocio o no ganar más en el futuro probablemente signifique que vale la pena invertir para obtener la certificación ISO 27001, especialmente si los clientes u otras partes interesadas, como los inversores, perciben un riesgo.

Lograr la certificación ISO 27001 no es tan complicado ni costoso como solía ser gracias a soluciones innovadoras como ISMS.online. Y, a pesar de muchos de los beneficios estratégicos y financieros, algunos líderes todavía lo consideran una compra "agraviada" y otro ejercicio burocrático para marcar casillas. Lograr la certificación normalmente implica una inversión de tiempo y costos; Como la mayoría de las inversiones estratégicas, vale la pena considerar el rendimiento y los beneficios más amplios.

¿Qué implica la implementación de ISO 27001?

Para implementar ISO 27001 es necesario desarrollar un 'sistema de gestión', compuesto por personas, procesos y tecnología.

Por parte de las personas, se necesita liderazgo para guiar la implementación para cumplir con los objetivos comerciales, las normas culturales, revisiones periódicas y demostrar que la organización se lo está tomando en serio. Los auditores querrán ver "el espíritu de ISO 27001" aplicado, así como los documentos a este nivel superior, por lo que un director entrando en una auditoría y pretendiendo entender el Sistema de Gestión de Seguridad de la Información ISO 27001 también es una receta para el desastre.

También necesitará personas que comprendan su negocio y tengan la capacidad y la confianza para abordar los requisitos. La inversión en "personas" está determinada por la tecnología utilizada para implementar y mantener el Sistema de Gestión de Seguridad de la Información (SGSI) ISO 27001.

Por ejemplo, necesitarás:

• Una solución digital o en papel para describir cómo cumple con los requisitos básicos de ISO 27001 y cómo se gestionan a lo largo del tiempo (se le audita al menos una vez al año; consulte más adelante).
• Es un entorno similar para documentar y gestionar todos los controles y políticas del Anexo A desarrollados y luego garantizar que estén disponibles para las personas a las que se aplican. Puede demostrar que los conocen y están comprometidos (recuerde, estas personas pueden ser personal y proveedores). Tampoco escriba controles y políticas simplemente porque sí. Todos deben basarse en los problemas que enfrenta su organización, las expectativas de sus partes interesadas, su alcance y límites (por ejemplo, productos, ubicaciones, etc.) y los activos de información que desea proteger. Aquí también tienes que "mostrar tu trabajo" y documentar todo eso. Resulta difícil hacerlo bien y mantenerlo en el tiempo con sólo documentos de Word, hojas de cálculo y una unidad compartida.
• Su sistema de gestión tendrá todas las herramientas que sustentan ese trabajo, documentadas y fácilmente seguidas por el auditor.
  Todas estas actividades se evalúan de riesgos (con su herramienta de gestión de riesgos) para ayudarlo a determinar cuál de los objetivos de control del Anexo A necesita implementar, lo que, sin ser demasiado técnico en esta etapa, conduce a su Declaración de Aplicabilidad. ¿Ya dije que es necesario demostrarle esto a un auditor para obtener la certificación ISO 27001?
• Un conjunto de documentos puede ayudar si es procesable, es decir, puede usarlo de manera práctica y es fácil de adoptar, adaptar y agregar. También debería integrarse dentro de esa solución tecnológica.
• Si confía en la cadena de suministro, debe mostrar cómo controla a esos proveedores y, en particular, sus contratos (¡también es un requisito fundamental para el cumplimiento del RGPD!).
• Los objetivos y requisitos de control esperan la descripción del enfoque (por ejemplo, política sobre cómo abordar los incidentes de seguridad) y su demostración (es decir, el rastreador de incidentes de seguridad con todos sus incidentes, eventos y debilidades, detalles y evidencia fácilmente accesible también).

Planificar, hacer, verificar, actuar

Los enfoques reconocidos para implementar un sistema incluyen el enfoque PDCA (Planificar, Hacer, Verificar, Actuar). Era un enfoque estándar de gestión de calidad, pero quizás esté un poco pasado de moda en su forma literal.

La versión 2013/17 de ISO 27001 facilitó un proceso más ágil y dinámico que respalda la evaluación y mejora continua del sistema de gestión, por lo que es más un PDCA en tiempo real y también mezcla el orden del PDCA para un enfoque ágil pragmático. Las organizaciones suelen tener este tipo de enfoque dinámico para sus sistemas de seguridad operativos, por ejemplo, cortafuegos, escáneres de red, etc. Es más adecuado para el panorama de riesgos moderno y en constante cambio. Un Sistema de Gestión de Seguridad de la Información bien gestionado será en el futuro un SGSI mucho más ágil, dinámico y continuamente monitoreado.

1. Plan de implementación de ISO 27001

Al agregar más contexto y estructura a su plan de implementación de ISO 27001, el implementador principal debe considerar los siguientes aspectos:

• Sea claro sobre los objetivos, las razones de peso para actuar y los plazos que desea cumplir, así como las consecuencias si eso se desvía.
• Identifique el ROI principal para poder contar con las personas y el liderazgo adecuados; también ayudará al desarrollo del presupuesto, si es necesario.
• Si el equipo es nuevo en ISO 27001, compre las normas ISO y la guía ISO 27002 y léalas, comparando su entorno interno actual con lo que se requiere para el éxito (un ligero análisis de brechas). Es posible que muchos de los requisitos, procesos y controles ya estén establecidos y deban formalizarse. Es posible que no necesite capacitación externa ni programas de implementación de auditores líderes; estos pueden ser un desperdicio y afectar negativamente cómo desea que funcione su Sistema de gestión de seguridad de la información como un SGSI práctico.
• Considere soluciones y herramientas tecnológicas preconfiguradas para comparar si son mejores que las que ya tiene internamente y si hacen un mejor uso de sus valiosos recursos. Algunas de estas soluciones, como ISMS.online, ya tienen todas las herramientas que necesita e incluyen documentación procesable que puede adoptar, adaptar y agregar para obtener una gran ventaja, y ofrecen asesoramiento y capacitación virtual para lograr la certificación.
• Comience... y divida todo el trabajo en trozos pequeños y celebre el poder de las pequeñas victorias. Ver un progreso frecuente hacia una integridad del 100 % es contagioso, así que recuerde encontrar una solución visible, transparente y colaborativa para compartir esos pequeños éxitos.

2. Abordar los elementos clave de la norma ISO 27001

ISO 27001 se puede implementar de abajo hacia arriba adoptando un enfoque basado en políticas, simplemente creando documentación para los controles del Anexo A. Sin embargo, el enfoque más estratégico y orientado al negocio sigue en términos generales la forma en que está escrita y es lógica la norma ISO 27001. Lo hemos resumido simplemente de la siguiente manera:

• Observe los problemas que enfrenta su organización y comprenda las necesidades de las partes interesadas (partes interesadas); en particular, identifique también los activos de información lo antes posible (los encontrará más detallados más adelante).
• Establecer los límites y alcance del SGSI.
• Defina los objetivos de seguridad de su organización a partir de su SGSI.
• Establezca la capacidad de realizar revisiones, auditorías y evaluaciones periódicas de la implementación para demostrar que tiene el control y documente (brevemente) desde el día 1 de la implementación para compartir ese recorrido con el auditor y las lecciones aprendidas.
• Identifique los riesgos para esos activos de información y realice evaluaciones de riesgos; si hay escasez de recursos, le recomendamos que priorice los activos de información de mayor riesgo y las amenazas más importantes para la CIA en función de la probabilidad y el impacto.
• Crear un plan de tratamiento de riesgos para cada riesgo. Cuando corresponda, elija los objetivos de control del Anexo A y los controles que se implementarán y aborde esos riesgos; lo ideal es vincularlos para saber que sus activos, riesgos y controles encajan entre sí. Si cambia o revisa una parte, verá el impacto en las partes relacionadas.
• Prepare su Declaración de Aplicabilidad: esto sorprende a mucha gente, pero es un requisito obligatorio y puede hacer perder mucho tiempo.

Recuerde documentar todo y demostrar que todo el sistema está funcionando con esa evaluación periódica.

3. Evalúe su ISO 27001 de acuerdo con la norma y su preparación para lograr la certificación.

Es fundamental contar con mediciones y revisiones para garantizar que su SGSI cumpla sus objetivos. ISO 27001 incluye requisitos para que la evaluación planificada se lleve a cabo en forma de:

• Revisiones de gestión
• Auditorías internas
• Auditorías externas: cuando corresponda, podrían ser de un organismo de certificación ISO 27001, de clientes o consultores.

4. Mejore su SGSI según sea necesario y organice la auditoría de etapa 1 por parte del organismo de certificación externo.

El proceso de mejora continua es clave para el éxito de ISO 27001 y es algo que los auditores observarán para ver evidencia de ello.

Las amenazas y vulnerabilidades a la seguridad cambian rápidamente al igual que, en muchos casos, lo hacen el crecimiento o los objetivos de las organizaciones. Una empresa debe demostrar su compromiso de tomar acciones correctivas y realizar mejoras en su SGSI. Si se implementa correctamente, su SGSI será un facilitador de negocios en lugar de restringir la forma en que desea administrar su negocio.

¿Cómo obtengo la certificación ISO 27001?

Después de haber implementado su sistema de gestión de seguridad de la información y haber realizado las primeras revisiones de gestión del SGSI, y haber comenzado a vivir el enfoque en la práctica, estará bien encaminado para obtener la certificación ISO 27001.

Es un proceso de dos etapas para obtener la certificación con el estándar acreditado del Servicio de Acreditación del Reino Unido:

Auditoría de etapa 1

En términos simples, el auditor del organismo de certificación querrá ver la documentación del Sistema de gestión de seguridad de la información y comprobar que usted cumple con los requisitos, ¡al menos en teoría! En esta etapa se trata más bien de una revisión documental del SGSI con el auditor, que cubre las áreas obligatorias y garantiza que se esté aplicando el espíritu de la norma. Los organismos de certificación con visión de futuro están empezando a hacerlo de forma remota, lo que reduce los costos y acelera el proceso.

El resultado de este ejercicio es una recomendación para la preparación de la auditoría de la Etapa 2 (quizás con observaciones para reevaluar durante la auditoría de la Etapa 2) o la necesidad de abordar cualquier no conformidad identificada antes de que se puedan lograr mayores avances.

Dependiendo de su estado de auditorías internas, es posible que deba completar una auditoría interna completa antes de la etapa 2. Le sugerimos que acuerde detalles específicos con sus auditores, ya que algunos buscan cosas ligeramente diferentes; es un poco como las reglas del fútbol, ​​donde los árbitros las interpretan de manera diferente. . ¡Asegúrate de preguntarles! Un buen auditor querrá que usted tenga éxito y le ayudará a comprender lo que espera ver en una auditoría de Etapa 2.

Muchas organizaciones fracasan en la Etapa 1, y es por un conjunto común de razones que generalmente se abordan fácilmente con una buena solución de Sistema de Gestión de Seguridad de la Información (a menos que sus líderes no estén comprometidos, entonces nada ayudará con el SGSI).

Auditoría de etapa 2

Aquí es donde los auditores comenzarán a buscar evidencia de que el Sistema de Gestión de Seguridad de la Información documentado se está viviendo y respirando en la práctica. Su personal estará comprometido y entrevistado; El auditor ISO 27001 evaluará su alcance en cuanto a la ubicación física, los sistemas, los procesos y los procedimientos. Como la mayoría de las auditorías, será un tamaño de muestra, y si puede guiar al auditor con un sistema conjunto, tendrá una gran confianza en ello.

El resultado de este ejercicio es aprobado o reprobado. Si aprueba, tendrá ese certificado tan valioso, si falla, le quedará trabajo por hacer en torno a las no conformidades antes de poder volver a presentarse a otra auditoría o una revisión específica de la no conformidad.

¿Cuánto cuesta la certificación ISO 27001?

La auditoría de certificación no es el costo principal que debe considerar. El costo más alto es el tiempo y el esfuerzo para lograr la certificación de las personas involucradas en la construcción inicial de su Sistema de Gestión de Seguridad de la Información y el mantenimiento del SGSI año tras año.

Podría tener costos de oportunidad de pérdida de ingresos de recursos de alto nivel, distracción de competencias básicas para el negocio y mayores costos de consultoría si se recurre a ayuda externa sin un punto de partida tecnológico sólido.

Sin embargo, vale la pena considerar los costos de certificación y se basan en el tamaño, el alcance, los procesos, etc. de su organización. La mayoría de los organismos de certificación ofrecerán una cotización rápida en línea o un seguimiento.

Los costos de la certificación ISO 27001 deben considerarse durante un ciclo de certificación de 3 años:

• Auditoría inicial y auditoría de certificación – etapas 1 y 2
• Auditorías de vigilancia para los años 1 y 2
• Luego el ciclo continúa nuevamente, con recertificación cada tres años.

Los honorarios de auditoría suelen rondar las 1,000 libras esterlinas por día (sin IVA), y el número de días necesarios varía según el tamaño de la organización y el alcance del sistema de gestión. Por ejemplo, una pequeña empresa con un alcance simple (por ejemplo, un producto, pocos procesos, una oficina central, etc.) podría necesitar un día para una auditoría de Etapa 1, dos días para una auditoría de Etapa 2 y un día adicional por vigilancia anual.

También vale la pena buscar organismos de auditoría más innovadores y preparados para realizar auditorías remotas de etapa 1. Es probable que esto se considere sólo cuando el sistema de gestión sea completamente digital, como ocurre con ISMS.online. Esto significa que para ellos, como auditores, es más fácil ver la implementación en funcionamiento. Esto ahorrará costes en los inevitables gastos de viaje y tiempo.

Mantener su certificación ISO 27001

La certificación ISO 27001 se realiza en un ciclo de 3 años:

• Etapa 1 y 2 y luego entrega del certificado.
• Auditoría de vigilancia 1 (generalmente anualmente o puede ser más frecuente según el alcance, el riesgo y el tamaño)
• Auditoría de vigilancia 2
• Recertificación del tercer año y evaluación más detallada

Puede llevar entre 4 y 6 semanas registrarse con un organismo de auditoría, así que tenga en cuenta ese tiempo y le recomendamos buscar un auditor bien versado en su sector y tamaño de negocio. De lo contrario, pueden ser más o menos costosos, pero, lo que es más importante, si no comprenden los desafíos de su sistema de gestión de seguridad de la información desde una perspectiva empresarial, podría ser un proceso doloroso. Recuerde, el auditor generalmente siempre tiene razón (aunque puede demostrar más fácilmente por qué ha hecho algo y explicar su apetito por el riesgo, la selección de controles, etc., si tiene un SGSI bien administrado).