Aplicación práctica de la norma ISO 27001

Actividad No. 1: Aplicación práctica de la norma ISO 27001

1. Desarrollo de la actividad

• Documentar objetivo y alcance

Un poco de contexto:

Esta empresa con sede principal en Ecuador y presencia en 6 países más de la región, brinda soluciones tecnológicas integrales de alta calidad a las empresas. Uno de estos servicios es el de facturación electrónica por medio de un software que se puede consultar desde la nube, servicio que está creciendo de forma rápida y que hace parte de la estrategia organizacional para ser más reconocidos en la región.

Para poder prestar este servicio de manera legal en Colombia, se deben cumplir varios parámetros de la Dirección de Impuestos y Aduanas Nacionales (DIAN), organismo que luego de verificar la conformidad, autoriza a la empresa por medio de una resolución. Todo lo anterior está amparado en el decreto 2242 de 2015.

Este mismo decreto indica que los proveedores tecnológicos de facturación electrónica aprobados, tienen un plazo máximo de 2 años para certificarse en ISO 27001:2013, desde la fecha de su aprobación. En caso de no realizar este proceso, la organización no podrá continuar prestando este servicio.

Misión de la empresa:

Desarrollamos soluciones tecnológicas integrales comprometidas en apoyar el alcance de sus objetivos, haciendo su trabajo más eficaz y confiable.

Visión:

Ser la empresa tecnológica referente en la transformación digital, innovadora y líder en nuestro sector. Seguir ofreciendo soluciones globales, servicios informáticos y generación de valor a todas las empresas.

Objetivo:

Implementar un sistema de gestión de seguridad de la información que cumpla los requerimientos de la norma internacional ISO/IEC 27001:2013, generando confianza en los clientes de nuestro servicio de facturación electrónica en Colombia y a la vez cumplir con los requisitos nacionales para la prestación de este servicio, garantizando la adopción de controles efectivos que apoyen el logro de la planeación estratégica de la organización.

Alcance del sistema:

Asegurar la información relativa al proceso de Facturación Electrónica, así como los procesos y sistemas que almacenan, manejan y soportan la información, mediante el mantenimiento de la integridad, disponibilidad y confidencialidad de la misma.

Es necesario señalar que la empresa efectúa operaciones en Bogotá y Medellín. Sin embargo, el alcance del sistema únicamente tendrá en cuenta las actividades desarrolladas en Bogotá, debido a que en los centros de información de allí se realizan las operaciones de facturación electrónica para todo el país.

ACCIONES CORRECTIVAS

Norma Relacionada: ISO 27001:2013

ACCIÓN CORRECTIVA No: 1

Descripción de la(s) deficiencia(s) detectada(s) Requisito(s) ISO 27001:2013

1. No se definen las capacidades necesarias para desempeñar los roles de la organización, concretamente el de responsable de seguridad. 7.2

2. Por otro lado, tampoco se identifican los activos, ni por tanto se ha designado un responsable que se ocupe de su protección. 5.3

A.8.1.1

A.8.1.2

Corrección Evidencia de Implementación

1. Es necesario definir los aspectos específicos en los que se evidenciaron las deficiencias y realizar un plan de capacitación para fortalecer los conocimientos, habilidades y competencias necesarias del personal con respecto a las funciones específicas del rol que desempeña en la organización. Actas o certificados de capacitación en los aspectos identificados con sus respectivas evaluaciones

2. Realizar el inventario de activos de la organización teniendo en cuenta los siguientes aspectos:

- Activos de información identificados para cada uno de los procesos relacionados con el alcance definido para el sistema.

- Amenazas, vulnerabilidades y riesgos relacionados con los activos identificados.

- Responsables o propietario de cada uno de los activos

- Actas de designación de responsable para cada uno de los activos (Firmada) Inventario de activos de información

Actas de designación de responsables

Definición de causas

• Definición incorrecta de los conocimientos, habilidades y competencias necesarias para cada uno de los perfiles del personal relacionado con el SGSI.

• La organización no tiene claridad de los requerimientos específicos de la norma ISO 27001:2013 y debido a esto no cuenta con una lista de tareas mínimas a realizar.

• No son claras las responsabilidades ni las funciones del personal que tiene a su cargo el sistema de seguridad de la información.

Acción correctiva Evidencia de Implementación

a. Definición de la educación, formación, experiencia y competencias necesarias para cada uno de los roles relacionados. También es necesario realizar la revisión de las funciones del personal y socializarlas para que estas se cumplan adecuadamente.

b. Revisión y actualización del procedimiento de selección de personal, con el fin de seleccionar personal idóneo que conozca los requerimientos mínimos del SGSI según la normatividad aplicable. a. Perfiles de cargo con educación, formación, experiencia, competencias, funciones y responsabilidades definidas para cada rol relacionado con la seguridad de la información.

b. Actas de socialización de las funciones relativas a cada perfil

c. Procedimiento de selección de personal ajustado, especificando las necesidades de los perfiles para la contratación del personal.

ACCIÓN CORRECTIVA No: 2

Descripción de la(s) deficiencia(s) detectada(s) Requisito(s) ISO 27001:2013

No existe un programa de capacitación para los grupos técnicos respecto a los procedimientos que deben seguir, ni se realizan cursos

...