ISO 27001

La ISO 27001 es una norma internacional desarrollada por la International Standards Organization (ISO). Esta norma se encarga de la gestión de la seguridad de la información dentro de una organización. La versión más actualizada de esta norma es la ISO 27001 2013, publicada en ese mismo año. La primera versión de la norma fue publicada en el año 2005. Y fue elaborada en base a la norma británica BS 7799-2.

Este estándar puede implementarse en cualquier organización, independientemente del sector en el que opera, el tamaño de la misma o la actividad que desarrolla. Ha sido elaborada por un conjunto de especialistas en seguridad de la información. Ofrece una metodología para implanta la gestión de la seguridad de la información de la organización. Además posibilita la certificación por parte de cualquier organización. Esto supone que un organismo certificador deberá confirmar que la seguridad de dicha empresa ha sido implantada de acuerdo a los requisitos de la norma ISO 27001.

 

Actualmente, la norma ISO 27001 es un referente en seguridad de la información a nivel mundial. Debido a ello, numerosas empresas y organizaciones han trabajado para obtener su certificación.

Tras un largo proceso donde se ha trabajado para llevar a cabo la implantación, se ha invertido tanto en capacitación como en consultoría e implantación de cada uno de los controles necesarios, llega finalmente la auditoría de certificación. El auditor encargado de llevar a cabo esta tarea comprobará que se cumplen cada uno de los requisitos que recoge la norma ISO 27001.

En un primer momento esto puede producir cierto temor, pues no se tiene un pleno conocimiento de si el Sistema de Gestión de Seguridad de la Información está capacitado para  cubrir todas aquellas exigencias que planteará el auditor de certificación de la ISO 27001.

 

Revisión de la documentación

El auditor llevará a cabo la Fase 1 de la auditoría, la cual se conoce como “Revisión de la documentación”. En esta auditoría, el auditor requerirá en relación al SGSI aquella documentación acerca del:

• Alcance
• Política
• Objetivos
• Descripción de la metodología de evaluación de riesgos
• Informe sobre la evaluación de los riesgos
• Declaración de aplicabilidad
• Plan de tratamiento del riesgo
• Procedimientos para el control de documentos
• Medidas correctivas y preventiva
• Auditoría interna

Además, se deben documentar algunos de los controles del Anexo A, los cuales sólo son aplicables en la declaración de aplicabilidad:

• Inventario de activos
• Uso aceptable de activos
• Tareas y responsabilidades de los empleados, contratistas y terceros
• Términos generales de empleo
• Procedimientos para el funcionamiento de las instalaciones de procesamiento de información
• Política de control de acceso
• Identificación de la legislación
• Registro de la auditoría interna y revisión por la alta dirección

En el supuesto de que falte alguno de los elementos mencionados, la organización no se encontrará lista para pasar a la siguiente fase. Se pueden utilizar otros documentos si se desea pero siempre asegurando el cumplimiento de los que acabamos de enumerar.

 

Auditoría principal

La conocida Fase 2 “Autoría principal”, se lleva a cabo tras unas semanas de haber acabado la Fase 1. El enfoque principal de esta auditoría es el de analizar la organización en sí. De esta forma se comprobará que lleva a cabo los documentos siguiendo las directrices de la norma ISO 27001.

Dicho de otra manera, el auditor debe comprobar si el Sistema de Gestión de Seguridad de la Información se ha materializado correctamente en la organización. Esto debe llevarse a cabo a través de la observación y de entrevistas con los empleados, controlado por los registros. Entre dichos registros de carácter obligatorio deben de incluirse aquellos que corresponden a:

• Formación
• Capacitación
• Habilidades
• Experiencia
• Calificaciones

Si el auditor encuentra algún incumplimiento grave es muy probable que no emita la certificación de la norma ISO 27001.

Si se da esta situación, el proceso que se lleva a cabo es el siguiente:

• El auditor informa de los resultados en el informe de auditoría.
• Se habilita un plazo para solucionar el incumplimiento.
• La organización debe llevar a cabo las medidas correctivas correspondientes para solucionar el origen del incumplimiento.
• Cuando se garantice la aplicación de las medidas correctas se debe notificar el auditor con la evidencia de lo que se ha llevado a cabo.

En la mayor parte de los casos, si se ha llevado a cabo un trabajo de manera inteligente, el auditor debe aceptar la medida correctiva y activar el proceso de emisión del certificado.

 

Software ISO 27001

La herramienta ofrecida por el Software ISOTools Excellence para la norma ISO 27001 con el objetivo de implementar en la organización el Sistema de Gestión de Seguridad de la Información, está capacitada para responder a numerosos controles para el tratamiento de la información gracias a las aplicaciones que contiene y que son totalmente configurables según los requerimientos de cada organización.