Pongámonos en ese momento. Su auditoría ISO 27001 está planificada y usted está ocupado preparando la organización lo mejor posible ¡Está muy cerca! Después de todo, la auditoría externa es un momento clave. Sabemos que en ese momento, usted solo desea que se reconozca su arduo trabajo y puede escuchar las palabras redentoras: El certificado ha llegado.
Naturalmente en una etapa así podrá preguntarse: ¿Cómo se asegura de no encontrar obstáculos inesperados durante la auditoría? Pues en este artículo le daremos 5 puntos que deberá cuidar en su auditoría ISO 27001:
¿Qué es ISO 27001?
ISO 27001 es el estándar que describe cómo usted puede manejar su valiosa información y cómo la protege. El estándar le ayuda a dar sustancia y configurar un sistema de gestión de seguridad de la información (SGSI) para su organización.
Para esto, se debe evaluar el sistema de forma independiente. Esto demostrará que organiza la información dentro de su organización correctamente. Finalmente, esto se traducirá en que hace todo lo posible para reducir los riesgos. Con esto te colocas en el mapa como un socio confiable. Hay que recordar que:
La norma ISO 270001 tiene como objetivos:
- Formular necesidades y objetivos de seguridad de TI.
- Gestionar los riesgos de seguridad de manera rentable.
- Definir las actividades de gestión que implican seguridad de la información.
- Asegurar metas específicas para la seguridad de la información.
5 puntos a cuidar para una auditoría ISO 27001 fluida:
1. Use un enfoque sobrio = discreción + precisión.
Si usted es el responsable de obtener el certificado ISO 27001, o si está muy involucrado en el proceso, debe estar familiarizado con la documentación.
El papeleo se ve como un objetivo, más que como un medio. Su objetivo es asegurar la información dentro de la organización. Parece obvio preparar muchos documentos, pero deben agregar valor. Por lo tanto, esté atento a por qué está haciendo lo que está haciendo. Sobre todo manténgalo discreto y concreto. Lo que importa es lo que dices y no cuántas palabras dices.
2. Ubica el eslabón débil
¿Deseas que tu organización controle todos los flujos de información? En ese caso, seguro intentarás llevar esto al ADN de la empresa. Por supuesto, hay muchos aspectos técnicos involucrados, como firewalls y acceso a computadoras. Sin embargo…el eslabón débil muchas veces estará entre la silla y la pantalla de la computadora.
Nos referimos a cómo los empleados manejan situaciones en las que la información es vulnerable.
¿Utilizan una política de escritorio limpio? ¿Los empleados bloquean la pantalla de la computadora cuando se alejan del lugar de trabajo? Aquí es donde el mayor desafío radica en organizar adecuadamente la seguridad de la información.
Por lo tanto, no solo debe centrarse en el aspecto técnico, sino también en el humano. Téngalo claro: cuanto más cierre todo, mayores serán las posibilidades de que se creen desviaciones en el proceso.
¡Evite que los aspectos técnicos abrumen al capital humano! Al contrario; usted debe dedicar mucho tiempo a su gente y a crear conciencia sobre el tema. Este es el punto de partida adecuado para proteger su valiosa información: la base de su auditoría para la norma ISO 27001.
3. Haga de la certificación de la norma ISO 27001 una responsabilidad compartida
La seguridad de la información se trata de proteger los datos que son valiosos. Para proteger estos datos y garantizar que la información permanezca protegida, un punto que pudiera funcionar es asignar a un propietario. Alguien que se ocupe de la seguridad y que sea el responsable final de la protección. Pregúntese ¿Quién podría desempeñar este papel dentro de su organización?
A la hora de seleccionar al responsable de la protección, es importante seleccionar personas que entiendan el negocio. Idealmente, por lo tanto, elija personas de la organización operativa, como los gerentes de línea.
El objetivo final es que todos manejen y protejan parte de la información. De esta manera, se convierte automáticamente en una responsabilidad compartida y esto aumenta las posibilidades de una buena seguridad, lo que reduce en gran medida los riesgos.
4. Clasifica la información
Antes de ingresar a la auditoría de la norma ISO 27001, ya tuvo que haber entendido la norma. Y con esto, ya sabe que la clasificación de la información constituye una base importante para tomar buenas decisiones.
En el Anexo A de la norma ISO 27001 se distinguen tres medidas de control en específico. Estas se pueden usar para dar a la información un nivel adecuado de protección. Por supuesto, este nivel de protección deberá ser coherente con el contexto de su organización. Las tres medidas son:
-
- Clasificación de la información: La información debe clasificarse con respecto a los requisitos legales, el valor, la importancia y la sensibilidad a la divulgación o cambios no autorizados.
-
- Información de etiquetado: Para etiquetar la información, se debe desarrollar e implementar un conjunto apropiado de procedimientos de acuerdo con el esquema de clasificación de información establecido por la organización.
-
- Manejo de los activos de la compañía: Los procedimientos para el manejo de los activos de la compañía deben desarrollarse e implementarse de acuerdo con el esquema de clasificación de información establecido por la organización.
El estándar ofrece opciones de lo que puede hacer para clasificar la información. Pero, ¿cómo aborda esto para tener una base sólida en el momento de la auditoría?
Clasificando adecuadamente la información
Para clasificar adecuadamente la información dentro de su organización, primero debe determinar qué información tiene el mayor valor. Vea qué información puede tener el mayor impacto en su negocio si le sucede algo que no está destinado. Por ejemplo, consecuencias perjudiciales para la imagen de su empresa. Hágase la pregunta: ¿Qué impacto tiene la pérdida de información en mi negocio?
Involucre al propietario de la información que va a clasificar y pídale que haga un estimado. Además, compárelo con los otros gerentes y deje que alguien lo vea más alto en su rango desde su perspectiva. Esto establecerá prioridades precisas y podrá realizar los esfuerzos correctos. Como beneficio adicional, la participación oportuna de personas clave crea apoyo para sus actividades de certificación.
5. Planifique qué medidas de control tendrá en cada paso y marque las que ya tiene
Si está pensando en una certificación de la norma ISO 27001, muy probablemente su empresa ha estado funcionando por algún tiempo ya. Nos hemos encontrado en que Nueve de cada diez empresas han tomado medidas relevantes para la seguridad de la información. No necesariamente buscando una certificación, sino que estas medidas surgieron del sentido común. En algunos casos, inclusive porque las cosas salieron tremendamente mal (en el pasado). Considere por ejemplo:
- Gestión de contraseñas
- Análisis de virus
- Cortafuegos
- Copias de seguridad
Por lo tanto, considere cuidadosamente qué medidas de control encuentra que están relacionadas con la seguridad de la información. Eche un vistazo crítico a las medidas que ya ha implementado, porque no siempre significa que las medidas existentes también logren el objetivo correcto. Algunos pueden haber sido introducidos hace meses y necesitan una actualización. Por lo tanto, siempre evalúe si están funcionando adecuadamente o asegúrese de que lo harán nuevamente.
El anexo A de la norma ISO 27001 contiene una lista de medidas de control que puede utilizar. Ponga esto al lado de las cosas que ya tiene en su lugar y tendrá una vista inicial de su posición y lo que aún debe hacerse para minimizar los riesgos, a través de medidas de control.
Aún no hay comentarios, ¡añada su voz abajo!