5 Consejos para Prepararse para la Certificación ISO 27001 de Auditores Reales
Prepararse para la certificación ISO 27001 implica muchas partes móviles. ¿Están todas sus políticas y documentos en orden? ¿Tiene la evidencia adecuada de que su SGSI cumple con todos los requisitos de cumplimiento? ¿Abordó todos los aspectos necesarios de la gestión de riesgos?
Para ayudar, pedimos a ex-auditores principales de ISO sus ideas y mejores prácticas probadas para prepararse y someterse al proceso de certificación ISO 27001.
Puede leerlos a continuación o ver la grabación del seminario web con Cavan Leung, gerente de cumplimiento de Secureframe, y Tom Rozen y Elad Motola, el CRO y COO de Consilium Labs.
Certificación para ISO 27001
ISO 27001 implica un proceso de certificación para convertirse oficialmente en cumplimiento. El proceso de certificación incluye una auditoría que debe ser realizada por una firma de auditoría acreditada, también conocida como organismo de certificación.
Las etapas de la certificación ISO 27001 son las siguientes:
- Año 1 - Auditoría de certificación inicial: Esta es la primera vez que una organización pasará por la certificación ISO 27001. Esta auditoría se divide en una "Etapa 1" y una "Etapa 2" dentro del mismo año y abarca el 100% de los requisitos de ISO 27001. Una vez que la organización pasa con éxito la auditoría de la Etapa 2, obtiene su certificado ISO 27001. Este certificado es válido por tres años, pendientes de auditorías de vigilancia anuales.
- Años 2 y 3 - Auditoría de vigilancia: En esta etapa, ISO 27001 ya está establecida en la organización. Los auditores típicamente auditarán todos los requisitos del marco SGSI y una muestra de los controles del Anexo A para asegurar que el SGSI sigue siendo efectivo y se mantiene adecuadamente.
- Año 4 - Auditoría de recertificación: Esto es cuando el certificado ISO 27001 está a punto de expirar. Durante una auditoría de recertificación, los auditores evaluarán el SGSI y se asegurarán de que todos los requisitos de ISO 27001 estén en su lugar para volver a certificar la organización por otros tres años.
Lectura recomendada
¿Qué es la Certificación ISO 27001?
Cómo prepararse para la certificación ISO 27001
A continuación se presentan formas de abordar desafíos comunes y puntos críticos que enfrentan las organizaciones al prepararse para el proceso de certificación ISO 27001 y completarlo.
1. Espere participar en el proceso de auditoría ISO 27001.
Las auditorías de certificación ISO 27001 son más interactivas de lo que muchas organizaciones esperan, especialmente si es la primera vez que se someten a la auditoría.
Después de la revisión de documentación de la Etapa 1, el auditor de ISO 27001 necesitará validar sus hallazgos a través de una serie de entrevistas. Por ejemplo, el control A del Anexo A.5 involucra políticas de seguridad de la información. Durante la etapa 1, el auditor revisará los documentos de políticas y las evidencias de revisión/aceptación por parte de los empleados. Durante la etapa 2, el auditor entrevistará a la gerencia y a otros actores clave para verificar que exista un proceso regular para difundir, revisar y actualizar las políticas dentro de la organización.
A continuación, se presentan algunas preguntas comunes que los clientes pueden esperar recibir de sus auditores durante estas entrevistas.
- Partes interesadas: Si presentó una lista genérica, el auditor probablemente le pedirá que sea más específico al enumerar las partes interesadas que son relevantes para el cliente.
- Contexto de la organización: Si no se definen los problemas internos y externos, el auditor probablemente le pedirá que los defina utilizando el proceso de evaluación de riesgos.
- Etiquetado: Si no etiqueta sus políticas y procedimientos de acuerdo con una matriz de clasificación predefinida, el auditor probablemente le pedirá que lo haga.
¿Cómo puede ayudar Secureframe?
Secureframe puede ayudar a minimizar y facilitar estas interacciones entre usted y su auditor. Proporciona todas las plantillas de políticas ISO 27001 necesarias que puede personalizar para su organización única. También le permite revisar, actualizar y difundir estas políticas para que los empleados las revisen y acepten todo en un solo panel de control.
Su gerente de cumplimiento dedicado de Secureframe también puede ayudar con el proceso de validación, responder cualquier pregunta que surja sobre el alcance u otras partes del proceso, y facilitar cualquier solicitud adicional de evidencia que pueda tener su auditor.
2. Involucre a la gerencia.
Los auditores deben validar que la dirección ha asumido la responsabilidad final de construir y mantener un SGSI efectivo. Eso incluye asignar el tiempo y los recursos apropiados para monitorear y mejorar el SGSI con el tiempo. Este es un requisito obligatorio de ISO 27001.
¿Cómo puede ayudar Secureframe?
La plataforma Secureframe ofrece monitoreo continuo y alertas en tiempo real sobre no conformidades, para que su organización pueda monitorear, medir y mejorar su SGSI con el tiempo y tomar las acciones correctivas necesarias. La plataforma también le permite asignar controles y pruebas a individuos y recibir notificaciones cuando estos fallan o necesitan repetirse.
Esto le ayudará a cumplir con el requisito de revisión de la gerencia de ISO 27001, así como con otros requisitos.
3. Entiende tu estrategia de gestión de riesgos.
Las organizaciones deben entender cómo el Informe de Aplicabilidad, el registro de riesgos, la evaluación de vulnerabilidades/prueba de penetración y otra documentación se relacionan entre sí y trabajan juntas para formar su estrategia de gestión de riesgos. Esta estrategia generalmente se compone de los siguientes cuatro componentes para responder a cada una de las preguntas a continuación.
- Evaluación de riesgos: ¿Qué riesgos enfrenta tu negocio?
- Prueba de penetración/evaluación de vulnerabilidades: ¿Existen otras vulnerabilidades que contribuyan a tu perfil de riesgo general?
- Registro de riesgos/Tratamiento de riesgos: ¿Cómo planeas priorizar y mitigar esos riesgos?
- Informe de Aplicabilidad: ¿Cómo se ve ese plan en la práctica? ¿Qué controles específicos implementarás y quién será el responsable de ellos?
¿Cómo puede ayudar Secureframe?
La plataforma de Secureframe puede ayudarte durante todo el proceso de gestión de riesgos. Un módulo de gestión de riesgos está integrado para permitirte identificar y evaluar riesgos en todo tu entorno respondiendo una serie de preguntas.
Una vez que respondas estas preguntas, la plataforma genera un registro de riesgos que te permite monitorear, gestionar y mitigar riesgos en un solo lugar. También puedes asignar tratamientos de riesgos y pasos de mitigación a los responsables de riesgos para proporcionar visibilidad y responsabilidad a toda la organización.
Además, la plataforma puede generar automáticamente un Informe de Aplicabilidad basado en los controles aplicables que selecciones para que no tengas que escribir uno desde cero.
Lecturas recomendadas
Cómo hacer una evaluación de riesgos ISO 27001
4. Entiende los requisitos de las auditorías internas.
A diferencia de la revisión de certificación, que es completada por un auditor externo acreditado, la auditoría interna ISO puede ser realizada internamente o por una firma consultora externa. Los resultados de estas auditorías internas ayudan a las organizaciones a mejorar el SGSI con el tiempo y asegurar que cumple con los requisitos para la certificación ISO 27001.
La norma ISO/IEC 27001 establece los requisitos para una auditoría interna en la cláusula 9.2. Esta cláusula requiere que las auditorías internas:
- Se realicen en intervalos planificados
- Determinen si el SGSI cumple con los propios estándares de la organización, así como con los requisitos ISO 27001
- Se documenten como parte de un programa formal de auditoría
- Sean completadas por un auditor interno independiente e imparcial (es decir, no por alguien que tenga un nivel de control operativo o responsabilidad sobre el SGSI, o que haya estado involucrado en su desarrollo)
- Incluyan resultados de auditoría que se informen a la gestión y se mantengan como parte de los registros de la organización
¿Cómo puede ayudar Secureframe?
La plataforma Secureframe tiene un informe ISO 27001 donde se pueden ver todos los requisitos del marco, controles, pruebas asociadas, políticas y evidencia en un solo lugar. Esta vista centralizada ayuda a su organización a tener un proceso de auditoría interna fluido, independientemente de si lo están realizando internamente o lo subcontratan a un tercero.
No necesitará proporcionar capturas de pantalla, configurar configuraciones o extraer datos y evidencias manualmente. Solo necesitará integrar su proveedor de servicios en la nube y Secureframe recopilará automáticamente ese dato de configuración y lo comparará con los requisitos del marco. Luego verá pruebas aprobadas o fallidas en la plataforma Secureframe con tareas de remediación accionables. Esto le mostrará qué tan cerca está de lograr el cumplimiento de ISO 27001 y cómo cerrar cualquier brecha.
Lectura recomendada
Todo lo que necesita saber sobre las auditorías ISO 27001 [+ Lista de verificación]
5. Alcance adecuadamente la certificación.
Antes de someterse a la auditoría ISO 27001, se debe definir el alcance y el cliente debe tener una comprensión clara del alcance de la certificación que tiene. Esto puede ser un desafío para las organizaciones, particularmente para aquellas que intentan obtener la certificación por primera vez.
Las organizaciones deben tener en cuenta todos los requisitos definidos en las cláusulas 4-10, incluidos los problemas internos y externos, así como los activos físicos como los centros de datos. Esto debe reflejarse en su declaración de alcance del SGSI.
Por ejemplo, si su auditoría incluye un centro de datos, es importante que el plan de auditoría contenga los controles y preguntas relevantes que se verificarán durante la propia auditoría. Esto ayuda a garantizar que la evidencia correcta esté preparada con anticipación.
¿Cómo puede ayudar Secureframe?
La plataforma Secureframe tiene la capacidad de realizar un seguimiento automático de sus activos de punto final, recursos en la nube y repositorios de código relevantes. También permite filtrar los requisitos de cumplimiento masivo, como los activos de punto final dentro del alcance y el personal y los recursos en la nube relevantes.
La plataforma también tiene plantillas de SGSI que cubren todos los requisitos relevantes de las cláusulas ISO 4-10, incluidos los problemas internos y externos, las partes interesadas y el alcance. Su gerente de cumplimiento dedicado puede ayudarlo a personalizar esas plantillas y responder cualquier pregunta sobre el alcance de su certificación.
Preguntas frecuentes sobre el proceso de auditoría y certificación ISO 27001
A continuación se presentan las respuestas de los auditores principales de ISO 27001 a las preguntas frecuentes sobre el proceso de auditoría y certificación ISO 27001.
1. ¿Qué debe cubrirse en la capacitación de concienciación sobre seguridad para cumplir con los requisitos de ISO 27001?
Cavan Leung: No hay temas prescriptivos que la ISO haya delineado. Requiere que todo el personal relevante a tu SGSI reciba capacitación en concientización sobre seguridad de manera periódica. El personal también debe estar al tanto de las políticas y procedimientos de ISO 27001 que están en vigor en la organización.
2. ¿Qué tan detallada debe ser la auditoría interna? ¿Necesita evaluar cada control?
Elad Motola: Sí, la auditoría interna debe cubrir todos los controles obligatorios y del Anexo A. Esto por dos razones. Una es para asegurar que estás listo para la auditoría externa. La segunda es porque la norma ISO 27001 lo requiere.
3. ¿Los clientes de Secureframe suelen realizar auditorías internas internamente o las externalizan a un tercero?
Cavan Leung: Depende de si la organización puede cumplir con los requisitos de auditorías internas en términos de imparcialidad y competencia.
Así que si decides hacer una auditoría interna en casa, debes asegurarte de que la persona que la realice tenga cierto nivel de competencia. Deben saber cómo auditar y conocer la seguridad de la información, y preferiblemente tener una certificación de auditor de ISO 27001. Esta persona también debe ser imparcial. Por lo tanto, no pueden estar involucrados en la implementación, mantenimiento o cualquier aspecto relacionado con la gestión de tu SGSI. Si una organización no tiene una persona que cumpla con esos criterios internamente, normalmente externalizará los servicios de auditoría interna.
El tamaño de la organización también afecta esta decisión. Las organizaciones más pequeñas normalmente externalizarán esto porque su equipo carece de la competencia o imparcialidad para completar una auditoría interna. Las organizaciones pequeñas a medianas y las grandes empresas suelen hacerlo y, por lo tanto, aprovecharán a alguien de su equipo para completar la auditoría interna.
4. ¿Cómo audita un auditor de ISO tus controles físicos cuando estás 100% basado en la nube?
Elad Motola: Depende de si el cliente tiene una oficina y si todos los empleados están trabajando de forma remota. Si todos están trabajando de forma remota, entonces la mayoría de los requisitos deberán marcarse como no aplicables con una justificación para esa respuesta.
Si el cliente tiene una oficina pero todos los empleados están trabajando de forma remota, no se requiere que el auditor realice la auditoría in situ. Sin embargo, necesitan revisar algunos de los requisitos físicos. Pueden hacerlo usando un teléfono o una computadora con cámara para revisar algunos de los aspectos físicos.
5. ¿Es posible que utilizando la plataforma Secureframe, una empresa pueda implementar ISO 27001 sin la ayuda de un consultor?
Cavan Leung: La respuesta corta es sí. Al aprovechar la plataforma Secureframe, obtendrás un proceso paso a paso para la certificación, así como todo lo que necesitas para implementar todos los controles necesarios para lograr y mantener el cumplimiento sin necesidad de pagar a un consultor.
Cómo Secureframe puede ayudarte a prepararte para la certificación ISO 27001
Secureframe agiliza la certificación ISO 27001 al optimizar aspectos del proceso de preparación, incluyendo la gestión de tareas, recopilación de evidencias, capacitación en concientización sobre seguridad y evaluación y gestión de riesgos.
Secureframe también optimiza aspectos del proceso de auditoría al proporcionar a socios de auditoría como Consilium Labs una vista de informe, exportación de evidencias y un panel sencillo.
Esto puede ayudarte a lograr y mantener el cumplimiento de ISO 27001 con rapidez y facilidad. Programa una demostración para verlo por ti mismo.