Generalmente para implementar la norma ISO 27001, una empresa se centra en materializar las cláusulas de la norma en un orden apropiado, y efectivamente, ello ha permitido que muchas empresas logren un establecimiento correcto de un Sistema de Gestión de Seguridad de la Información. Pero no es arte de magia, es cumplir con una de las fases que establece el ciclo de Deming ante la implementación de normas ISO, la Planificación.

Crear un marco de gestión y su compromiso

Cada empresa mantiene su propio ritmo de desarrollo de proyectos, define el contexto interno y externo involucrado, e identifica las necesidades de los stakeholders de la organización, con todo ello la empresa debe ser capaz de construir el alcance del Sistema de Gestión de Seguridad de la Información. Ahora, esto debe interpretarse en resultados que respondan a la pregunta ¿Qué modelo de mejora continua seleccionaré para mi organización y cómo se gestionará a través de documentos? Sin embargo, las respuestas a estas preguntas no son suficientes, tras ello, debemos buscar el compromiso de toda la organización para la implementación de la norma, y esto abarca desde el personal operativo hasta el personal estratégico.

Gestión de riesgos

No solo basta con buena estructura general de gestión de seguridad de la información, también es sumamente vital definir un entorno sistemático para la evaluación de riesgos de seguridad de la información y sus criterios de aceptación de riesgos. Esta evaluación de riesgos permitirá identificar, en el contexto de las políticas de seguridad de la información y el alcance del SGSI, la importancia de los activos de información de la organización y sus riesgos involucrados, es aquí donde se demuestra la evaluación de riesgos.

Tratamiento de riesgos

Una vez identificados los riesgos, evaluándolos correctamente, se deben identificar y evaluar opciones de tratamiento de riesgos para reducir su impacto o probabilidad. El tratamiento consiste en tener claro los objetivos de control de un riesgo y los controles directos que se implementarán en todas las áreas con el fin de reducir el riesgo general de la organización, el cual dependerá de la fórmula que establecerá la propia empresa con el fin de tener un indicador general. Dicho esto, el último paso se centra en generar el documento de Declaración de Aplicabilidad y un Plan de Tratamiento de Riesgos.

Consejo audit

Seguir adecuadamente este tipo de fases, permitirá ser más compacto en la implementación, como forma de respuesta por una gestión en crecimiento. En audit cubrimos todos los aspectos que debe tener una organización cuando opta por implementar la norma ISO 27001, nuestra experiencia nos permite generar: establecimientos, implementación, operación, monitoreo, revisión, mantenimiento y mejora continua de la empresa.