Ciclo PDCA de gestión de la ISO 27001

Debido a la creciente necesidad de implantar medidas eficaces de ciberseguridad en las organizaciones como consecuencia de numerosos ataques de seguridad existentes, la introducción de las normas ISO en las compañías es una realidad. Las normas ISO son estándares desarrollados y publicados por la Organización Internacional de Normalización (ISO). El objetivo principal de este tipo de normas es regularizar procesos específicos sobre ámbitos tales como la seguridad de la Información.

Entre estas normas ISO, la llamada familia ISO 27000 es una de las más destacadas. Esta es una serie de normas que detallan las pautas y los requisitos para implementar un Sistema de Gestión de Seguridad de la Información (SGSI).

Dentro de esta familia, la principal y certificable es la ISO 27001. Esta norma en concreto detalla y proporciona los requisitos para el establecimiento, implantación, mantenimiento y mejora continua de un SGSI.

Entrando en el propio contenido de la norma, la primera parte de la misma está compuesta por apartados relacionados con el tema tratado en este artículo. Es decir, con el conocido ciclo de Deming o PDCA. Estos apartados son los siguientes:

• Contexto de la organización
• Liderazgo
• Planificación
• Soporte
• Operación
• Evaluación del desempeño
• Mejora

El ciclo PDCA obtiene este nombre debido a las siglas: Plan-Do-Check-Act. Su metodología se basa en la mejora continua, ya que un proceso no podrá ser nunca implantado al 100% de efectividad y precisión. Las palabras que dan nombre a este ciclo comprenden las 4 fases que se distinguen en ella.

El objetivo principal de esta fase es establecer el Sistema de Gestión de Seguridad de la Información. Concretamente, se establecerán en este paso los objetivos, procedimientos y políticas relacionadas con la Seguridad de la Información, y con la visión puesta en mejorar esta última.

Asimismo, se deberán definir también aspectos tales como el alcance del Sistema de Gestión, los roles y sus funciones y responsabilidades en el proyecto.

Son 4 los apartados de la norma ISO 27001 los que forman parte de esta primera fase de planificación:

• Contexto de la organización
• Liderazgo
• Planificación
• Soporte

El apartado de contexto sirve para definir los primeros aspectos del Sistema de Gestión tales como el propio contexto abarcando todo lo que rodea y afecta a la organización, las partes interesadas y el alcance del Sistema de Gestión que se implantará.

En cuanto al punto de liderazgo, este apartado está relacionado con que la alta dirección muestre liderazgo y compromiso con el proceso de implantación y mantenimiento del Sistema de Gestión. Para ello, se definen una política de seguridad que deberá ser conocida y aplicada por todos los implicados y los roles y responsabilidades de los mismos.

La planificación, que es el nombre del siguiente apartado de la norma, consiste, principalmente, en definir los objetivos de seguridad de la Información que establecerá la organización. Estos objetivos deberán de ser coherentes con la política de seguridad desarrollada, medibles, comunicados y actualizados, como la propia norma indica.

Finalmente, también se contempla en esta fase todo lo relacionado con el soporte. Aquí se distinguen diferentes tareas o puntos a tener en cuenta. Por un lado, está la determinación de los recursos que serán imprescindibles para la implantación del sistema de Gestión, y el compromiso con el deber de asegurar la disponibilidad de ellos. Por otro lado, se busca asegurar la competencia y concienciación, llevando a cabo para ello diferentes acciones de formación en seguridad. Asimismo, se han de tener en cuenta procedimientos para una correcta comunicación en la compañía. Para terminar con este apartado, la organización debe considerar la gestión de la documentación del sistema.

Se implementará en este punto el SGSI establecido. Se llevarán a cabo los procedimientos establecidos en la anterior fase y se implantarán los controles y operaciones necesarios con el fin de gestionar la información de la organización de una manera segura y eficaz.

En cuanto a la correspondencia de esta fase del ciclo con la norma ISO 27001, es el apartado 8 llamado Operación el que aborda este punto. Para ello, como se ha comentado anteriormente, se pondrá en marcha e implantará el Sistema de Gestión definido.

Destacan en este apartado la realización del inventario de los activos de información de la compañía, el análisis de riesgos para comprender el estado de la misma, y la gestión de riesgos llevada a cabo mediante los diferentes Planes de Tratamiento de Riesgos.

En esta fase que corresponde a la letra “C” del ciclo PDCA se evaluará y revisará la efectividad del Sistema de Gestión de Seguridad de la Información planificado e implantado en anteriores fases. Para ello, se comprobará que se cumplen aspectos tales como la política de seguridad, los objetivos o los diferentes procedimientos implementados.

Cabe destacar que estas evaluaciones y revisiones conviene que se lleven a cabo de manera periódica con el fin de asegurar la correcta implantación y funcionamiento de los procedimientos y acciones realizados para establecer e implementar el SGSI.

Esta fase del ciclo Deming se podría decir que es la equivalente al apartado 9 de la norma ISO 27001, el apartado llamado Evaluación del Desempeño. En este punto de la norma se determinará qué necesita seguimiento y medición, así como los métodos necesarios para asegurar resultados válidos. Para el seguimiento, medición, análisis y evaluación del SGSI, la organización deberá apoyarse en datos lo suficientemente maduros para obtener valores adecuados que sirvan de referente.

Para ello, se establecerán métricas e indicadores para la medición de la eficacia del SGSI. Además, también se crearán procedimientos para realizar la auditoría interna y la revisión por Dirección que serán llevados a cabo antes de proceder con la auditoría externa de certificación.

En esta última fase del ciclo se mantendrá y mejorará el SGSI. Es decir, se llevarán a cabo acciones y planes tanto correctivos como preventivos para mejorar los resultados obtenidos e implementar y conseguir así una mejora continua del Sistema de Gestión de la Seguridad de la Información.

Esta última fase corresponde al punto 10 llamado Mejora de la norma tratada en este artículo. A su vez este apartado se divide en dos partes. Por un lado, se realiza en este punto la gestión de las no conformidades detectadas en el sistema, tanto a través de auditorías internas/externas como a través de empleados de la compañía que en la realización de sus funciones detecten posibles deficiencias o incumplimientos.

Por otro lado, se deberá llevar a cabo un proceso de mejora continua. Es decir, un proceso de mantenimiento del SGSI continuo, en el que se buscará mejorar la eficacia y eficiencia del SGSI implantado por la organización.

En GlobalSuite Solutions tenemos un área de Consultoría que podrá ayudarle a implementar un SGSI basado en la norma ISO 27001, con amplia experiencia en este tipo de proyectos desde hace más de 10 años en compañías de todo tipo de sectores y negocios.

Contamos con el software GlobalSuite® que facilita la automatización y gestión de la norma ISO 27001 para optimizar su SGSI. La versatilidad del software hace que cumpla con los requerimientos más complejos de una forma asequible e intuitiva ayudando a obtener la certificación de la norma ISO 27001 y por lo tanto mejorando la ciberseguridad de la empresa.