Cómo prepararse para la certificación ISO 27001

Prepararse para la certificación ISO 27001 implica muchas partes móviles. ¿Están todos sus documentos y políticas en orden? ¿Tiene pruebas adecuadas de que su SGSI cumple con todos los requisitos de cumplimiento? ¿Abordó todos los aspectos necesarios de la gestión de riesgos?

Para ayudar, pedimos a antiguos auditores líderes de ISO sus conocimientos y mejores prácticas comprobadas para prepararse y someterse al proceso de certificación ISO 27001.

Puede leerlos a continuación o ver el webinar grabado con Cavan Leung, gerente de cumplimiento de Secureframe, y Tom Rozen y Elad Motola, CRO y COO en Consilium Labs.

Certificación para ISO 27001

ISO 27001 implica un proceso de certificación para volverse oficialmente compatible. El proceso de certificación incluye una auditoría que debe ser realizada por una empresa de auditoría acreditada, también conocida como organismo de certificación.

Las etapas de la certificación ISO 27001 son las siguientes:

• Año 1 - Auditoría de certificación inicial: Esta es la primera vez que una organización pasa por la certificación ISO 27001. Esta auditoría se divide en una “Etapa 1” y “Etapa 2” dentro del mismo año y abarca el 100% de los requisitos de ISO 27001. Una vez que la organización pasa con éxito la auditoría de la Etapa 2, obtiene su certificado ISO 27001. Este certificado es válido por tres años, sujeto a auditorías de vigilancia anuales.
• Años 2 y 3 - Auditoría de vigilancia: En esta etapa, ISO 27001 ya está establecido en la organización. Los auditores generalmente auditarán todos los requisitos del marco del SGSI y una muestra de controles del Anexo A para garantizar que el SGSI sigue siendo eficaz y se mantiene correctamente.
• Año 4 - Auditoría de recertificación: Es cuando el certificado ISO 27001 está a punto de expirar. Durante una auditoría de recertificación, los auditores evaluarán el SGSI y se asegurarán de que todos los requisitos de ISO 27001 estén en su lugar para recertificar a la organización por otros tres años.

Cómo prepararse para la certificación ISO 27001

A continuación, se muestran formas de abordar los desafíos comunes y puntos críticos que enfrentan las organizaciones al prepararse y completar el proceso de certificación ISO 27001.

1. Espere participar en el proceso de auditoría ISO 27001.

Las auditorías de certificación ISO 27001 son más interactivas de lo que muchas organizaciones esperan, especialmente si es la primera vez que se enfrentan a la auditoría.

Después de la revisión de documentación de la Etapa 1, el auditor de ISO 27001 necesitará validar sus hallazgos a través de una serie de entrevistas. Por ejemplo, el control A.5 del Anexo A involucra políticas de seguridad de la información. Durante la etapa 1, el auditor revisará documentos de políticas y evidencia de revisión/aceptación por parte de los empleados. Durante la etapa 2, el auditor entrevistará a la gerencia y otras partes interesadas clave para verificar que exista un proceso regular para difundir, revisar y actualizar las políticas dentro de la organización.

A continuación, se presentan algunas preguntas comunes que los clientes pueden esperar recibir de sus auditores durante estas entrevistas.

• Partes interesadas: Si envió una lista genérica, el auditor probablemente le pedirá que sea más específico al listar las partes interesadas que son relevantes para el cliente.
• Contexto de la organización: Si no se definen problemas internos y externos, es probable que el auditor le pida que los defina utilizando el proceso de evaluación de riesgos.
• Etiquetado: Si no etiqueta sus políticas y procedimientos de acuerdo con una matriz de clasificación predefinida, el auditor probablemente le pedirá que lo haga.

¿Cómo puede ayudar Secureframe?

Secureframe puede ayudar a minimizar y facilitar estas interacciones entre usted y su auditor. Proporciona todas las plantillas de políticas ISO 27001 necesarias que puede personalizar para su organización única. También le permite revisar, actualizar y difundir estas políticas para que los empleados las revisen y acepten todo en un único panel de control.

Su administrador de cumplimiento dedicado de Secureframe también puede ayudar con el proceso de validación, responder a cualquier pregunta que surja sobre el alcance u otras partes del proceso y facilitar cualquier solicitud de evidencia adicional que pueda tener su auditor.

2. Involucrar a la gerencia.

Se requiere que los auditores validen que el liderazgo ha asumido la responsabilidad última de construir y mantener un ISMS eficaz. Eso incluye asignar el tiempo y los recursos adecuados para monitorear y mejorar el ISMS con el tiempo. Este es un requisito obligatorio de ISO 27001.

¿Cómo puede ayudar Secureframe?

La plataforma Secureframe ofrece monitoreo continuo y alertas en tiempo real sobre no conformidades para que su organización pueda monitorear, medir y mejorar su ISMS con el tiempo y tomar las acciones correctivas según sea necesario. La plataforma también le permite asignar controles y pruebas a individuos y recibir notificaciones cuando estas están fallando o necesitan repetirse.

Esto le ayudará a cumplir con el requisito de la ISO 27001 para la revisión de gestión, así como con otros requisitos.

3. Comprenda su estrategia de gestión de riesgos.

Las organizaciones deben comprender cómo el Estado de Aplicabilidad, el registro de riesgos, la evaluación de vulnerabilidades/pruebas de penetración y otra documentación se relacionan entre sí y trabajan juntas para formar su estrategia de gestión de riesgos. Esta estrategia suele estar compuesta por los siguientes cuatro componentes para responder a cada una de las preguntas a continuación.

• Evaluación de riesgos: ¿A qué riesgos se enfrenta su negocio?
• Pruebas de penetración/evaluación de vulnerabilidades: ¿Existen otras vulnerabilidades que contribuyan a su perfil de riesgo general?
• Registro de riesgos/Tratamiento de riesgos: ¿Cómo planea priorizar y mitigar esos riesgos?
• Estado de Aplicabilidad: ¿Cómo se ve ese plan en la práctica? ¿Qué controles específicos implementará y quién será el responsable de ellos?

¿Cómo puede ayudar Secureframe?

La plataforma Secureframe puede ayudarle durante todo el proceso de gestión de riesgos. Un módulo de gestión de riesgos está integrado para permitirle identificar y evaluar riesgos en todo su entorno respondiendo a una serie de preguntas.

Una vez que responda a estas preguntas, la plataforma genera un registro de riesgos que le permite monitorear, gestionar y mitigar los riesgos en un solo lugar. También puede asignar tratamientos de riesgos y pasos de mitigación a los responsables de riesgos para brindar visibilidad y responsabilidad a toda la organización.

Además, la plataforma puede generar automáticamente un Estado de Aplicabilidad basado en los controles aplicables que seleccione, para que no tenga que redactar uno desde cero.

4. Comprenda los requisitos de las auditorías internas.

A diferencia de la revisión de certificación, que es completada por un auditor externo acreditado, la auditoría interna ISO puede ser realizada internamente o por una empresa consultora externa. Los resultados de estas auditorías internas ayudan a las organizaciones a mejorar el SGSI con el tiempo y asegurar que satisfaga los requisitos para la certificación ISO 27001.

La norma ISO/IEC 27001 establece los requisitos para una auditoría interna en la cláusula 9.2. Esta cláusula requiere que las auditorías internas:

• Se realicen en intervalos planificados
• Determinen si el SGSI cumple con los propios estándares de la organización así como con los requisitos de la ISO 27001
• Sean documentadas como parte de un programa de auditoría formal
• Sean completadas por un auditor interno independiente e imparcial (es decir, no por alguien que tenga un nivel de control operativo o propiedad sobre el SGSI, o que haya estado involucrado en su desarrollo)
• Incluir los resultados de auditoría que se reportan a la gestión y se retienen como parte de los registros de la organización.

¿Cómo puede ayudar Secureframe?

La plataforma Secureframe tiene un informe de ISO 27001 donde puedes ver todos los requisitos del marco, controles, pruebas asociadas, políticas y evidencia en un solo lugar. Esta vista centralizada ayuda a tu organización a tener un proceso de auditoría interna fluido, ya sea que lo estés haciendo internamente o lo subcontrates a un tercero.

No necesitarás proporcionar capturas de pantalla, configurar configuraciones ni extraer datos y evidencias manualmente. Solo necesitarás integrar tu proveedor de servicios en la nube y Secureframe extraerá automáticamente esos datos de configuración y los comparará con los requisitos del marco. Luego verás pruebas aprobadas o fallidas en la plataforma Secureframe con tareas de remediación accionables. Esto te mostrará cuán cerca estás de lograr el cumplimiento de ISO 27001 y cómo cerrar cualquier brecha.

5. Definir correctamente el alcance de la certificación.

Antes de someterse a la auditoría ISO 27001, se debe definir el alcance y el cliente debe tener una comprensión clara sobre el alcance de la certificación que tienen. Esto puede ser un desafío para las organizaciones, particularmente para aquellas que intentan certificarse por primera vez.

Las organizaciones deben tener en cuenta todos los requisitos definidos en las cláusulas 4-10, incluyendo tanto problemas internos como externos, así como activos físicos como centros de datos. Esto debe reflejarse en su declaración de alcance del SGSI.

Por ejemplo, si tu auditoría incluye un centro de datos, es importante que el plan de auditoría contenga los controles y preguntas relevantes que se verificarán durante la auditoría propiamente dicha. Esto ayuda a asegurarse de que la evidencia correcta esté preparada con anticipación.

¿Cómo puede ayudar Secureframe?

La plataforma Secureframe tiene la capacidad de rastrear automáticamente tus activos de punto final, recursos en la nube y repositorios de código relevantes. También permite filtrar un gran número de requisitos de cumplimiento, como activos de punto final y personal en el alcance y recursos en la nube relevantes.

La plataforma también tiene plantillas de SGSI que cubren todos los requisitos relevantes de las cláusulas ISO 4-10, incluidas cuestiones internas y externas, partes interesadas y alcance. Tu gerente de cumplimiento dedicado puede ayudarte a personalizar esas plantillas y responder cualquier pregunta sobre cómo definir el alcance de tu certificación.

Preguntas frecuentes sobre el proceso de auditoría y certificación ISO 27001

A continuación, se presentan respuestas de auditores líderes de ISO 27001 a preguntas frecuentes sobre el proceso de auditoría y certificación ISO 27001.

1. ¿Qué se debe cubrir en la capacitación de concienciación sobre seguridad para cumplir con los requisitos de ISO 27001?

Cavan Leung: No hay temas prescriptivos que ISO haya delineado. Requiere que todo el personal relevante para tu SGSI participe en una capacitación de concienciación sobre seguridad de manera periódica. El personal también debe estar al tanto de las políticas y procedimientos de ISO 27001 que están implementados en la organización.

2. ¿Qué tan detallada debe ser la auditoría interna? ¿Necesita evaluar cada control?

Elad Motola: Sí, la auditoría interna necesita cubrir todos los controles obligatorios y del Anexo A. Esto es por dos razones. Una es para asegurarse de que estás listo para la auditoría externa. La segunda es porque el estándar ISO 27001 lo requiere.

3. ¿Los clientes de Secureframe suelen realizar auditorías internas internamente o las subcontratan a un tercero?

Cavan Leung: Depende de si la organización puede cumplir con los requisitos para auditorías internas en términos de imparcialidad y competencia.

Así que si decides hacer una auditoría interna en casa, entonces debes asegurarte de que la persona que la realice tenga un cierto nivel de competencia. Debe saber cómo auditar y conocer la seguridad de la información, y preferiblemente tener una certificación de auditor ISO 27001. Esta persona también debe ser imparcial. No puede estar involucrada en la implementación, el mantenimiento o cualquier aspecto del funcionamiento de tu SGSI. Si una organización no tiene una persona que cumpla con esos criterios internamente, entonces típicamente subcontratarán servicios de auditoría interna.

El tamaño de la organización también afecta esta decisión. Las organizaciones más pequeñas típicamente subcontratan esto porque su equipo carece de la competencia o imparcialidad para completar una auditoría interna. Las organizaciones pequeñas a medianas y las empresas suelen hacerlo y, por lo tanto, aprovechan a alguien de su equipo para completar la auditoría interna.

4. ¿Cómo audita un auditor de ISO tus controles físicos cuando estás completamente en la nube?

Elad Motola: Depende si el cliente tiene una oficina y si todos los empleados están trabajando remotamente. Si todos están trabajando remotamente, entonces la mayoría de los requisitos tendrán que marcarse como no aplicables con una justificación para esa respuesta.

Si el cliente tiene una oficina, pero todos los empleados están trabajando remotamente, el auditor no está obligado a realizar la auditoría en el lugar. Sin embargo, deben revisar algunos de los requisitos físicos. Pueden hacerlo usando un teléfono o una computadora con cámara para revisar algunos de los aspectos físicos.

5. ¿Es posible que al usar la plataforma Secureframe, una empresa pueda implementar ISO 27001 sin la ayuda de un consultor?

Cavan Leung: La respuesta corta es sí. Al aprovechar la plataforma Secureframe, obtendrás un proceso paso a paso para la certificación, así como todo lo que necesitas para implementar todos los controles necesarios para lograr y mantener el cumplimiento sin necesidad de pagar a un consultor.

Cómo Secureframe puede ayudarte a prepararte para la certificación ISO 27001

Secureframe simplifica la certificación ISO 27001 al optimizar aspectos del proceso de preparación, incluyendo la gestión de tareas, recolección de evidencia, capacitación en concienciación sobre seguridad y evaluación y gestión de riesgos.

Secureframe también optimiza aspectos del proceso de auditoría al proporcionar a socios auditores como Consilium Labs con una vista de reporte, exportación de evidencia y un panel simple.

Esto puede ayudarte a obtener y mantener la conformidad con ISO 27001 con rapidez y facilidad. Programa una demo para verlo por ti mismo.