Publicado el

¿Cómo se aplica la norma ISO 27001?

¿Cómo se aplica la norma ISO 27001?

¿Cuáles son los primeros pasos que debes tomar para saber cómo implementar la ISO 27001 en una empresa? Resolvemos tus dudas a continuación ofreciéndote un desglose paso a paso de cómo llevar a cabo el proyecto.

1.      Definir los objetivos y redactar una Política de Seguridad

Para comenzar lo que es cómo implementar la ISO 27001, es importante tener los objetivos definidos y saber qué expectativas debe cumplir en todo momento la empresa para obtener dicha certificación.

En esta debemos saber lo siguiente:

  • cuáles serán las metas de seguridad de la información,
  • el marco de gestión en el que se define el alcance (en qué parte de la empresa se implementará),
  • cuáles son los requisitos legales que se deben cumplir,
  • cuál será la metodología de evaluación de riesgos, en ellas se deben tratar las posibles amenazas, los puntos débiles de la empresa o el nivel aceptable de riesgo.

Tras definir la Política de Seguridad, esta deberá pasarse a la dirección para que pueda ser aprobada y estudie los recursos humanos y materiales necesarios para llevar a cabo su implementación.

2.      Definir los riesgos

Una vez tenemos ya pensada una Política de Seguridad, el siguiente paso que debemos dar será identificar los riesgos a los que se puede enfrentar la empresa, quién se encargará de gestionarlos, cuáles son las vulnerabilidades de la compañía.

3.      Evaluar y analizar los riesgos

Una vez se han identificado los riesgos a los que se expone la empresa, se debe analizar el impacto que podrían generar dichas amenazas sobre la compañía y con cuánta frecuencia podrían producirse.

A continuación, se debe realizar un tratamiento de riesgos, es decir, ver qué riesgos se pueden reducir y eliminar. De la misma forma, debemos buscar cuáles serán los métodos para gestionar dichos riesgos en caso de que ocurran. Durante esta fase del proceso, es ideal contar con  un servicio de auditoría que te ofrezca servicios de control y supervisión que cuenten con una mirada experta.

4.      Realizar la declaración de la aplicabilidad

Una vez ya se ha realizado el tratamiento de riesgos, se deben definir los objetivos de control, ver cuáles se pueden aplicar y cuáles no, cómo se hará y por qué se hará. Todo esto deberá quedar recogido en un documento llamado “Declaración de Aplicabilidad”.

5.      Poner en marcha la implementación del Sistema de Gestión de Seguridad de la Información

Una vez que se ha pasado la fase de planificación, es el momento de implementar el SGSI, y, por tanto, el plan de tratamiento del riesgo previsto. Se deberán introducir nuevas tecnologías y prácticas que  ayuden a alcanzar los objetivos marcados y realizar controles de seguridad.

6.      Capacitación y concienciación

Una empresa no es nada sin las personas que la conforman. La puesta en marcha no se podrá llevar a cabo correctamente si no se forma a los empleados para que puedan actuar siguiendo las nuevas medidas impuestas. En este paso, es primordial la formación del personal en cuanto a las nuevas tecnologías aplicadas y los nuevos protocolos que se hayan establecido.

7.      Monitoreo

Es importante que, antes de obtener la certificación, nos aseguremos de la efectividad de los procesos que se han implementado en la compañía. Por ello, se debe dedicar un periodo de tiempo a medir, controlar y revisar cómo funciona el sistema y si está permitiendo que se alcancen los objetivos establecidos.

En esta fase final de evaluación, lo ideal es contratar una organización externa que se encargue de realizar una consultoría empresarial de negocio para que aporte una evaluación profesional y objetiva que detecte tanto los errores como los puntos fuertes que se deberían seguir trabajando.

Rif. – ctmaconsultores.com