👉 Esta actividad te ayuda a cumplir los siguientes requisitos:
ISO 27001 en su versión 2013: 7.2, 7.3, 7.5.1, 7.5.2 y 7.5.3
ISO 27001 en su versión 2022: 7.2, 7.3, 7.5.1, 7.5.2, 7.5.3
Y los siguientes controles:
ISO 27001 en su versión 2013: A.5.1.2, A.6.1.3, A.6.1.4, A.6.1.5, A.6.2.1, A.6.2.2, A.7.1.1, A.7.1.2, A.7.2.2, A.7.2.3, A.7.3.1, A.8.3.2, A.8.3.3, A.9.1.1, A.9.2.1, A.9.2.2, A.9.2.3, A.9.2.5, A.9.3.1, A.9.4.1, A.9.4.2, A.9.4.3, A.10.1.1, A.10.1.2, Dominio A.11, A.12.1.3, A.12.1.4, A.12.2.1, A.12.3.1, A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4, A.12.5.1, A.12.6.1, A.12.7.1, A.13.1.1, A.13.1.2, A.13.1.3, A.13.2.3, A.13.2.4, A.14.1.1, A.14.1.3, A.14.2.5, A.14.2.7, A.14.2.8, A.14.2.9, A.14.3.1, A.15.1.2, A.15.2.2, A.16.1.7, A.17.1.3, A.18.1.2, A.18.1.3, A.18.1.5, A.18.2.2 y A.18.2.3
ISO 27001 en su versión 2022: A.5.1, A.5.4, A.5.5, A.5.6, A.5.8, A.5.10, A.5.13, A.5.14, A.5.16, A.5.17, A.5.18, A.5.20, A.5.22, A.5.28, A.5.29, A.5.31, A.5.32, A.5.33, A.5.36, A.6.1, A.6.2, A.6.6, A.6.7, A.7.10, A.8.1, A.8.5, A.8.8, A.8.15, A.8.17, A.8.19, A.8.20, A.8.21, A.8.22, A.8.26, A.8.29, A.8.30, A.8.31, A.8.34
¿Para qué me sirve esta actividad? 📚
Esta actividad te ayudará a verificar y recolectar las evidencias de implementación de los requisitos y controles de ISO 27001 y su anexo A (ISO 27002).
💡 El objetivo principal de esta actividad es que conozcas cómo conseguir la evidencia, quiénes son los responsables, cuáles son los sistemas involucrados, etcétera. Esto te permitirá estar preparado para mostrar las evidencias adecuadas y solicitadas por un auditor interno o externo.
¿Qué tengo que hacer? 🚀
Es importante recordar que una evidencia, a nivel ISO 27001, puede tener muchas formas.
Puede ser un documento, una sección dentro de un documento, un correo electrónico, un registro, una configuración dentro de un sistema, un certificado, etcétera. En general el cumplimiento normativo se da con la sumatoria de todas las evidencias, en sus diferentes formatos.
Ahora bien, para lograr esta actividad, te sugerimos realizar los siguientes pasos:
Obtén visibilidad del avance de implementación de tu programa de seguridad. Al conocer cuáles son los controles que ya se encuentran implementados, será mucho más fácil obtener la evidencia pertinente.
Identifica la evidencia que necesitas. Para asegurar que los controles fueron implementados y funcionan correctamente, debes asegurarte que la evidencia que generes sea la adecuada para demostrar el cumplimiento.
Dentro del template que te proporcionamos para esta actividad, te dejamos recomendaciones y ejemplos de la evidencia que deberías tener, para cumplir con los requisitos normativos 🤓.
Recolecta la evidencia. Recuerda que la evidencia puede tener muchos formatos, y para esta actividad puedes recolectarla por medio de capturas de pantalla, imágenes, enlaces a documentos, o con los recursos que te parezcan más convenientes, y que te permitan demostrar la implementación de los controles de seguridad.
El objetivo de este ejercicio de recolección de evidencias, como bien lo comentamos al inicio de este artículo, es el de preparar a tu equipo a familiarizarse con el proceso; es decir, comenzando con la búsqueda de la evidencia, cómo encontrarla, cómo mostrarla, qué formato tiene, etcétera.
💡 Solo es importante recordar que durante una auditoría, se puede requerir mostrar la evidencia “en vivo”. Por ejemplo; un auditor puede solicitarte que ingreses a una herramienta para revisar la segregación de roles y permisos. Para ello, la persona a cargo deberá saber cómo evidenciar esto, y es ahí donde este ejercicio toma gran valor, ya que al recolectar la captura (o el recurso usado) para esta actividad, y colocarla dentro del documento, el responsable ya sabe cómo y dónde obtener la información solicitada.
Y esta recomendación, nos lleva al siguiente paso:
Involucra a todas las áreas necesarias. Es muy importante que todos los colaboradores involucrados en el programa de seguridad, sobre todo aquellos que participan en auditorías, se encuentren capacitados y concientizados sobre la generación de las evidencias, y cómo mostrarlas. Para la realización de esta actividad, te sugerimos apoyarte de otras áreas y colaboradores que puedan apoyarte con la recolección de evidencias.
A continuación te enlistamos ejemplos de algunas de las evidencias más comunes:
Aprobación y comunicación de documentos.
Las evidencias de aprobación y comunicación que te solicitamos cargar para dar por terminada una actividad dentro de la plataforma, ¡te ayudan a estar en cumplimiento normativo!
Como bien sabrás, estas evidencias pueden ser correos electrónicos, mensajes enviados en canales formales de la empresa, minutas de comité, aprobaciones o firmas digitales por medio de herramientas, como por ejemplo la aprobación de documentos de Google, DocuSign, etcétera.
Configuración y uso de una VPN.
Si dentro de tus políticas de seguridad defines, por ejemplo, que solo los desarrolladores harán uso de una VPN para sus funciones de trabajo, debes poder demostrar esto durante una auditoría.
Para esto, se te puede requerir que alguno de tus desarrolladores muestre “en vivo” desde su pantalla, que cuenta con la VPN instalada.
Solicitud de alta, baja o cambio de permisos para un usuario.
Si dentro de tus procedimientos defines que este tipo de solicitudes se debe realizar a través de un correo electrónico, debes poder mostrar alguno de esos correos durante una auditoría, y la gestión que se le dio.
Reporte de incidentes de seguridad.
Para ejemplificar esto, digamos que tu empresa cuenta con un formulario donde, tanto colaboradores, como clientes y proveedores con acceso a tu sistema, pueden reportar cualquier evento de seguridad, anomalía o actividad sospechosa.
Entonces, siguiendo este ejemplo, la evidencia que debes mostrar será el formulario, y el registro de los reportes generados por tus colaboradores, clientes y/o proveedores.
Escritorios virtuales limpios.
Esto se puede evidenciar mostrando las pantallas de los equipos, y que éstos estén libres de documentos, accesos directos, archivos o cualquier elemento con información confidencial.
Colaboradores capacitados y aptos para sus puestos de trabajo.
Por ejemplo, si en tus procedimientos de selección de personal indicas que se deben realizar pruebas de conocimiento para garantizar que el candidato cumple con los requisitos del puesto, debes poder mostrar los resultados de dichas pruebas.
Si indicas que se validan las referencias personales de los candidatos, debes poder demostrar que realizaste esas acciones. Puede ser por medio de correos, llamadas telefónicas o mensajes.
Si indicas que los candidatos seleccionados deben contar con un título profesional y un nivel de experiencia específico, debes poder mostrar los títulos, certificados, o cualquier documento que te permita comprobar que es adecuado para el cargo.
Dentro de nuestro template podrás encontrar más ejemplos y recomendaciones de evidencias que te ayudarán a demostrar el cumplimiento de tu programa de seguridad 🌟.
💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:
Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).
Recomendaciones ✅
Involucra a todos los colaboradores que participarán en la auditoría para que puedan prepararse para mostrar cualquier evidencia solicitada.
Termina esta actividad antes de ir a la auditoría interna, para disminuir la identificación de hallazgos.
Recuerda que debes estar preparado durante las auditorías para poder mostrar evidencia “en vivo” (ingresar a una herramienta, mostrar alguna configuración, etcétera).
Adicional a las evidencias que te solicitamos dentro del template, los documentos, y toda la información que te proporciona nuestra plataforma, verifica si existen otras evidencias que te ayuden a demostrar la implementación y cumplimiento de tu programa de seguridad.
¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.