ISO 27001 es un estándar riguroso, y puede ser intimidante abordarlo si se está certificando por primera vez.
¿Dónde se empieza? ¿Qué políticas y controles necesitará? ¿Cómo saber si está listo para una auditoría?
Comprender el proceso de obtención de la certificación ISO 27001 puede ayudarle a prepararse para una auditoría exitosa y eliminar gran parte del estrés en el camino.
En este artículo, explicaremos el proceso de certificación ISO 27001, incluyendo lo que las organizaciones deben hacer para prepararse y lo que sucede durante cada fase de la auditoría de certificación.
Fases del proceso de certificación
Las fases del proceso de certificación ISO 27001
Para lograr la certificación ISO 27001, deberá someterse a una serie de auditorías. Esto es lo que puede esperar para prepararse y completar su certificación.
Fase uno: crear un plan de proyecto
¿Quién dentro de su organización supervisará el proceso, establecerá expectativas y gestionará hitos? ¿Cómo obtendrá el apoyo de la dirección de la empresa? ¿Contratará a un consultor de ISO 27001 para ayudarle a navegar el proceso?
Educarse sobre los estándares de ISO 27001 y sus 114 controles es una parte clave de este proceso. Un excelente lugar para comenzar es nuestra guía en profundidad sobre ISO 27001.
Fase dos: definir el alcance de su SGSI
Cada empresa es única y alberga diferentes tipos de datos. Antes de construir su SGSI, deberá determinar exactamente qué tipo de información necesita proteger.
Para algunas empresas, el alcance de su SGSI incluye toda su organización. Para otras, incluye solo un departamento o sistema específico.
Su equipo deberá discutir lo que desea que se represente en la declaración de alcance de su certificado ISO 27001.
Comience preguntándose:
“¿Qué servicio, producto o plataforma interesa más a nuestros clientes que forme parte de nuestro certificado ISO 27001?”
Fase tres: realizar una evaluación de riesgos y un análisis de brechas
Una evaluación de riesgos formal es un requisito para el cumplimiento de ISO 27001. Eso significa que los datos, el análisis y los resultados de su evaluación de riesgos deben ser documentados.
Para comenzar, considere su base de referencia para la seguridad. ¿A qué obligaciones legales, regulatorias o contractuales está su empresa sujeta?
Muchas empresas emergentes que no tienen un equipo de cumplimiento dedicado optan por contratar a un consultor de ISO para ayudar con su análisis de brechas y plan de remediación. Un consultor con experiencia en trabajar con empresas como la suya puede proporcionar orientación experta para ayudarle a cumplir con los requisitos de cumplimiento.
Además, pueden ayudarle a establecer mejores prácticas que fortalezcan su postura general de seguridad.
Fase cuatro: diseñar e implementar políticas y controles
Ahora que ha identificado los riesgos, deberá decidir cómo responderá su organización. ¿Qué riesgos está dispuesto a tolerar y cuáles necesita abordar?
Su auditor querrá revisar las decisiones que haya tomado con respecto a cada riesgo identificado durante su auditoría de certificación ISO 27001. También deberá producir una Declaración de Aplicabilidad y un Plan de Tratamiento de Riesgos como parte de la evidencia de su auditoría.
La Declaración de Aplicabilidad resume y explica qué controles y políticas de ISO 27001 son relevantes para su organización. Este documento es una de las primeras cosas que su auditor externo revisará durante su auditoría de certificación.
El Plan de Tratamiento de Riesgos es otro documento esencial para la certificación ISO 27001. Registra cómo responderá su organización a las amenazas identificadas durante su proceso de evaluación de riesgos.
El estándar ISO 27001 describe cuatro acciones:
- Modificar el riesgo estableciendo controles que reduzcan la probabilidad de que ocurra.
- Evitar el riesgo previniendo las circunstancias en las que podría ocurrir.
- Compartir el riesgo con un tercero (es decir, externalizar esfuerzos de seguridad a otra empresa, comprar un seguro, etc.).
- Aceptar el riesgo porque el costo de abordarlo es mayor que el daño potencial.
A continuación, implementará políticas y controles en respuesta a los riesgos identificados. Sus políticas deben establecer y reforzar las mejores prácticas de seguridad, como exigir a los empleados el uso de autenticación multifactorial y bloquear los dispositivos cada vez que se alejan de sus estaciones de trabajo.
Fase cinco: completar la capacitación de los empleados.
ISO 27001 requiere que todos los empleados sean capacitados sobre seguridad de la información. Esto asegura que todos en su organización comprendan la importancia de la seguridad de los datos y su papel tanto en lograr como en mantener el cumplimiento.
Fase seis: documentar y recopilar evidencias.
Para obtener la certificación ISO 27001, deberá demostrar a su auditor que ha establecido políticas y controles efectivos y que están funcionando según lo requerido por la norma ISO 27001.
Recopilar y organizar todas estas evidencias puede consumir mucho tiempo. El software de automatización de cumplimiento para ISO 27001 puede eliminar cientos de horas de trabajo ocupado al recopilar estas evidencias por usted.
Fase siete: completar una auditoría de certificación ISO 27001.
En esta fase, un auditor externo evaluará su SGSI para verificar que cumple con los requisitos de ISO 27001 y emitirá su certificación.
Una auditoría de certificación se lleva a cabo en dos etapas. Primero, el auditor completará una auditoría de la Etapa 1, donde revisarán la documentación de su SGSI para asegurarse de que tiene las políticas y procedimientos adecuados.
A continuación, una auditoría de la Etapa 2 revisará sus procesos empresariales y controles de seguridad. Una vez que se completen las auditorías de la Etapa 1 y la Etapa 2, se le emitirá una certificación ISO 27001 que es válida por tres años.
Fase ocho: mantener el cumplimiento continuo.
ISO 27001 trata sobre la mejora continua. Deberá seguir analizando y revisando su SGSI para asegurarse de que sigue operando de manera efectiva. Y a medida que su negocio evoluciona y surgen nuevos riesgos, deberá estar atento a las oportunidades para mejorar los procesos y controles existentes.
El estándar ISO 27001 requiere auditorías internas periódicas como parte de este monitoreo continuo. Los auditores internos examinan los procesos y políticas para buscar posibles debilidades y áreas de mejora antes de una auditoría externa.
El proceso de auditoría de certificación
El proceso de auditoría de certificación ISO 27001
- Etapa 1: Revisión del diseño del SGSI Revisar la documentación del SGSI para asegurarse de que las políticas y procedimientos estén diseñados adecuadamente.
- Etapa 2: Auditoría de certificación Revisar procesos empresariales y controles para cumplir con los requisitos del SGSI y el Anexo A.
- Auditorías de vigilancia Asegurarse de que su programa de cumplimiento ISO 27001 siga siendo efectivo y se mantenga.
- Auditoría de recertificación Al final del período de certificación de 3 años, una auditoría de recertificación evalúa el SGSI y los controles del Anexo A para el cumplimiento. La recertificación es válida por otros 3 años.
Una vez que hayas construido tu SGSI, completado una evaluación de brechas, implementado controles, entrenado a tu personal y recopilado evidencia, estarás listo para comenzar el proceso de auditoría.
Una auditoría formal ISO 27001 ocurre en etapas:
Etapa 1: Revisión del diseño del SGSI
Revisa la documentación del SGSI para asegurarte de que las políticas y los procedimientos estén diseñados correctamente.
En esta etapa, tu auditor se asegurará de que tu documentación cumpla con los requisitos del SGSI de ISO 27001 listados en las cláusulas 4-10. También señalarán cualquier no conformidad u oportunidad para mejorar tu SGSI.
Una vez que hayas implementado los cambios sugeridos, estarás listo para tu auditoría de la Etapa 2.
Etapa 2: Auditoría de certificación
Revisa los procesos de negocio y los controles para asegurar el cumplimiento con los requisitos del SGSI de ISO 27001 y el Anexo A.
Aquí es donde tu auditor completará una evaluación detallada para determinar si tu organización cumple con los requisitos de ISO 27001.
Una vez que las Etapas 1 y 2 estén completas, tu certificación ISO 27001 será válida por tres años.
Auditorías de vigilancia
Dentro de tu período de certificación de tres años, necesitarás realizar auditorías continuas. Estas auditorías aseguran que tu programa de cumplimiento de ISO 27001 sigue siendo efectivo y se está manteniendo adecuadamente.
Las auditorías de vigilancia verifican que las organizaciones estén manteniendo su SGSI y los controles del Anexo A correctamente. Los auditores de vigilancia también verificarán que cualquier no conformidad o excepción señalada durante la auditoría de certificación haya sido abordada.
Auditoría de recertificación
Durante el último año del término de certificación de tres años de ISO, tu organización puede someterse a una auditoría de recertificación.
Similar a la Etapa 2, el auditor completará una evaluación detallada para determinar si tu organización cumple con los requisitos de ISO 27001 para el diseño y la efectividad operativa de los procesos/controles.
Después de completar la auditoría de recertificación, tu certificación ISO 27001 será válida por otros tres años. La mayoría de las organizaciones pasan de 6 a 12 meses preparándose para y completando una auditoría de certificación ISO 27001.
El proceso de certificación ISO 27001 puede parecer intimidante, pero no tiene que ser tan abrumador. Este diagrama de flujo te ayudará a visualizar el proceso de certificación ISO 27001, desglosarlo en pasos manejables y seguir tu progreso hacia el cumplimiento.
Requisitos de evidencia ISO 27001
Requisitos de ISO 27001: evidencia de procesos
Durante tu auditoría de certificación, tu auditor necesitará evaluar diferentes aspectos de tu SGSI, incluidas políticas, procesos de negocio y evidencia de soporte.
Aquí tienes una línea base de la documentación que necesitarás proporcionar a tu auditor:
- Alcance del SGSI
- Política de seguridad de la información
- Proceso de evaluación de riesgos de seguridad de la información
- Proceso de tratamiento de riesgos de seguridad de la información
- Declaración de aplicabilidad
- Objetivos de seguridad de la información
- Evidencia de competencia
- Programa de capacitación y resultados de concienciación en seguridad
- Resultados de la evaluación de riesgos de seguridad de la información
- Resultados del tratamiento de riesgos de seguridad de la información
- Evidencia de monitoreo y medición de resultados
- Proceso de auditoría interna documentado
- Evidencia de programas y resultados de auditoría
- Evidencia de los resultados de las revisiones de gestión
- Evidencia de no conformidades y remediaciones
- Evidencia de resultados de remediaciones
- Evidencia de la actividad del control del Anexo A
Simplifica el proceso con Secureframe
Una vez que haya creado políticas y reunido evidencia para su auditoría ISO 27001, probablemente tendrá cientos de documentos que necesitarán ser recopilados, catalogados y actualizados. Y necesitará asegurarse de que toda su documentación esté organizada con los controles y requisitos adecuados para que su auditor pueda verificar todo.
Secureframe puede simplificar el trabajo pesado para hacer que el proceso de preparación y mantenimiento del cumplimiento sea más manejable y menos estresante. Le ayudaremos a construir un SGSI conforme, a monitorizar su pila tecnológica para vulnerabilidades y a gestionar los riesgos. Programe una demostración para saber más.