Tal vez haya escuchado que la norma ISO 27001 requiere de muchos procedimientos, pero esto no es del todo verdadero. En realidad, la norma requiere de sólo cuatro procedimientos documentados: uno para el control de los documentos, uno para las auditorías internas de SGSI, uno para las medidas correctivas y uno para las medidas preventivas. El término “documentado” significa que “el procedimiento está establecido, documentado, implementado y es sostenido” (ISO/IEC 27001, 4.3.1 Nota 1).
Nota: en este artículo del blog no escribiré sobre otros documentos obligatorios como el Alcance del SGSI, la Política de SGSI, la Metodología de evaluación de riesgos, el Informe sobre la evaluación de riesgos, la Declaración de aplicabilidad, el Plan de tratamiento del riesgo, etc.; aquí me centraré solamente en los procedimientos.
El procedimiento para el control de la documentación (procedimiento de gestión de documentación) debe definir quién es el responsable de aprobar y verificar los documentos, cómo identificar los cambios y el estado de revisión, cómo distribuir los documentos, etc. En otras palabras, este procedimiento debe definir cómo funcionará el flujo vital (el flujo de documentos) de la organización.
El procedimiento para auditorías internas tiene que definir las responsabilidades sobre la planificación y realización de auditorías, cómo se informan los resultados y cómo se llevan los registros. Esto significa que las reglas principales para realizar la auditoría deben estar establecidas.
El procedimiento para medidas correctivas debe definir cómo se identifican los incumplimientos y sus causas, cómo se definen e implementan las acciones necesarias, qué registros se llevan y cómo se realiza la revisión de las medidas. El objetivo de este procedimiento es definir cómo cada medida correctiva debería eliminar la causa del incumplimiento para que no ocurra nuevamente.
El procedimiento para las medidas preventivas es casi el mismo que el procedimiento para las medidas correctivas; la única diferencia es que el primero tiene como objetivo eliminar la causa del incumplimiento para que directamente no se produzca. Debido a sus semejanzas, estos dos procedimientos generalmente se unifican en uno solo.
Pero, ¿por qué la norma ISO 27001 requiere procedimientos documentados que no están relacionados con la seguridad de la información mientras que los procedimientos de seguridad no son obligatorios?
La respuesta está en la evaluación de riesgos: la norma ISO 27001 sí le obliga a realizar la evaluación de riesgos, y cuando esta evaluación identifica determinados riesgos inaceptables, la norma requiere la implementación de un control de su Anexo A que disminuirá el o los riesgos. El control puede ser técnico (por ejemplo, un software antivirus para disminuir el riesgo de ataque de un software malicioso), pero también puede ser organizacional: implementar una política o procedimiento (por ejemplo, implementar un procedimiento de respaldo). Por lo tanto, los procedimientos se convierten en obligatorios sólo si la evaluación de riesgos identifica riesgos inaceptables.
Sin embargo, es importante mencionar que, a diferencia de los cuatro procedimientos obligatorios que deben ser documentados, los procedimientos que surgen de los controles del Anexo A no tienen que ser documentados. Depende de la organización evaluar si un procedimiento de este tipo debe documentarse o no.
Puede considerar a los cuatro procedimientos obligatorios como los pilares de su sistema de gestión (junto con la política de seguridad); una vez que están firmemente establecidos, puede comenzar a levantar las paredes de su casa. Esto es evidente cuando usted observa otros sistemas de gestión (los mismos cuatro procedimientos también allí son obligatorios) de las normas ISO 9001 (sistemas de gestión de calidad), ISO 14001 (sistemas de gestión del medio ambiente) y BS 25999-2 (sistemas de continuidad del negocio). De esta forma, usted puede utilizar esos procedimientos como la relación principal entre los diferentes sistemas de gestión si desea desarrollar el denominado “sistema integrado de gestión”.
Fuente: Blog ISO 27001 Standard
