A menudo y si estas inmerso en el mundo de la ciberseguridad, es normal que conozcas , y si no lo conoces, tarde o temprano deberias conocer qué documentación (o "información documentada" en el lenguaje simplificado de las normas ISO) es formal y estrictamente necesaria para que el Sistema de Gestión de Seguridad de la Información (SGSI) de una organización cumpla con la ISO 27001:2013 y por ello, os traigo de una forma más sencilla esta lista de verificación para tratar de resolver este problema.
La lista de verificación identifica en la documentación y los registros que se requieren explícitamente en el cuerpo principal de la ISO / IEC 27001 como obligatorios (Válidos tambien para la ISO 27002:2013, más documentación adicional, así como registros u otras formas de evidencia que están implícitas o insinuadas a lo largo de la ISO 27001:2013. Es posible identificar varias formas posibles de documentación, ya que hay varias formas de cumplir con los requisitos formales. Pero, no los necesitas a todos. Os dejo una lista detallada, de lo que necesitais y lo que os pedira el auditor para verificar que cumplimos la 27001 de una forma correcta:
| DOCUMENTOS | CAPITULO ISO 27001:2013 |
|---|---|
| Alcance del SGSI | 4.3 |
| Políticas y objetivos de seguridad de la información | 5.2 - 6.2 |
| Metodología de evaluación y tratamiento de riesgos | 6.1.2 |
| Declaración de aplicabilidad | 6.1.3.d |
| Plan de tratamiento del riesgo | 6.1.3.e - 6.2 |
| Informe sobre evaluación y tratamiento de riesgos | 8.2 - 8.3 |
| Definición de funciones y responsabilidades de seguridad | a.7.1.2 - a.13.2.4 |
| Inventario de activos | a.8.1.1 |
| Uso aceptable de los activos | a.8.1.3 |
| Política de control de acceso | a.9.1.1 |
| Procedimientos operativos para gestión de TI | a.12.1.1 |
| Principios de ingeniería para sistema seguro | a.14.2.5 |
| Política de seguridad para proveedores | a.15.1.1 |
| Procedimiento para gestión de incidentes | a.16.1.5 |
| Procedimientos de la continuidad del negocio | a.17.1.2 |
| Requisitos legales, normativos y contractuales | a.18.1.1 |
Listado extendo y necesidad:
Alcance del SGSI
Este documento es, habitualmente, bastante corto y se redacta al inicio de la implementación de ISO 27 001. En general,se trata de un documento independiente, aunque puede ser unificado con una política de seguridad de la información.
Políticas y objetivos de seguridad de la información
La política de seguridad de la información generalmente es un documento breve y de alto nivel que detalla el principal objetivo del SGSI. Los objetivos para el SGSI, en general, se presentan como un documento independiente, pero también pueden ser unificados en la política de seguridad de la información.
Metodología e informes de evaluación y tratamiento de riesgos
La metodología de evaluación y tratamiento del riesgo es, habitualmente, un documento de 4 a 5 páginas y debe ser redactado antes que se realice la evaluación y el tratamiento de riesgos. El informe de evaluación y tratamiento de riesgos debe ser redactado una vez que se realizó la evaluación y el tratamiento de riesgos, y allí se resumen todos los resultados.
Declaración de aplicabilidad
La Declaración de aplicabilidad (o DdA) se redacta en base a los resultados del tratamiento del riesgo; es un documento clave dentro del SGSI porque describe no sólo qué controles del Anexo A son aplicables, sino también cómo se implementarán y su estado actual.También deberiamos considerar a la Declaración de aplicabilidad como un documento que describe el perfil de seguridad de su empresa.
Plan de tratamiento del riesgo
Este es básicamente, un plan de acción sobre cómo implementar los diversos controles definidos por la DdA. Este documento se desarrolla en función de la Declaración de aplicabilidad y se utiliza y actualiza activamente a lo largo de toda la implementación del SGSI. A veces se puede fusionarcon el Plan del proyecto.
Funciones y responsabilidades de seguridad
El mejor método es describir estas funciones y responsabilidades en todas las políticas y procedimientos de la forma más precisa posible. Algunas empresas prefieren detallar las funciones y responsabilidades de seguridad en sus descripciones del trabajo. Las funciones y responsabilidades de seguridad para terceros se definen a través de contratos.
Inventario de activos
Si no se cuenta con un inventario de este tipo antes del proyecto ISO27001,la mejor forma de hacerlo es directamente a partir del resultado de la evaluación de riesgos ya que allí, de todos modos, se tienen que identificar todos los activos y sus propietarios.
Uso aceptable de los activos
Habitualmente, este documento se confecciona bajo la forma de una política y puede cubrir un amplio rango de temas porque la norma no define muy bien este control.
Política de control de acceso
En este documento se puede cubrir sólo la parte comercial de la aprobación de acceso a determinada información y sistemas, también se puede incluir el aspecto técnico del control de acceso. Además,podemos optar por definir reglas para acceso lógico únicamente o también para acceso físico. Este documento se debería redactar después de finalizado el proceso de evaluación y tratamiento de riesgos.
Procedimientos operativos para gestión de TI
Se puede crear este procedimiento como un único documento o como una serie de políticas y procedimientos.Normalmente, aquí podemos abarcar todas las áreas de las secciones A.12 y A.13 : gestión de cambios , servicios de terceros ,copias de seguridad, seguridad de red, códigos maliciosos, eliminación y destrucción, transferencia de información, supervisión del sistema ,etc.
Principios de ingeniería para sistemas seguros
Este es un nuevo control en ISO 27001:2013 y requiere que se documenten los principios de ingeniería de seguridad bajo la forma de un procedimiento o norma y que se defina cómo incorporar técnicas de seguridad en todas las capas de arquitectura: negocio, datos, aplicaciones y tecnología. Estos principios pueden incluir validación de datos de entrada, depuración, técnicas para autenticación, controles de sesión segura, etc.
Política de seguridad para proveedores
Este también es un control nuevo en ISO 27001:2013, y una política de este tipo puede abarcar un amplio rango de controles: cómo se realiza la selección de potenciales contratistas, cómo se ejecuta la evaluación de riesgos de un proveedor, qué cláusulas incluir en el contrato, cómo supervisar el cumplimiento de cláusulas contractuales de seguridad, cómo modificar el contrato, cómo cerrar el acceso una vez cancelado el contrato, etc.
Procedimiento para gestión de incidentes
Este es un procedimiento importante que define cómo se informan, clasifican y manejan las debilidades, eventos e incidentes de seguridad. Este procedimiento también define cómo aprender de los incidentes de seguridad de la información para que se puedan evitar en el futuro. Un procedimiento de esta clase también puede invocar al plan de continuidad del negocio si un incidente ha ocasionado una interrupción prolongada.
Procedimientos de la continuidad del negocio
Generalmente se trata de planes de continuidad del negocio, planes de respuesta ante incidentes, planes de recuperación para el sector comercial de la organización y planes de recuperación ante desastres (planes de recuperación para infraestructura de TI). Estos procedimientos se describen con mayor detalle en la norma ISO 22301, la principal norma internacional para continuidad del negocio.
Requisitos legales, normativos y contractuales
Este listado debe confeccionarse en la etapa más temprana posible del proyecto porque muchos documentos tendrán que ser desarrollados de acuerdo a estos datos. Este listado debe incluir no sólo las responsabilidades para el cumplimiento de determinados requerimientos, sino también los plazos.
Registros de capacitación, habilidades, experiencia y calificaciones
Es el departamento de recursos humanos el que generalmente se encarga de llevar estos registros. Si no, cualquier persona que habitualmente se encargue de los registros de los empleados debería ser quien realice este trabajo. Básicamente, sería suficiente con una carpeta en la que se encuentren todos los documentos.
Resultados de supervisión y medición
La forma más sencilla de describir cómo se miden los controles es a través de políticas y procedimientos que definan a cada control. En general, esta descripción puede ser realizada al final de cada documento, y cada descripción tiene que definir los tipos de ICD (indicadores clave de desempeño) que es necesario medir para cada control o grupo de controles.
Una vez que se establece este método de control, se debe realizar la medición en función de dicho método. Es importante reportar los resultados de esta medición de forma regular a las personas que están a cargo de la evaluación.
Programa de auditoría interna
El programa de auditoría interna no es más que un plan anual para realizar las auditorías, para las empresas más pequeñas, puede tratarse solamente de una auditoría, mientras que para las organizaciones más grandes puede ser una serie de, por ejemplo, 20 auditorías internas. Este programa debe definir quién realizará las auditorías, los métodos que se utilizarán, los criterios que se aplicarán, etc.
Resultados de las auditorías internas
Un auditor interno debe generar un informe de auditoría, que incluye los resultados de la auditoría (observaciones y medidas correctivas). Este informe debe ser confeccionado dentro de un par de días tras realizar la auditoría interna. En algunos casos, el auditor interno tendrá que verificar que todas las medidas correctivas se aplicaron según lo esperado.
Resultados de la revisión por parte de la dirección.
Estos registros se presentan, normalmente, bajo la forma de actas de reunión y deben incluir todo el material tratado durante la reunión de la dirección, como también todas las decisiones que se tomaron. Estas actas pueden ser en papel o en formato digital.
Resultados de acciones correctivas
Generalmente, estos son incluidos en los formularios para medidas correctivas (FMC). Sin embargo,es mucho mejor agregar estos registros en alguna aplicación que ya esté en uso en la organización, las medidas correctivas no son más que listas de actividades a realizar con responsabilidades, tareas y plazos bien definidos.
Registros sobre actividades de los usuarios, excepciones y eventos de seguridad
Habitualmente se llevan de dos formas: Primero en formato digital, generados en forma automática o semiautomática como registros de diversas TI y de otros sistemas, y segundo en papel, donde cada registro se hace manualmente.
Procedimiento para control de documentos.
En general, este es un procedimiento independiente, de dos o tres páginas de extensión. Si ya implementamos alguna otra norma como ISO9001, ISO14001, ISO22301 o similar, podemos utilizar el mismo procedimiento para todos estos sistemas de gestión. A veces es mejor redactar este procedimiento como el primer documento de un proyecto.
Controles para gestión de registros
La forma más sencilla es redactar el control de registros en cada política o procedimiento (u otro documento) que requiera la generación de un registro. Estos controles, normalmente son incluidos hacia el final de cada documento y se confeccionan bajo el formato de una tabla que detalla dónde se archiva el registro, quién tiene acceso, cómo se protege, por cuánto tiempo se archiva, etc.
Procedimiento para auditoría interna
Habitualmente este es un procedimiento independiente que puede tener entre dos y tres páginas y que tiene que ser redactado antes de que comience la auditoría interna. En cuanto al procedimiento para control de documentos, un procedimiento para auditoría interna puede ser utilizado para cualquier sistema de gestión.
Procedimiento para medidas correctivas
Este procedimiento no debería exceder las dos o tres páginas y puede ser confeccionado al final del proyecto de implementación, aunque es mejor hacerlo antes para que los empleados puedan familiarizarse con él.
| DOCUMENTOS | CAPITULO ISO 27001:2013 |
|---|---|
| Registros de capacitación, habilidades, experiencia y calificaciones | 7.2 |
| Resultados de supervisión y medición | 9.1 |
| Programa de auditoría interna | 9.2 |
| Resultados de las auditorías internas | 9.2 |
| Resultados de la revisión porpartede la dirección | 9.3 |
| Resultados de acciones correctivas | 8.2 - 8.3 |
| Definición de funciones y responsabilidades de seguridad | 10.1 |
| Registros sobre actividades de los usuarios, excepciones y eventos de seguridad | a.12.4.1 - a.12.4.3 |
Tras los registros y documentos indicados, no se marca una lista fija de documentos y registros que se puedan utilizar durante la implementación de ISO 27001:2013 , sino que estos son los documentos minimos ya que la norma permite que se agregue cualquier otro documento que pueda mejorar el nivel de seguridad de la información.
Documentos no obligatorios de uso frecuente ISO 270001:2013
| DOCUMENTOS | CAPITULO ISO 27001:2013 |
|---|---|
| Procedimiento para control de documentos | 7.5 |
| Controles para gestión de registros | 7.5 |
| Procedimiento para auditoría interna | 9.2 |
| Procedimiento para medidas correctivas | 10.1 |
| Política Trae tu propio dispositivo (BY OD) | a.6.2.1 |
| Política sobre dispositivos móviles y teletrabajo | a.6.2.1 |
| Política de clasificación de la información | a.8.2.1 / 2 / 3 |
| Política de claves | a.9.2.1 / 2 / 4, a.9.3.1, a.9.4.3 |
| Política de eliminación y destrucción | a.8.3.2, a.11.2.7 |
| Procedimiento para trabajo en áreas seguras | a.11.1.5 |
| Política de pantalla y escritorio limpio | a.11.2.9 |
| Política de gestión de cambio | a.12.1.2, a.14.2.4 |
| Política de creación de copias de seguridad | a.12.3.1 |
| Política de transferencia de la información | a.13.2.1 / 2 / 3 |
| Análisis del impacto en el negocio | a.17.1.1 |
| Plan de prueba y verificación | a.17.1.3 |
| Plan de mantenimiento y revisión | a.17.1.3 |
Con este listado de documentos / registros tanto obligatorios como complementarios, tendrimos recogidas las necesidades documentales referentes a la ISO 27001.
Sé lo que estais pensado, esta parte "compliance" no es tan bonita (Al menos para mí) como el resto de las partes de la seguridad, pero es igual o mas importante que estas otras. Mantener un gobierno de nuestra seguridad mediante un SGSI perfectamente adaptado a nuestros procesos de negocio es algo imprescindible, para que el resto de partes, engranen correctamente.
El "Cumplimiento" es solo un subconjunto del "gobierno" y no al revés ".
