¿Quién participará en la implementación de ISO 27001?

¿Qué es ISO 27001?

ISO/IEC 27001:2013 (para darle a la versión internacional actual su referencia completa), comúnmente conocida como ISO 27001, es la especificación estándar reconocida internacionalmente para un Sistema de Gestión de Seguridad de la Información (SGSI).

ISO 27001 es parte de una familia de estándares en el rango ISO 27k, que cubre una amplia gama de temas de información y ciberseguridad y orientación sobre cumplimiento.

La familia ISO 27k es en sí misma parte de una familia más amplia de estándares de sistemas de gestión basados ​​en las Directivas ISO/IEC Parte 1 (11.a edición 2020) Anexo SL, que define un marco común para el Sistema de Gestión.

Está diseñado para habilitar un sistema de gestión empresarial centrado en el riesgo que respalde la protección de activos de información en cualquier forma, por ejemplo, dentro de sistemas de TI, en soportes impresos o digitales, e incluso dentro de la cabeza de las personas. No está destinado a ser utilizado como estándar de seguridad técnica.
La norma contiene:

• Los “requisitos” obligatorios (a menudo conocidos como “cláusulas del sistema de gestión”) que siguen el marco de las Directivas ISO Parte 1 Anexo SL; y
• anexo A – un conjunto de ejemplo de controles seleccionables en función del riesgo que normalmente se utilizan para ayudar a reducir los riesgos a un nivel tolerable.

Obtenga más información sobre los requisitos básicos de la norma ISO 27001 y los controles del Anexo A que puede optar por implementar esta página.

¿Por qué es importante ISO 27001?

Todas las organizaciones crean, gestionan y distribuyen información, y toda información tiene un valor. La implementación de un sistema de gestión de seguridad de la información reconocido internacionalmente ayudará a proteger el valor y brindará importantes beneficios comerciales y retorno de la inversión.

Dichos beneficios podrían incluir:

• La capacidad de operar en mercados regulados que exijan demostrables seguridad de la información.
• La oportunidad de utilizar la certificación acreditada como un diferenciador fundamental para conseguir nuevos negocios.
• La reducción de los gastos generales operativos centrándose en los controles de seguridad donde realmente son necesarios Reducir los riesgos críticos y agilizar los procesos de gestión de la seguridad de la información..
• La reducción de costes asociados a la respuesta a incidentes de información y ciberseguridad.
• El cumplimiento más fácilmente demostrable de la legislación y la regulación y la reducción de posibles sanciones por infracciones de tal.

¿Qué roles se requieren para implementar el Sistema de Gestión de Seguridad de la Información ISO 27001?

Si bien ISO 27001 no especifica los roles requeridos; Será necesario asignar varias responsabilidades fundamentales. para garantizar que el SGSI se alinee con la cultura y la naturaleza de su organización y sus operaciones comerciales y gestione con éxito los riesgos de la información a un nivel tolerable.

El término “partes interesadas” significa cosas diferentes para diferentes personas y, a menudo, escuchará sobre partes interesadas primarias, secundarias e incluso terciarias, partes interesadas directas e indirectas. Los estándares de sistemas de gestión ISO no hablan de stakeholders, sino de “partes interesadas”, pero esto no significa que no habrá stakeholders internos para el SGSI.

Partes interesadas primarias

Dado que ISO 27001 es, ante todo, un estándar de sistema de gestión empresarial, sus principales partes interesadas deben estar en el nivel directivo más alto: ¡después de todo, se trata de proteger su negocio!

Ustedes, principales interesados, probablemente incluyan:

• Representación y patrocinador a nivel de “C” o Junta Ejecutiva.
• Parte interesada sénior del riesgo: posiblemente un Oficial sénior de riesgos de la información (SIRO) o una función similar responsable de supervisar todos los riesgos comerciales, de los cuales el riesgo de la información forma parte.
• Un individuo o equipo responsable del SGSI – posiblemente un Jefe Oficial de seguridad de la información (CISO), Gerente de seguridad de la información (ISM) o similar, que se ajuste a la cultura y terminología de su organización y a su estructura existente.
• Un “implementador principal” o un recurso designado similar Responsable de gestionar la implementación del SGSI..

Partes interesadas secundarias

Las partes interesadas secundarias serán aquellas que serán responsables de alguna parte del SGSI. Esto incluirá representantes de la materia de toda la organización y posiblemente de sus socios e incluso proveedores.

La lista de partes interesadas secundarias estará determinada por el tamaño y la naturaleza de su organización, pero podría incluir:

• Especialistas en información y ciberseguridad relevantes para las operaciones de su organización.
• Seguridad informática y recurso técnico.
• Representación de RRHH.
• Seguridad física representación – posiblemente “Instalaciones” o similar
• Representación legal y de cumplimiento
• Internal audit
• Representantes de los departamentos comerciales responsables de sus procesos comerciales críticos: el SGSI debe trabajar con ellos, no convertirse en un bloqueador. Por lo tanto, para lograrlo será fundamental involucrar a los gerentes comerciales de toda la organización.
• Representantes de proveedores o socios que tengan acceso a la información de la organización.

Rol de implementador principal definido

El rol de “Implementador principal” es el individuo responsable de supervisar la implementación del SGSI y, como tal, debe ser alguien con el conocimiento y la competencia necesarios para la tarea.

Deberán comprender la norma ISO 27001 y las normas de orientación asociadas de la misma familia. También necesitarán conocer los procesos clave para implementar, operar, monitorear y mejorando el SGSI para garantizar que el SGSI sea eficiente y eficaz.

Tradicionalmente, esto se “compra” mediante la contratación de un consultor especializado o se “integra” enviando a uno o más miembros del personal existente a un curso de capacitación para implementadores líderes de ISO 27001. Ambas suelen ser opciones caras.

La plataforma ISMS.online proporciona varias herramientas que ayudan a llenar el vacío de conocimiento y competencia que ayudan a reducir o eliminar la necesidad de dicho gasto. Éstas incluyen:

• Nuestra contenido procesable – políticas y controles documentados que puede adoptar, adaptar o agregar fácilmente, y eso significa que puede tener hasta el 77 % de la documentación que necesita desde el día 1.
• Nuestra “Método de Resultados Asegurados” (ARM) – que es una hoja de ruta elaborada por expertos en la materia que lo guía a través de la implementación de su SGSI de manera lógica y eficiente.
• Herramientas prediseñadas, como nuestra registro de riesgo que incluye:
  • Un banco de muestra de más de 100 comunes riesgos de seguridad de la información,
  • Nuestro mapa de interesados,
  • Nuestras pistas para la gestión de incidentes, acciones correctivas y mejoras,
  • Y nuestro registro legal y regulatorio, que contiene legislación y regulaciones típicamente relevantes.
• Nuestra “Entrenador virtual” – un extra opcional que brinda asesoramiento y orientación de expertos a través de explicaciones textuales, audio y video contextual vinculado al contenido.

Descubra cómo nuestra plataforma simplificada, segura y sostenible ISMS.onlines puede adaptarse a sus necesidades esta página.

Top Management

“Todo comienza desde arriba”: ISO 27001 es, ante todo, un sistema de gestión empresarial diseñado para gestionar la protección de los activos de información de una organización y reducir los riesgos de la información a un nivel tolerable.

Sin el apoyo de la alta dirección, es poco probable que la implementación y operación del SGSI sea exitosa, eficiente o efectiva.

ISO 27001 define algunos cláusulas fundamentales que son responsabilidad de la alta direcciónque incluyen:

• 5.1 Liderazgo y compromiso – Compromiso de la alta dirección con la integración de la seguridad de la información dentro de la organización y sus procesos
• Soporte 7 – provisión de recursos suficientes y competentes para el SGSI
• 9.3 Revisión de la gestión – un compromiso de la alta dirección de revisar, al menos una vez al año, la eficacia del SGSI

Personal de seguridad de la información/gobierno

Fundamental para la implementación y operación exitosa del SGSI será el personal de gobernanza y seguridad de la información encargado de la gestión general del SGSI y sus componentes.

Suelen ser personal cuya función principal se centra en la seguridad y la gobernanza de la información. Sin embargo, si su organización es pequeña, es probable que se trate de una persona que también tenga otro trabajo diario.

La plataforma ISMS.online puede ayudar a proporcionar conocimiento, competencia y confianza cuando no hay recursos de nivel experto disponibles y garantizar que el SGSI no se convierta en una carga general onerosa.

Departamento de TI o proveedor(es)

Dado que gran parte de la información se almacena, procesa y transmite en o a través de sistemas, redes y aplicaciones de TI, será necesario garantizar que se incorpore al SGSI una interacción adecuada con los departamentos y/o proveedores de TI en una etapa temprana.

Muchos de los controles que se implementarán para proteger sus activos de información serán controles técnicos diseñados, desarrollados, implementados y operados por su departamento de TI o sus proveedores.

Gestionar las expectativas y la división de responsabilidades para los aspectos técnicos de la información y la ciberseguridad será fundamental para el éxito del SGSI.

Auditores internos)

ISO 27001, como todos los estándares de sistemas de gestión ISO, requiere que una organización tenga un programa de auditorías internas para verificar el funcionamiento eficaz del SGSI y su capacidad para reducir los riesgos de la información a un nivel tolerable.

Como mínimo, las cláusulas de gestión del SGSI (4-10) deben auditarse anualmente y los controles del Anexo A deben auditarse dentro del período de certificación (3 años para las certificaciones acreditadas por UKAS).

La selección de auditores internos debe garantizar la objetividad (es decir, no se puede auditar su propio trabajo) y la competencia (el auditor debe tener el conocimiento y la competencia para realizar la auditoría).

Nuestro servicio Virtual Coach viene prediseñado con todo lo que necesita saber sobre auditorías internas o lea nuestra guía simplificada de auditorías internas ISO 27001:2013 con orientación e ideas sobre cómo puede lograr su objetivo.

Delegado de Protección de Datos

La Delegado de Protección de Datos Normalmente es responsable de garantizar la gestión, el uso y la protección adecuados de la información de identificación personal (PII) dentro de la organización. Esta información se referirá al personal de una organización y, a menudo, al de sus clientes.

Esta responsabilidad incluye claramente garantizar que existan controles y procesos de información y ciberseguridad adecuados para proteger este tipo de información.

La función del Delegado de Protección de Datos no está especificada ni obligatoria en la ISO 27001; sin embargo, otras leyes y regulaciones relevantes, como la Ley de Protección de Datos del Reino Unido (2018) y la Reglamento General de Protección de Datos (GDPR) requieren un papel de esta naturaleza. Además, el cumplimiento y otros controles dentro de la norma ISO 27001 implican fuertemente la necesidad de dicha función.

¿Quién auditará nuestro SGSI para la certificación ISO 27001?

Si buscas lograr reconocimiento y respeto certificación para su SGSI – necesario para obtener el máximo beneficio – deberá contratar a un organismo de certificación acreditado por ISO 27001 para que lleve a cabo las auditorías necesarias para la certificación.

¿Qué son los organismos de certificación ISO 27001?

Los organismos de certificación brindan a los auditores las habilidades, el conocimiento y la competencia para realizar las auditorías de certificación y garantizar que las certificaciones estén acreditadas a un nivel consistente.

Estas organizaciones suelen figurar en el sitio web del organismo de acreditación territorial. En el Reino Unido, el organismo de acreditación es el Servicio de Acreditación del Reino Unido (UKAS), y supervisa los organismos de certificación acreditados dentro del Reino Unido.

¿Cuánto tiempo llevará construir el SGSI?

Como ocurre con cualquier proyecto importante, el tiempo necesario dependerá de lo que sea necesario hacer y de la capacidad y competencia de los recursos disponibles para hacerlo.

Para ISO 27001, "lo que hay que hacer" está bien definido dentro de la norma, y ​​su organización determinará los recursos disponibles.

Normalmente, para una organización pequeña o mediana con algunas políticas y controles preexistentes, crear un SGSI puede llevar entre 6 meses y un año (dependiendo de los niveles de recursos). A veces, es incluso más largo si los recursos disponibles tienen que dividir su tiempo entre otros trabajos. Un proyecto de 150 días (equivalente a tiempo completo) es bastante común.

La Plataforma en línea ISMS puede ayudar a reducir significativamente sus niveles de recursos. Dependiendo de la cantidad de contenido procesable que pueda adoptar o adaptar fácilmente, la construcción de su SGSI se puede reducir hasta en un 75% u 80%. Algunos clientes pueden pasar de estar parados a estar listos para comenzar el proceso de auditoría de certificación en un plazo de 6 semanas.

¿Cuánto tiempo llevará obtener la certificación ISO 27001?

Una vez creado su SGSI, el proceso de auditoría de certificación se produce en dos etapas, siendo lo habitual un plazo de dos meses. Normalmente el proceso de dos etapas es:

• Auditoría de etapa 1: revisión de la documentación del SGSI
• Período de acción correctiva: generalmente de 4 a 6 semanas entre las dos etapas para permitir que una organización tome cualquier acción correctiva que surja de la Auditoría de la Etapa 1.
• Auditoría de etapa 2 – Auditoría de “certificación” probatoria
• Revisión del organismo de certificación y acreditación: normalmente de 2 a 4 semanas. El organismo de certificación revisará la auditoría internamente y la enviará a UKAS, quien opcionalmente podrá tomar una muestra de la auditoría para su revisión.

¿Cómo elijo un organismo de certificación?

Muchos factores influirán en la elección del organismo de certificación.

El más importante de ellos será garantizar que el organismo de certificación esté acreditado. Es posible obtener una certificación no acreditada. Sin embargo, esto tendrá una integridad y un valor limitados. Le recomendamos encarecidamente que no siga esta ruta.

Si ya posee otras certificaciones, como:

• ISO 9001 (gestión de la calidad)
• ISO 14001 (gestión ambiental)
• ISO 45001 (gestión de seguridad y salud en el trabajo)*

Probablemente se comunicará primero con su organismo de certificación existente para ver si también está acreditado para ISO 27001.

*nota: si ya tiene certificaciones de otros estándares de sistemas de gestión, puede beneficiarse al integrarlas en un único "Sistema de manejo integrado" – y la plataforma ISMS.online puede ayudar a lograrlo.

¿Qué recursos necesitaré para la implementación de ISO 27001?

Hemos identificado anteriormente varios roles que participarán en la implementación de su SGSI, pero esencialmente necesitará:

• Un recurso competente (como un implementador líder) – con el conocimiento del estándar – la plataforma ISMS.online puede proporcionar gran parte de la competencia requerida a través de su contenido y herramientas prediseñados.
• Capacidad de otros recursos, como representantes de la materia de TI, Legal, Instalaciones, Alta Dirección y departamentos comerciales.

Es una parte esencial de la planificación de la implementación de su SGSI que considere los requisitos de competencia, capacidad, confianza y disciplina de sus recursos si desea lograr una implementación exitosa, eficiente y efectiva en un plazo razonable.

Suponiendo que obtengamos la certificación, ¿qué recursos necesitaremos para el mantenimiento?

Un SGSI certificado es un viaje continuo, no un destino. Como tal, requerirá un cierto nivel de recursos para mantenerlo. Cuanto más integrado esté un SGSI en los procesos diarios de la organización y cuanto más federada esté la responsabilidad, menos gastos generales supondrá.

Más allá de los aspectos de control integrado del SGSI, deberá asegurarse de que se operen los procesos críticos del SGSI:

• Gestión del riesgo – revisión periódica de los riesgos para garantizar que los tratamientos sigan siendo adecuados y proporcionados.
• Internal audit – el funcionamiento continuo de un programa de auditoría interna que cubra toda la norma, como mínimo, dentro del período de certificación (3 años para una certificación acreditada por UKAS), y audite con mayor frecuencia aquellas áreas de operación o riesgo esencial.

• Revisión de gestión – una revisión del SGSI por parte de la dirección de alto nivel al menos una vez al año para garantizar la eficiencia y eficacia del SGSI a la hora de alcanzar los objetivos empresariales establecidos para la seguridad de la información.
• Acción correctiva y mejora continua – procesos para garantizar que el SGSI mejore continuamente con el tiempo y que las no conformidades se corrijan en un plazo razonable.

¿Qué tendremos que hacer cuando se actualice el estándar?

Esto dependerá de la naturaleza de la actualización. Todos los estándares del sistema de gestión ISO se consultan y actualizan periódicamente.

Si se considera que la norma es en gran medida apropiada, es posible que sólo se realicen actualizaciones menores en la redacción.

Sin embargo, a veces el estándar se modifica por algún motivo. Esto resulta en una actualización importante que puede requerir una auditoría de “transición” de una versión del estándar a la nueva.

La última vez que se produjo una reestructuración importante de la norma ISO 27001 fue en 2013 (el cambio de la versión 2005 a la versión 2013). Como se trataba de una reforma importante, se concedió a las organizaciones un período de transición de dos años.

Debido a que un cambio de este tipo puede generar grandes cantidades de trabajo y costos para muchas organizaciones, ISO intenta evitar cambios tan significativos siempre que sea posible.

Cualesquiera que sean las actualizaciones, su organismo de certificación debe informarle lo que debe hacer.

Tenga la seguridad de que actualizaremos la plataforma ISMS.online para reflejar la versión actual del estándar siempre que esto suceda.

¿Qué pasa si mi empresa cambia los productos/servicios que ofrecemos?

Dependiendo de cuán significativos sean los cambios, es posible que necesite una auditoría extraordinaria por parte del organismo de certificación para garantizar que su certificación cubra los nuevos productos y servicios. dentro del alcance del SGSI.

Sin embargo, es común que el organismo de certificación combine esta auditoría con una auditoría de vigilancia periódica o en su próxima auditoría de recertificación.

Es importante tener en cuenta que es posible que sus nuevos productos o servicios no estén cubiertos por su certificación existente hasta que se haya recibido la confirmación del organismo de certificación.

¿Qué pasa si abrimos una nueva oficina en un país extranjero?

Al igual que con los cambios a los productos/servicios anteriores, es probable que requiera algún nivel de auditoría adicional por parte de su organismo de certificación para verificar que sus operaciones en el nuevo país estén cubiertas dentro del alcance de la certificación.

Un factor crucial a considerar para extender su ISO 27001 para incluir operaciones en nuevos países es que casi con seguridad habrá Diferentes leyes y regulaciones de seguridad de la información a considerar..

¿Qué departamento debería ser "propietario" del SGSI?

No existe una respuesta correcta o incorrecta para esta pregunta y dependerá completamente de la estructura de su organización y su cultura. Sin embargo, hay algunos puntos clave a considerar:

• ISO 27001 es un estándar de sistema de gestión empresarial, por lo que puede ser mejor asignar la propiedad a un departamento transversal, como Riesgo o Cumplimiento.
• La propiedad podría recaer en TI. Sin embargo, esto a menudo puede llevar a que la seguridad de la información se convierta en un problema exclusivo de TI y puede pasar por alto los aspectos empresariales del estándar.
• El SGSI podría ubicarse dentro de un departamento específico de “Seguridad de la Información”, sin embargo, esto puede llevar a que la actividad quede “aislada”, interactuando mal con el negocio en general o siendo vista como una estructura “vigilante” que rápidamente pasa a ser vista como una bloqueador en lugar de un facilitador.

Una buena manera que puede funcionar para muchas organizaciones es que la propiedad esté en el nivel más alto de la organización. La operación del SGSI puede estar federada en toda la organización, pero coordinada por un recurso principal, como un CISO o un gerente de seguridad de la información.

¿Cómo puede ISMS.online ayudarme a implementar ISO 27001 más rápido?

Al desmitificar ISO 27001 y el enfoque para implementar un SGSI, la plataforma ISMS.online puede acelerar su implementación al enfocar sus esfuerzos en el lugar correcto en el momento correcto.

Además, al proporcionar una solución ISMS todo en un solo lugar, se puede ahorrar un tiempo considerable al no tener que buscar múltiples herramientas, configurar repositorios de documentación complejos e implementar nuevos procesos; todo esto está en el cuadro de día 1.

La plataforma ISMS.online puede ayudar a reducir significativamente el tiempo necesario para implementar un SGSI proporcionándole todo lo que necesita para lograr la certificación ISO 27001 por primera vez.

¿Cómo ISMS.online facilita la implementación de ISO 27001?

La plataforma ISMS.online desmitifica la norma ISO 27001 e implementa y opera un SGSI certificado y compatible con ISO 27001. Con esto y la información contextualizada en el lugar correcto, la plataforma ISMS.online lo ayudará a adoptar, adaptar o agregar fácilmente nuestro contenido de muestra y hacer que su camino hacia la certificación sea mucho más fácil.