¿Está implementando ISO 27001 y no está seguro de por dónde empezar?
Entonces, ¿cuáles son los posibles caminos para implementar su SGSI ISO 27001?
Una ruta popular es el 'análisis de brechas en la gestión de la seguridad de la información', donde invertirá mucho tiempo y dinero en encontrar las brechas. Pero aún así solo obtendrá un análisis de brechas (probablemente con resultados en una hoja de cálculo difícil de navegar y administrar), no ningún avance para establecer su ISMS. Hay una mejor manera.
Otro camino común es evitar el análisis de brechas y simplemente pasar a la entrega. Algunas organizaciones comienzan creando todos los 93 Controles del anexo A, implementando políticas, procesos y procedimientos primero. Sin embargo, esto tampoco es óptimo y puede llevar mucho tiempo, especialmente si el negocio no tiene riesgos a los que esos controles serían aplicables. Este es un enfoque "de abajo hacia arriba" y siempre sugerimos que siga los requisitos básicos "de arriba hacia abajo".
El estándar ISO comienza a guiarlo bien a través del proceso de arriba hacia abajo si comienza desde el principio con los requisitos básicos de ISO 27001. Sin embargo, los requisitos básicos (cláusulas de gestión) cubren la operación más allá de la implementación, por lo que desviarán la atención hacia la consideración de actividades posteriores a la certificación (como el seguimiento, auditoría interna, revisión y mejora) incluso antes de comenzar a operar su SGSI. Esto es mejor, pero no la mejor manera cuando tienes prisa o quieres seguir el camino más conveniente. Hay una mejor manera de asegurar resultados, que toma lo mejor de todas las prácticas comunes y evita el desperdicio de un análisis de brechas. Lo llamamos Método de Resultados Garantizados – ARM.
Apunte al pragmatismo, no a la perfección, con su primer SGSI
A menudo, pero no siempre, existe un factor externo para el logro de la norma ISO 27001, como un requisito de licitación o presiones de los clientes dado un cambio en el apetito de riesgo en la cadena de suministro (por ejemplo, debido a delitos cibernéticos o regulaciones como GDPR). Esos impulsores externos suelen significar plazos ajustados, por lo que la perfección suele ser enemiga de lo bueno cuando se trata de lograr Éxito de la certificación ISO 27001 a un plazo reducido, especialmente si después de una certificación independiente.
ISO 27001, al igual que otras normas de gestión ISO, tiene que ver con la mejora continua y es fundamentalmente una norma basada en la gestión de riesgos. Por lo tanto, los auditores reciben bien ser pragmáticos sobre el riesgo empresarial (suponiendo que eso también sea aceptable para los clientes) y mostrar mejoras como parte del sistema de gestión. También muestra una La organización tiene el control y es consciente de sus riesgos.. Como tal, ARM enfatiza lo pragmático sobre lo perfecto y le permite desarrollar fácilmente lo que tiene hoy. Luego planifica mejoras a lo largo del tiempo, priorizadas desde una perspectiva de riesgo.
Si aún no haces lo suficiente hoy, entonces el preconfigurado Plataforma en línea ISMS, la documentación procesable incluida y los servicios opcionales de Virtual Coach lo ayudarán a obtener resultados mucho más rápido y a un costo total más bajo que cualquier otra alternativa. El Virtual Coach también incluye los pasos de ARM hacia el éxito, que se resumen a continuación.
Hacemos que alcanzar la ISO 27001 sea fácil
Obtenga una ventaja inicial del 77%
Nuestro SGSI viene preconfigurado con herramientas, marcos y documentación que puede adoptar, adaptar o agregar. Simple.
Tu camino hacia el éxito
Nuestro Método de Resultados Garantizados está diseñado para certificarlo en su primer intento. Tasa de éxito del 100%.
Mira y aprende
Olvídese de la formación costosa y que requiere mucho tiempo. Nuestra serie de videos de Virtual Coach está disponible las 24 horas del día, los 7 días de la semana para guiarlo.
Cómo seguir ARM para lograr un éxito rápido y eficaz en ISO 27001
Paso 1: Describir el entorno actual de seguridad de la información organizacional
R: Sentar las bases para el éxito de la gestión de la seguridad de la información
Esto significa que comprende su organización y la relevancia de seguridad de la información lo. Incluye consideraciones para las partes que estarán interesadas en su gestión de seguridad de la información, los activos de información que necesita proteger, los riesgos que enfrenta y su nivel superior. Política de seguridad de la información.
Prácticamente esto incluye abordar Cláusula 4, Cláusula 5, y la Cláusula 6 de la norma ISO 27001 junto con el Anexo A 8, que se centra en la clasificación de la información y el inventario de activos de información. Si aún no puede hacerlo, la plataforma ISMS.online contiene una gran cantidad de contenido y herramientas que lo ayudarán a describir rápidamente estas áreas. También ofrece un banco de los más comunes. riesgos de seguridad de la información, vincula a los controles relevantes del Anexo A y, fundamentalmente, garantiza que adopte un enfoque para su implementación que sea adecuado para su cultura empresarial, su apetito por el riesgo y las formas de trabajo deseadas.
B: Describir las políticas y controles de seguridad de la información actuales.
Ya contará con algunas políticas y controles, incluso si son implícitos y no están bien documentados. Lo más probable es que se basen en la consideración de los riesgos o en las “mejores prácticas” percibidas y en el conocimiento de los empleados profesionales, o simplemente en enfoques de sentido común para proteger su valiosa información de partes malintencionadas. Puede que no se haya hecho a través de un proceso formal. evaluación de riesgos o enfoque documentado. Entonces, para este paso, simplemente necesita describir lo que hace hoy, en el contexto de la norma. políticas y controles en el Anexo A, y luego vincúlelo a los activos de información y al trabajo de riesgo principal que realizará para sentar las bases.
Si no puedes describir fácilmente cómo Trabajamos hoy en las áreas relevantes de seguridad de la información. Según su análisis de riesgos, tampoco podrá demostrarlo en la auditoría de Etapa 2, por lo que un auditor externo no tendrá más remedio que emitir avisos de no conformidades y posibles fallas. Es uno de los problemas comunes que enfrentan las organizaciones que simplemente compran kits de herramientas de documentos de políticas de seguridad de la información, luego los guardan en una unidad compartida y piensan que es lo suficientemente bueno para tener éxito; No lo es. La documentación procesable, el contenido y las herramientas prediseñadas dentro de la plataforma ISMS.online para los controles del Anexo A le ayudarán a guiar su pensamiento. También le brindan la oportunidad de adoptarlo, adaptarlo o agregarlo, ahorrando una gran cantidad de tiempo y, lo que es más importante, asegurándose de que sea adecuado para que su empresa también pueda demostrarlo en la práctica.
C: Adoptar o adaptar los requisitos básicos restantes de la norma ISO 27001
Ahora puede regresar y describir cómo abordará los requisitos básicos restantes del estándar, que se centran más en la administración operativa y la mejora continua del sistema de gestión de seguridad de la información. Incluye cómo abordar algunos aspectos administrativamente dolorosos pero importantes del SGSI, además de aclarar el liderazgo y las funciones que respaldan el sistema de gestión de seguridad de la información. La administración potencialmente dolorosa incluye documentar la Declaración de Aplicabilidad de la cláusula 27001 de ISO 6.1.3, así como los procesos para Cumplir con los objetivos de seguridad de la información en la cláusula 6. de los requisitos básicos. Esta parte también aborda cómo se gestiona la operación, auditorías internas, se llevan a cabo revisiones por la dirección, acciones correctivas, no conformidades y mejoras.
Al igual que las otras partes de ISO 27001, ISMS.online ya ha abordado muchos de los requisitos aquí, lo que significa un enfoque relativamente sencillo, con informes automatizados y espacios de trabajo prácticos preconfigurados para demostrar fácilmente esa operación efectiva. Es de gran ayuda para ayudarle a lograr este conjunto final de requisitos en el menor tiempo posible.
Paso 2: Ponga en marcha el SGSI
Cuanto antes pueda poner su sistema de gestión de seguridad de la información en modo operativo, más rápido podrá volverse "normal" y demostrar que se está tomando en serio la seguridad de la información. Es probable que tu SGSI iniciará operación de manera orgánica con procesos, controles y políticas que se introducen a lo largo del período de implementación; sin embargo, es beneficioso indicar una fecha en la que el SGSI se considera "activo y operativo".
Los beneficios son:
- Un punto de “inicio” claramente definido antes del cual los auditores no deben considerar dentro del alcance de la auditoría del SGSI y no debe documentar Hallazgos de incumplimiento anteriores a esta fecha.
- Se centra en las partes responsables dentro de la organización desde el momento en que se espera que comiencen a proporcionar evidencia de los controles dentro de su área de responsabilidad.
- Cualquier cosa anterior a esta fecha puede ser referenciada durante una auditoría por usted como "adopción temprana"
No es necesario ser “perfecto” en la fecha de “puesta en funcionamiento”, pero vale la pena seleccionar una fecha en la que la mayoría de los procesos, políticas y controles estén listos para operar. Claramente, aún se pueden realizar mejoras entre esta fecha y la auditoría de la Etapa 1 o la Etapa 2.
Idealmente, la fecha debería ser al menos 1 mes antes de la auditoría de la Etapa 1 (que generalmente es 1 mes antes de la auditoría de la Etapa 2). Esto es para asegurar que por el momento de la auditoría de la Etapa 2, se han acumulado al menos 2 meses de pruebas.
Acordar y documentar la fecha formal de “lanzamiento” del SGSI. Si está utilizando ISMS.online, le sugerimos capturarlo y registrarlo en el área de su Junta de ISMS y también anunciarlo a su personal dentro del alcance, por ejemplo, a través de las comunicaciones del grupo ISMS.online y consultarlo para que el auditor lo vea si lo solicita.
Paso 3: Planificar mejoras en la seguridad de la información
Durante el trabajo para describir su implementación actual de seguridad de la información, es muy probable que haya identificado las mejoras que necesita o desea realizar. Estas podrían ser para reducir aún más sus riesgos a un nivel aceptable, mejorar la eficiencia operativa o incluso aprovechar nuevas oportunidades. En lugar de reducir el ritmo para mejorar en ese momento, habría tomado notas sobre estas áreas de mejora y ahora es el momento de planificar esas mejoras en la seguridad de la información. Esto demostrará que tiene el control del SGSI y demostrará a su alta dirección y a un auditor externo que está mejorando continuamente.
En ISMS.online se recomienda que estas mejoras se registren en el “Seguro de mejoras y acciones correctivas” (o si son muy simples, se agregan como tareas dentro del plan de tratamiento de riesgos correspondiente). Para demostrar que el control y la planificación son efectivos, ahora debe revisar todas los elementos y asignar propietarios, priorizarlos para la acción y establecer fechas objetivo para su finalización.
Durante el ejercicio de priorización, se debe considerar lo siguiente:
- ¿Qué tan fácil será la implementación de la mejora?
- ¿Cuánta reducción de riesgos u otros beneficios se lograrán?
- Si la implementación de la mejora se puede completar después de la certificación (donde el propietario del riesgo está feliz de aceptar el nivel de riesgo superior al objetivo hasta que se complete la implementación)
- Si la implementación debe completarse antes de la Auditoría ISO 27001 Etapa 1 (mejoras en la descripción de los controles)
- Si la implementación debe completarse antes de la Auditoría ISO 27001 Etapa 2 (mejoras en la implementación y operación de los controles)
Cuando las mejoras identificadas sean necesarias antes de la Auditoría de Etapa 1 o Etapa 2, debe estar seguro de que esto se puede lograr antes de programar la Auditoría correspondiente. (Las auditorías de Etapa 1 y Etapa 2 normalmente tienen una diferencia de aproximadamente 1 mes).
Una vez completado el Paso 3, estará en muy buena posición para tener éxito en la auditoría de la Etapa 1.
Paso 4: Auditorías ISO 27001 Etapa 1 y Etapa 2
¿Qué es la Auditoría de Etapa 1 para ISO 27001?
Una vez completados los Pasos 1 a 3, estará en un excelente lugar para la Auditoría de la Etapa 1. El auditor del organismo de certificación querrá ver la documentación del Sistema de gestión de seguridad de la información y comprender que usted ha cumplido con los requisitos, ¡al menos en teoría! Esta etapa es más bien una revisión documental del SGSI con el auditor, que cubre las áreas obligatorias y garantiza que se esté aplicando el espíritu de la norma. Los organismos de certificación con visión de futuro están empezando a hacerlo de forma remota con plataformas, como ISMS.online, que reduce los costos y también puede acelerar el proceso. El resultado de este ejercicio es una recomendación para la preparación de la auditoría de la Etapa 2 (quizás con observaciones para reevaluar durante la auditoría de la Etapa 2) o la necesidad de abordar cualquier no conformidad identificada antes de que se puedan lograr mayores avances.
¿Qué es la Auditoría de Etapa 2 para ISO 27001?
Habiendo completado la Auditoría de Etapa 1, el auditor tiene un conocimiento básico de su organización, sus Postura de seguridad de la información y su enfoque para la gestión de la seguridad de la información.. Ahora querrán ver que usted realmente HACE lo que dice que está haciendo. Además, esperarán ver que usted esté evaluando qué tan efectivo es su SGSI y cómo gestiona la mejora continua. El objetivo de la Auditoría de Etapa 2 es demostrar que su SGSI está funcionando como se describe, de acuerdo con los requisitos del estándar y brinda el nivel de seguridad de la información que se considera adecuado y proporcional a los riesgos que enfrenta su organización. La etapa 1 es bastante sencilla, pero la etapa 2 consiste en brindarle al auditor la confianza de que está demostrando que el SGSI está vivo en todo el alcance establecido.
Como verificación final antes de la Auditoría de la Etapa 2, hágase estas sencillas preguntas:
- ¿Hemos cerrado algún hallazgo crítico de la Auditoría de la Etapa 1?
- ¿Podemos evidenciar el funcionamiento de todos los procesos SGSI requeridos?
- ¿Se están midiendo y cumpliendo los objetivos?
- ¿Se mantiene el registro de riesgos?
- Is concienciación y formación en seguridad desplegado a aquellos dentro del alcance?
- ¿Esta brechas de competencia estando cerrado?
- ¿Se están realizando auditorías internas?
- Son formales Revisiones de gestión de SGSI ¿Se está llevando a cabo?
- ¿Se registran y rastrean las acciones correctivas y las mejoras?
- ¿Podemos evidenciar el funcionamiento de todos los controles y procesos de seguridad de la información relevantes?
- ¿Podemos demostrar que cuando se identifican incidentes, estos se registran, rastrean, gestionan e implementan a lo largo del tiempo?
- ¿Podemos demostrar que estamos contentos con nuestro perfil de riesgo actual? Eso es:
- Un riesgo es tolerable y no es necesaria ninguna otra acción en este momento.
- ¿Es actualmente tolerable un riesgo al considerar las mejoras identificadas que se han registrado y se están implementando durante un período de tiempo definido?
Si puede responder “sí” a estas preguntas, entonces probablemente esté listo para la Auditoría de la Etapa 2.
El auditor investigará más a fondo, luego probará su enfoque y casi con seguridad seleccionará personal para demostrar que está capacitado, es consciente y cumple. Es muy importante que su personal y otras personas en el alcance (por ejemplo, proveedores) puedan demostrar que entienden dónde encontrar y que siguen sus políticas y procedimientos establecidos si el auditor se lo solicita. Ofertas ISMS.online Paquetes de políticas para demostración de cumplimiento y grupos de comunicación del SGSI para involucrar al personal y a los proveedores clave. en el tema de seguridad de la información. El muestreo de evidencia puede incluir:
- Inspecciones físicas (por ejemplo, recorrido por el sitio/oficina)
- Entrevistas con personal con responsabilidad en el SGSI o Seguridad de la Información
- Entrevistas con personal general (por ejemplo, para comprobar el conocimiento)
- Inspección de registros y registros (de todo tipo)
- Revisión de la implementación de controles técnicos (por ejemplo, archivos de configuración)
Si su alcance abarca varias ubicaciones, el organismo de certificación querrá auditar varias de ellas, especialmente sitios con alguna funcionalidad clave. Le proporcionarán detalles exactos cuando les solicite su cotización.
Hay dos resultados de la Auditoría de la Etapa 2:
- No recomendado para la certificación. – Esto es muy inusual ya que cualquier problema importante debería haberse identificado durante la Auditoría de la Etapa 1. Sucede si Acciones para abordar las no conformidades de la Auditoría de la Etapa 1. no han sido tomadas. Muy ocasionalmente se encontrará una no conformidad importante no descubierta previamente. Si esto sucede, es casi seguro que el organismo de certificación detendrá la auditoría de inmediato y detallará los pasos necesarios para cerrar el problema. En el peor de los casos, puede ser necesario volver a ejecutar la auditoría de la etapa 2.
- Recomendado para certificación – Esto significa que, sujeto a la revisión por pares de la auditoría dentro del organismo de certificación y a una posible revisión por parte del organismo de acreditación (por ejemplo, UKAS), usted recibirá su certificación.
También puede recibir áreas de mejora o no conformidades menores que deben abordarse de acuerdo con las recomendaciones del auditor.
¿Qué sucede después de la auditoría ISO 27001 Etapa 2?
Si te han recomendado para la certificación… ¡FELICIDADES! Disfrute el momento, ya que es un trabajo muy duro crear una gestión de seguridad de la información certificada de forma independiente en la que la gente pueda confiar. Si fuera simple todos lo harían pero no lo hacen. Si bien ISMS.online hace que todo el viaje sea mucho más fácil y rápido, sigue siendo un logro maravilloso que vale la pena celebrar.
Luego, el organismo de certificación revisará internamente el informe de auditoría y lo pasará al organismo de acreditación (por ejemplo, UKAS), quien analiza una muestra de cada organismo de certificación para garantizar que se mantengan los estándares. Una vez que el organismo de acreditación dé su sello de aprobación, se emitirá un certificado. El proceso de revisión y emisión de certificación normalmente demora entre 3 y 4 semanas. El certificado tiene una duración de 3 años y, durante el proceso, se realizarán auditorías de seguimiento a intervalos regulares, normalmente una vez al año.
Por ahora, puede seguir adelante “celebrando y aprovechando el éxito”, ya que un SGSI es para toda la vida, no solo para la primera certificación. Lo que se puede dar se puede quitar fácilmente si no mantiene y mejora su enfoque con el tiempo, así que recuerde seguir haciendo un poco, con frecuencia, y descubrirá que se integra rápidamente en una experiencia positiva y muy manejable para usted y la organización. .
