Elaboración de un Plan de Implementación de la ISO/IEC 27001:2017 para una empresa de servicios

Abstract

La información es hoy uno de los principales activos de las organizaciones: protegerla y garantizar su confidencialidad, integridad y disponibilidad es una tarea muy importante. Para una empresa que ofrece servicios de consultoría sobre (entre otro) la seguridad laboral, la medicina ocupacional y los cursos de formación para los empleados, la obtención de la certificación ISO 27001 no solo permite garantizar que se alcanza un nivel adecuado de seguridad de la información, sino es obligatoria por ley (en Italia) para trabajar con las administraciones públicas y también, aunque informalmente, con los bancos. Reduciendo el alcance de la certificación al software desarrollado internamente y utilizado por consultores (una aplicación Windows y dos web App), y partiendo de una situación en la que parte de los procedimientos son el resultado de la experiencia y no están codificados (por lo tanto ya presentes, al menos parcialmente, aunque no siempre aplicados o controlados) se ha conseguido establecer un plan de acción que le permita estar lista para la certificación en menos de un año. El trabajo permitió aumentar sensiblemente el nivel de madurez del cumplimiento de los requisitos de ISO/IEC 27001 e ISO/IEC 27002 pasando de una situación crítica a otra sin duda satisfactoria, que sin embargo debe ser vista como un punto de partida y no de llegada: hay que mejorar los controles menos maduros, realizar revisiones y auditorías periódicas, buscar ajustamientos contra nuevas amenazas y, posiblemente, ampliar el alcance del sistema gestión de seguridad de la información.

Information is today one of the main assets of organizations: protecting it and guaranteeing its confidentiality, integrity and availability is a very important task. For a company that offers consulting services on (among others) occupational safety, occupational medicine and training courses for employees, obtaining ISO 27001 certification not only ensures that is achieved an adequate level of safety in the information, but it is mandatory by law (in Italy) to work with public administrations and also, albeit informally, with banks. Reducing the scope of the certification to the software developed internally and used by consultants (one Windows application and two web Apps), and starting from a situation in which part of the procedures are the result of experience and are not codified (therefore present, at least partially, although not always applied or controlled) it has been possible to establish an action plan that allows to be ready for certification in less than a year. The work made possible to significantly increase the maturity level of compliance with the requirements of ISO/IEC 27001 and ISO/IEC 27002, moving from a critical situation to another undoubtedly satisfactory one, which, however, should be seen as a starting point and not an arrival point: it is necessary to improve less mature controls, carry out periodic reviews and audits, to seek adjustments against new threats and, possibly, to expand the scope of the information security management system.

La informació és avui un dels principals actius de les organitzacions: protegir-la i garantir la seva confidencialitat, integritat i disponibilitat és una tasca molt important. Per a una empresa que ofereix serveis de consultoria sobre (entre un altre) la seguretat laboral, la medicina ocupacional i els cursos de formació per als empleats, l'obtenció de la certificació ISO 27001 no sols permet garantir que s'aconsegueix un nivell adequat de seguretat de la informació, si no és obligatòria per llei (a Itàlia) per a treballar amb les administracions públiques i també, encara que informalment, amb els bancs. Reduint l'abast de la certificació al programari desenvolupat internament i utilitzat per consultors (una aplicació Windows i dues webs App), i partint d'una situació en la qual part dels procediments són el resultat de l'experiència i no estan codificats (per tant, ja presents, almenys parcialment, encara que no sempre aplicats o controlats) s'ha aconseguit establir un pla d'acció que li permeti estar llesta per a la certificació en menys d'un any. El treball va permetre augmentar sensiblement el nivell de maduresa del compliment dels requisits d'ISO/IEC 27001 i ISO/IEC 27002 passant d'una situació crítica a una altra sens dubte satisfactòria, que, no obstant això, ha de ser vesteixi com un punt de partida i no d'arribada: cal millorar els controls menys madurs, realitzar revisions i auditories periòdiques, buscar ajustaments contra noves amenaces i, possiblement, ampliar l'abast del sistema gestió de seguretat de la informació.