La ISO 27001, es en la actualidad uno de los principales marcos para temas de seguridad de la información como para la documentación de sistemas de gestión de seguridad de la información SGSI. Hace unos años el cumplimiento y certificación de la norma solo era una practica de entidades bancarias o financieras, en los últimos años empresas de salud, empresas de factura electrónica, servicios fintech, y otras empresas están implementando la ISO 27001.
La norma ISO 27001, se basa en un ciclo constante de PHVA, determinado por unas etapas como lo son el Planificar, Hacer, Verificar y Actuar. El marco de la norma lo da el alcance como las políticas de seguridad de la información de cada empresa. Es importante que en el proceso de preparación y de certificación las empresas tengan claro cual es su objetivo en seguridad, es fundamental alinear el proceso a la estrategia de la compañía.
Se deben integrar componentes técnicos como lo son pruebas de Ethical Hacking o Análisis de Vulnerabilidades, y OSINT. Se recomienda revisar la configuración de servicios en la nube como Microsoft o AWS.
Siempre recomendamos desde Cloud Seguro, que en la Declaración de Aplicabilidad o SOA, se formulen los 114 controles que la empresa debe implementar de acuerdo a su alcance como a sus riesgos. Y siempre bajo la premisa de Prevenir, Transferir y Mitigar. Las empresas que implementen o se certifiquen deben tener roles y responsables, en algunos casos pueden tener el oficial de seguridad de la información. En otros casos como lo hacemos con algunos de nuestros clientes cloud seguro se convierte en el oficial de seguridad con el fin de ofrecer un equipo interdisciplinario para el proceso de preparación e implementación.
Estos son 5 pasos que recomendamos para el proceso:
- De forma inicial realice un GAP y DOFA, establezca su estado actual y sus debilidades
- Defina un alcance y un objetivo de la Seguridad de la Información
- Documente procesos, activos, políticas, responsables, en base a un sistema de gestión de la seguridad.
- Integre componentes como Ethical Hacking, Análisis de vulnerabilidades a plataformas internas o externas de la organización.
- Genere una cultura y un plan de trabajo antes y posterior a la certificación.
Recuerde el principal componente en la seguridad de la información es el factor humano. La seguridad no es solo papel o infraestructura
Cualquier duda podemos apoyarlo en su proceso de preparación o certificación.