Cómo enfrentarse a la ISO 27001

La norma ISO 27001, que forma parte la familia ISO 27000, trata específicamente de la protección de los sistemas TIC.

¿Qué hay que hacer para seguirla?

El orden no estricto de actuación sería el siguiente:

• Delimitar el foco: Definir el alcance, contexto y partes interesadas.
• Definir la política de seguridad
• Determinar la definición de roles y responsabilidades y la implicación activa de la Dirección.
• Determinar una metodología de gestión de riesgos. Existen numerosas metodologías, siendo en España una muy recomendable la denominada Magerit (otras herramientas son Octave y Cramm).
• Analizar, clasificar y evaluar los riesgos de la entidad y su asociación a l inventario de activos, bien de forma individual o asociado a colectivos (procesos). Recomendable la herramienta Pilar.
• Determinar qué controles de los 114 sugeridos son aplicables (según Anexo A de la norma), o si se requiere alguno adicional. Para ello hay que elaborar el denominado informe de aplicabilidad de los controles (en inglés SOA), justificando en él las decisiones tomadas.
• Definir e implantar los controles adecuados de mitigación.
• Determinar el método de medida de la eficacia de los controles para alimentar el Plan de Acción de la remediación de los incumplimientos detectados. 
• Determinar objetivos de seguridad anuales (para conseguir futuros logros).
• Implantar procesos de revisión y auditoría de la implantación realizada.
• Notificación de incidencias 
• Y el último paso sería solicitar una certificación, que constaría de:
• Año 0. Auditoría Inicial: revisión de documentación y comprobación de su uso.
• Año 1 y 2. Auditorías de Seguimiento
• Inicio del ciclo de Recertificación ( de tres años)
• Año N. Auditoría de recertificación
• Año N+1 y N+2. Auditorías de Seguimiento
• ...

¿Qué beneficios proporciona la ISO 27001?

• Mejora la confianza de terceras partes (accionistas, clientes, proveedores, socios comerciales o productivos,...).
• Mejora de la eficiencia aunque muchas veces no es un objetivo directo, sí se consigue indirectamente al implantar un método de mejora continua y en algunos casos justifica por sí sola su implantación.
• Establecimiento de una cultura corporativa de seguridad para la protección de sistemas y datos.
• Diferenciación comercial al poder acreditar un certificado que otras empresas competidoras no tengan y  ello nos diferencie positivamente.
• Alineamiento internacional: De cara a tener relaciones con socios internacionales, el acreditar un certificado ISO 27001 aporta confianza que facilita  la relaciones comerciales.
• Facilita el cumplimiento de otras normativas de ciberseguridad, como el ENS.

Otras normas complementarias

Últimamente el camión de la ciberseguridad se está sobrecargando con multitud de normas como ENS (Esquema Nacional de Seguridad) para el sector público español, el RD 43/21 para servicios críticos o esenciales, la ISO 27701 RGPD para la privacidad de datos personales de ciudadanos de la Unión Europea, la ISO 20000 orientada a los proveedores de servicios TIC, la futura DORA para los sectores financiero y seguros y COBIT para el control de la gobernanza TIC, aunque más utilizada al otro lado del charco.

Cibernos pone a disposición de sus clientes la herramienta CiberCumplimiento para facilitar la medida de la eficacia de los controles y su corrección en caso de incumplimiento de cualquiera de estas normas. ¿Te contamos cómo lo hace?