Como uno de los marcos más respetados a nivel internacional, ISO/IEC 27001 es una certificación óptima para las empresas que buscan fortalecer su seguridad de la información y generar confianza en los clientes.

Sin embargo, obtener la certificación ISO 27001 no es precisamente un paseo por el parque.

Tienes muchas horas y semanas por delante al comenzar tu proceso de certificación. Las cosas que valen la pena no siempre son fáciles, ¿verdad?

Para ayudar a facilitar la preparación para la certificación ISO 27001, y por ende tu trabajo, hemos creado una lista de verificación de ISO 27001 paso a paso e interactiva. Incluye todas las tareas mayores y menores que necesitarás completar mientras buscas la certificación.

Lista de verificación interactiva de ISO 27001: Una guía paso a paso

Aunque sería agradable chasquear los dedos y obtener la certificación ISO 27001, el proceso de certificación requiere bastante tiempo.

El tiempo para la certificación dependerá del tamaño de tu empresa y la complejidad de los datos que manejas.

Una pequeña o mediana empresa puede esperar estar lista para la auditoría en unos cuatro meses, y luego pasar por la auditoría en seis meses. Las organizaciones más grandes podrían requerir más de un año.

Aunque esta lista de verificación sirve como una visión general de los pasos para cumplir con ISO 27001, este proceso se verá diferente en cada empresa. Factores como el tamaño de una empresa o la madurez de sus estrategias de gestión de riesgos pueden afectar estos pasos.

¿Listo para comenzar? Te guiaremos a través de cada paso de la lista de verificación de ISO 27001 a continuación.

Cómo obtener la certificación ISO 27001

¿Necesitas un poco más de instrucciones sobre cómo completar los pasos anteriores? Te guiaremos a través de cada paso del proceso de implementación de ISO 27001 a continuación.

1. Nombra un equipo ISO 27001

Primero, reúne a un equipo dedicado para supervisar y gestionar el proceso de ISO 27001.

Este equipo determinará el alcance del proceso de certificación, creará prácticas y políticas de gestión de información, obtendrá el apoyo de las partes interesadas y trabajará directamente con el auditor.

Dependiendo del tamaño de tu organización y del alcance de los datos que manejes, podrías tener una sola persona liderando el proyecto, o podrías necesitar un equipo más grande. Puede ser útil nombrar a un gerente de proyecto principal para supervisar ISO 27001 y permitirle construir un equipo a su alrededor.

Algunas de las características que debe buscar en el gestor de proyectos ideal para ISO 27001 son:

• Comprensión de TI
• Familiaridad con los procesos de negocio de la organización
• Experiencia en gestión de proyectos
• Capacidad para comunicar los detalles de ISO 27001 de manera efectiva

2. Construya su sistema de gestión de seguridad de la información (SGSI)

Es muy probable que su empresa ya tenga un sistema ad hoc de gestión de la información en su lugar. Sin embargo, ese tipo de gestión de activos no será suficiente durante una auditoría ISO 27001.

En resumen, un sistema de gestión de seguridad de la información, o SGSI, es el marco que utiliza una empresa para gestionar la información y el riesgo. Un SGSI consta de políticas y procedimientos que especifican exactamente cómo se almacenará y gestionará la información.

Hay tres pilares de un SGSI: personas, procesos y tecnología.

ISO 27001 es el estándar internacional que ofrece instrucciones detalladas sobre cómo crear un SGSI de primera clase y cómo cumplir con los requisitos de cumplimiento.

Desglosamos cómo determinar el alcance del SGSI en tres pasos:

• Establezca el alcance: Comience preguntando, “¿Qué información necesita ser protegida?” Deberá identificar todos los lugares donde se almacena la información. Esto incluye tanto documentos físicos como digitales y sistemas de información.
• Identifique cómo se puede acceder a esa información: Examine los controles de acceso y documente cada punto de acceso, como la computadora de un empleado o un archivador.
• Determine qué está fuera del alcance: Una pregunta útil para hacer es “¿Qué partes del negocio necesitan crear, acceder o procesar nuestros valiosos activos de información?” Cualquier departamento o partes que no entren en esa categoría pueden no necesitar ser incluidos en el alcance.

Después de haber determinado el alcance de su SGSI, deberá crear la declaración de alcance de su certificado ISO 27001. Describirá lo que está dentro y fuera del alcance relacionado con productos y servicios, ubicaciones, departamentos y personas, tecnología y redes.

Es importante tener en cuenta que su SGSI no es estático. A medida que su empresa evoluciona, pueden introducirse nuevos procesos y departamentos. Cuando esto suceda, es importante revisar su SGSI y hacer los ajustes necesarios.

3. Cree y publique políticas, documentos y registros de SGSI 

Dos partes importantes del proceso ISO 27001 son la documentación y la compartición interna de esos documentos. Hacerlo le ayudará a mantener la responsabilidad y construir una base para establecer, implementar, mantener y mejorar continuamente el SGSI.

Aquí tiene una lista de documentos SGSI que deberá compilar:

• Cláusula 4.3: Alcance del SGSI
• Cláusula 5.2: Política de seguridad de la información
• Cláusula 5.5.1: Cualquier información documentada que la organización considere necesaria para apoyar el SGSI
• Cláusula 6.1.2: Proceso/metodología de evaluación de riesgos de la seguridad de la información
• Cláusula 6.1.3: Plan de tratamiento de riesgos de la seguridad de la información y Declaración de Aplicabilidad (SoA)
• Cláusula 6.2: Objetivos de seguridad de la información
• Cláusulas 7.1.2 y 13.2.4: Roles y responsabilidades de seguridad definidos
• Cláusula 7.2: Evidencia de competencia
• Cláusula 8.1: Inventario de activos, uso aceptable de activos y planificación operativa
• Cláusulas 8.2 y 8.3: Resultados de la evaluación de riesgos de la seguridad de la información y tratamiento de riesgos de la seguridad de la información
• Cláusula 9.1: Política de control de acceso, evidencia de monitoreo del SGSI y métricas de seguimiento
• Cláusula 9.2: Un proceso de auditoría interna documentado y reportes de auditoría interna completados
• Cláusula 9.3: Resultados de revisiones de gestión
• Cláusula 10.1: Evidencia de cualquier no conformidad y acciones correctivas tomadas
• Cláusula 12.4: Actividad de usuario, excepciones y registros de incidentes de seguridad

Al crear sus documentos, puede personalizar las plantillas de políticas con políticas, procesos y lenguaje específicos de la organización.

Incluir información o referencias a la documentación de apoyo sobre:

• Objetivos de seguridad de la información
• Liderazgo y compromiso
• Roles, responsabilidades y autoridades
• Enfoque para evaluar y tratar el riesgo
• Control de la información documentada
• Comunicación
• Auditoría interna
• Revisión por la dirección
• Acción correctiva y mejora continua
• Violaciones de políticas

4. Realizar una evaluación de riesgos

El siguiente paso en su lista de verificación de ISO 27001 es realizar una evaluación de riesgos interna. Esto identificará riesgos potenciales para la seguridad de los datos y juzgará la gravedad de esos riesgos.

Al igual que identificó dónde se almacena toda su información sensible en el paso dos, hará lo mismo para los riesgos a los que se enfrenta su organización. Después de compilar una lista de riesgos, determine la probabilidad de que estos riesgos puedan ocurrir.

Luego, evalúe el impacto potencial de todos los riesgos identificados. Piense no solo en términos de continuidad del negocio, sino también en el impacto financiero que un riesgo presenta para su organización.

Usar una matriz de riesgos es una forma útil de identificar los riesgos más importantes a los que se enfrenta su organización. Aquí hay un ejemplo de cómo podría verse ese proceso.

• Después de identificar los riesgos, puede clasificarlos según la probabilidad de que ocurran. Por ejemplo, podría crear una escala del 1 al 5, siendo 1 poco probable y 5 muy probable.
• A continuación, medirá el impacto potencial de cada riesgo. Puede usar otra escala del 1 al 5, siendo 1 un impacto insignificante y 5 catastrófico.
• Luego, puede calcular el riesgo total de cada amenaza identificada para ayudarlo a priorizar las más urgentes.

Después de clasificar los riesgos, cree un plan de tratamiento de riesgos para cada uno. Asigne responsabilidades a ciertos empleados y haga un seguimiento hasta la finalización.

5. Completar un documento de Declaración de Aplicabilidad (DoA)

Consulte la documentación ISO 27002 para familiarizarse mejor con los 114 controles del Anexo A. Puede pensar en el Anexo A como una colección de todos los controles de seguridad posibles para que pueda encontrar los que se aplican a su organización.

Una vez que haya seleccionado las medidas de seguridad que mejor aborden los riesgos identificados, puede crear una Declaración de Aplicabilidad (DoA).

La DoA establece qué controles y políticas de ISO 27001 está aplicando la organización. Este documento describirá qué acciones se tomarán para abordar los riesgos.

6. Implementar políticas y controles de SGSI

Después de identificar los riesgos y desarrollar los procesos de gestión de riesgos, puede comenzar a implementar la política de seguridad de la información. Esta política es una visión general a alto nivel de cómo su organización aborda la seguridad de la información. Puede descargar una plantilla gratuita de política de seguridad de la información aquí.

El SGSI es el corazón de ISO 27001. El estándar ofrece instrucciones paso a paso sobre cómo proteger los datos de amenazas y vulnerabilidades. Las organizaciones suelen recurrir al método Plan-Do-Check-Act (PDCA) para ayudarles a implementar un plan de SGSI.

Aquí echamos un vistazo a cómo se ve el método PDCA en práctica:

• Planificar: Revisar los procesos actuales de gestión de la ciberseguridad e identificar las brechas en comparación con los requisitos del SGSI de ISO 27001.
• Hacer: Implementar los nuevos controles y políticas del SGSI.
• Verificar: Monitorear y revisar el SGSI y hacer cambios según sea necesario.
• Actuar: Mantener y mejorar el SGSI con el tiempo.

Examinar las cláusulas 4-10 de ISO 27001 y los controles del Anexo A para asegurarse de haber cumplido con todos los requisitos. Continuar realizando un monitoreo continuo de la efectividad de la implementación del SGSI.

Este es también el momento en el que debe comenzar a informar a los empleados de cualquier nuevo procedimiento relacionado con el SGSI que pueda afectar sus tareas diarias. Compartir políticas con los empleados y asegurarse de que las estén revisando.

7. Capacitar a los miembros del equipo en ISO 27001

Realizar capacitaciones regulares para los empleados para que se familiaricen con ISO 27001 y el SGSI de la empresa.

Revisar los términos relacionados con ISO 27001 que puedan ser nuevos para ellos y resaltar la importancia de obtener la certificación.

Este también es un momento para definir las expectativas del personal con respecto a su papel en el mantenimiento del SGSI. Educar a los empleados sobre lo que podría suceder si la empresa no cumple con los requisitos de seguridad de datos.

Esto ayudará a resaltar la importancia de su SGSI y a sembrar la semilla de la conciencia sobre seguridad en su equipo.

8. Recopilar documentación y evidencia

Si hay una palabra que escucharás una y otra vez cuando se trata de ISO 27001 es esta: documentación. Cuanta más documentación hagas antes de las etapas de auditoría, mejor.

Ahora es el momento de preparar todos los documentos y registros requeridos por ISO 27001 para su referencia durante las auditorías.

9. Realizar una auditoría interna

Una vez que su SGSI esté en buen estado, planifique una auditoría interna para ver en qué punto se encuentra su empresa en el camino hacia la certificación.

Elija un auditor independiente y objetivo para realizar la auditoría interna. Cuando la auditoría esté completa, registre y solucione los resultados de la auditoría interna antes de programar la auditoría de la Etapa 1.

10. Realizar una auditoría de Etapa 1

Seleccione un auditor acreditado de ISO 27001 para que realice una auditoría de Etapa 1. En esta auditoría externa, revisarán la documentación requerida para la certificación ISO 27001.

Una vez que hayan terminado de revisar toda la documentación, identificarán cualquier brecha o lugar donde su SGSI no cumpla con el estándar ISO 27001.

11. Obtener una auditoría de Etapa 2

En este punto, su auditor realizará pruebas en su SGSI para evaluar su implementación y funcionalidad. También revisarán cómo su SGSI se compara con los controles aplicables del Anexo A.

El punto de esta auditoría es asegurarse de que los procesos que comenzó en la auditoría de la etapa uno se estén siguiendo en toda la empresa.

12. Implementar las recomendaciones de la auditoría de Etapa 2

Tome en serio todas las recomendaciones del auditor. Una vez que se hayan abordado todas las no conformidades mayores, el auditor enviará un borrador del certificado de cumplimiento de ISO 27001 a la organización para su revisión.

La empresa luego realizará los ajustes menores antes de enviarlo de regreso al auditor. Luego el auditor publicará el certificado, y su certificación ISO 27001 será oficial.

13. Comprometerse con auditorías y evaluaciones subsecuentes

Convertirse en certificado ISO 27001 no es el paso final. Para mantener cumplimiento continuo con ISO 27001, su organización debe comprometerse con auditorías y evaluaciones continuas.

Un certificado ISO 27001 dura tres años. Durante ese tiempo, ISO 27001 requiere que las organizaciones realicen una auditoría de vigilancia cada año para asegurar que el ISMS conforme no haya caducado.

Aquí hay pasos adicionales a seguir para asegurar el cumplimiento:

• Realizar revisiones de gestión al menos una vez al año o en un ciclo de revisión trimestral.
• Prepararse para auditorías de vigilancia del primer y segundo año.
• Realizar evaluaciones de riesgo anuales.
• Prepararse para la auditoría de renovación del tercer año.

14. Realizar mejoras continuas

Su ISMS pasará por cambios después de la certificación ISO 27001. Cuando cambie sus proveedores de software o trabaje con nuevos proveedores, esto puede requerir la revisión de su ISMS.

Su equipo ISO 27001 debe actualizar su ISMS según sea necesario y documentar cada cambio. Además, cualquier amenaza a su ISMS que haya sido identificada y remediada debe ser documentada.

Esto no solo hará más fácil su próximo proceso de certificación, sino que también destacará no conformidades que pueden impactar la seguridad general de sus datos.

Logre y mantenga el cumplimiento de ISO 27001 con Secureframe

Si este proceso parece un poco agotador, es porque lo es.

Sin embargo, organizaciones como Secureframe hacen este proceso mucho más simple. Nuestra plataforma de automatización de cumplimiento agiliza todo el proceso de auditoría de ISO 27001, ahorrándole cientos de horas y miles de dólares.

Tenemos asociaciones con docenas de auditores y podemos emparejarlo con una firma de auditoría que ya esté bien versada en su industria. También proporcionamos acceso a expertos en ISO 27001 que pueden guiarle a través de todas las intrincaciones que complican a muchas empresas en el camino hacia la certificación.

En pocas palabras, Secureframe le respalda en cada paso del proceso de ISO 27001. Para saber cómo podemos ayudarlo, solicite una demostración hoy mismo.