Perspectiva del Consultor para la implementación de un SGSI

¿Es adecuada ISO 27001 para su organización?

En actual sociedad  de la información, los datos electrónicos son básicos en todo lo que hacemos. Estamos conectados gracias a Internet y al correo electrónico. Los ordenadores portátiles y las PDA´s han permitido una nueva modalidad de trabajo móvil. En resumen, la información se ha convertido en un activo crítico del negocio. La protección de este activo a través sólidas estrategias de seguridad de la información y de la aplicación de controles de seguridad de la información eficaces, es una de las responsabilidad clave de la Dirección. Además, debido a la cada vez mayor cantidad de legislación relativa a la elaboración y registro de la información, los Directores tienen la responsabilidad legal de garantizar la protección de los datos de su organización. 

La mayoría de las organizaciones ya han implantado en mayor o menor medida un sistema de gestión de seguridad de la información. Lograr el pleno cumplimiento de una norma reconocida en la industria, es una forma de demostrar a los clientes, tanto existentes como potenciales, así como a los accionistas, que su organización está comprometida con la seguridad de la información. ISO 27001 es la norma internacional para la gestión de la seguridad de la información, referencia ideal para la certificación. Los beneficios de la implantación de esta norma de Sistemas de Gestión de Seguridad de la Información deben ser evidentes ya desde las primeras etapas de su ejecución - y ofrecer un valor duradero a su organización. 

El objetivo de este artículo es ayudar a decidir a los Directores si un SGSI formal es apropiado para su organización. Su autor, Malcolm Armitage, un CISSP certificado (Profesional Certificado en Sistemas de Seguridad de la Información) con (ISC) ², es Director en SeQuality Gestión Solutions Ltd (www.sequality.co.uk) que cuenta con años de experiencia ayudando a las organizaciones a desarrollar e implantar este tipo de sistemas para lograr la certificación ISO 27001. Está redactado desde la perspectiva del consultor, para ser leído junto con la Guía de orientación de LRQA de Sistemas de Gestión de Seguridad de la Información. 

Beneficios de implantar un SGSI 

Los clientes han citado algunos de los beneficios asociados a la implantación de un SGSI formal y a la consecución de la certificación:   

  • Aumento de la base de clientes potenciales y de las oportunidades de negocio gracias a la satisfacción de demandas contractuales específicas. 
  • Protección del valor de las inversiones en IT. 
  • Reducción del Riesgo reputacional. 
  • Integración de Recuperación ante desastres/Continuidad de negocio. 
  • Formalización del inventario de activos. 
  • Reducción de los incidentes de seguridad. 
  • Incorporación de la mejora continua en los procesos de seguridad de la información. 
  • Asistencia de los auditores financieros externos y simplificación del proceso de auditoría.

Introducción a un SGSI

Lo primero es analizar que estamos intentando conseguir con la implantación de un SGSI. En los tiempos que corren, cada vez se recurre más a la información en formato electrónico (aunque no deben ser excluidos los documentos en papel). Retroceda en el tiempo e imagine cómo debería o podría su organización afrontar la pérdida o daño de su información clave, o si se ve comprometida su confidencialidad. 

Las organizaciones pequeñas que pueden utilizar un ordenador para la emisión de nóminas y de algunos comunicados, pueden no verse muy gravemente dañadas ante una pérdida de información, ya que para enviar las nóminas pueden recurrir a su creación manual sino se han perdido demasiadas direcciones importantes, por lo que el negocio podría continuar como de costumbre. Sin embargo, si una organización más grande sufre un incidente similar, una de las siguientes opciones podría ser desastrosa: 

  • Si la información deja de estar disponible – imagine que desaparece la información de los archivos o  de las bases de datos, y que no es posible su recuperación; o bien 
  • si ve comprometida la confidencialidad de los datos, por lo que las direcciones claves así como la información personal está a disposición de personas no autorizadas; o bien 
  • se corrompen los datos - como por ejemplo se ven afectados los datos de cuentas bancarias o la base de datos de contactos.  
Con ISO 27001, la organización tiene la opción de realizar diferentes actividades de aproximación, es decir, puede decidir si aplica ciertos controles a contratos específicos o a procesos concretos.  Es esencial conseguir el compromiso e implicación de la Dirección, no sólo para autorizar el gasto en este área, sino también para que el conjunto de la organización vea que la seguridad de información se toma muy en serio y que si las políticas no se cumplen se pueden tomar acciones disciplinarias.  Debe desarrollarse un plan de negocio pleno que contenga tanto beneficios financieros como cualitativos, lo cual puede ayudar a que la Alta Dirección acepte el Sistema. Una vez más, la iniciativa de implantación fracasará si no existe un alto grado de compromiso de la Dirección. Debe establecerse un equipo de proyecto compuesto por miembros de los departamentos clave, con el fin de asegurar la captación de toda la información pertinente y aplicable de toda la organización. Ésta debe ser una iniciativa empresarial, que no dependa únicamente del departamento de IT. 

Selección de Asesor 

Su organización puede optar por no involucrar a ningún asesor en el proceso de implantación y hacerlo sola, al fin y al cabo la seguridad de la información es una buena práctica empresarial y no una ciencia exacta. O bien puede optar por una combinación de ambos, y aplicar recursos internos y externos. Es importante tener en cuenta el coste de estos recursos internos para el negocio.  En cualquier caso existe un coste asociado, ya sean los honorarios del asesor externo o las horas cargadas al proyecto por el uso de recursos internos. Recuerde que los asesores externos tienen experiencia en la implantación de Sistemas, por lo que deben ser capaces de reducir la duración del proyecto.  En la elección de asesor externo, una referencia debe ser la opción preferida. Uno, elegir a un asesor altamente recomendado por un colega o socio de negocios, ya que conoce el enfoque y método de trabajo de su organización.  Si puede recurrir a la recomendación de un conocido, valore la opción de contactar con su Business Link local (http://www.businesslink.gov.uk/), ya que este tiene acceso a un registro nacional de asesores aprobados. La auditoría es independiente y se revisa anualmente. La Sociedad Británica de Informática (www.bcs.org) también dispone de un registro de asesores conocido como El Registro de Asesoramiento Profesional.  Otra opción es recurrir a organizaciones de auditoría, las cuales suelen disponer de un listado de los asesores con los que han trabajado sus clientes. Estas pueden proporcionarle un listado con dos o tres asesores para que usted considere.  Hay muchos factores a valorar en la elección de un asesor, como por ejemplo: ¿Disponen de habiliadades y cualificaciones reconocidas que puedan ser verificadas? - Existen varios esquemas que requieren que los asesores se examinen para demostrar un cierto nivel de competencia, y en algunos casos se requiere la acreditación CPD, como por ejemplo:
  • (ISC) ​​² - El Consorcio de Certificación Internacional de Sistemas de Seguridad de la Información es el organismo encargado de gestionar los exámenes para la Certificación de los Profesionales de Sistemas de Seguridad de la Información (CISSP). Disponen de una página web para la verificación de la cualificación de los asesor.
  • BCS - La Sociedad Británica de Informática es el organismo encargado de gestionar el examen ISEB (Consejo de Exámenes de Sistemas de la Información), examen CilSMP. Para más información, visitar su página web.
  • ¿Pueden proporcionar referencias de clientes sobre implantaciones/certificaciones realizadas con éxito? - Es importante que conozca la experiencia concreta de los asesores que van a trabajar en su proyecto de implementación, y no tan sólo las referencias de la Consultora para la que trabajan.
  • ¿Es capaz el asesor de demostrar una adecuada comprensión de su negocio y de sus requisitos específicos? - Los asesores deben de ser consientes de que cada negocio es diferente y que el proyecto no consiste simplemente en proceder tal y como han hecho en proyectos anteriores. Los asesores deben adaptar su enfoque y metodologías a las necesidades concretas de su organización, y no al contrario.

Si todos los factores anteriores se cumplen, debe hacerse una pregunta más, que es quizás la más importante ¿Me gusta esta persona? No tiene por qué entablar una relación personal y de confianza con su asesor, pero sí una profunda relación de trabajo. Recuerde que, desde su perspectiva, las organizaciones de consultoría serán tan buenas como lo sean los recursos que ofrecen para ayudarle en su proceso de implantación. 

Definición del Alcance y Listado de activos 

Valore cuidadosamente que aspectos desea cubrir con su SGSI y que resultados espera obtener de él. Es importante definir todas las actividades que se incluyen en el alcance del SGSI, ya que sí tiene pensado solicitar la certificación formal, éste será el punto de partida de su organismo de certificación.  

Sus clientes potenciales también pueden solicitar ver su alcance aprobado para garantizar que son capaces y están auditados para la satisfacción de sus necesidades concretas.  

Los objetivos también deben ser considerados y documentados. Piénselos cuidadosamente, ya que las normas incluyen el requisito de que el elemento de la mejora continua sea demostrable.  

Es crucial identificar e involucrar a las partes interesadas clave y montar un equipo adecuado para el proyecto. La implantación de un SGSI implica más aspectos que el departamento de IT, es importante que la organización en su conjunto valore los beneficios de la implantación y que entienda su impacto. El tamaño óptimo del grupo y las características del líder del proyecto, varían en función de cada organización. El equipo del proyecto debe ser capaz de dedicar el tiempo suficiente a la implantación del sistema. Generalmente es más eficaz un grupo pequeño de personas estrechamente involucradas, frente a un equipo más grande de que operan ocasionalmente y a tiempo parcial. Si opta por contratar un asesor, es importante que éste cuente con el apoyo de los recursos internos de la organización, ya que nadie entiende mejor el negocio que sus propios trabajadores. Cuando los consultores se van, el conocimiento irse con ellos.  

Como en cualquier proyecto nuevo, debe diseñar un plan de implantación realista. Si su organización recurre a la financiación de su Business Link local, este puede requerir ver previamente su plan. La complejidad del Plan dependerá del tamaño de la organización y del alcance del SGSI. Su organización puede optar por aplicar el SGSI tan sólo a algunas de sus actividades.   

Intente definir un Plan relativamente simple pero con el suficiente nivel de detalle como para recoger los hitos más importantes. Debe Incluir actividades de revisión del plan para poder realizar un seguimiento formal de su evolución. Actualice el plan en base a criterios regulares. Asegúrese de mantener informada a la Alta Dirección de los progresos realizados en el plan. 

Listado de activos: 

Es importante definir concretamente que aspectos necesitan protección. Puede resultar obvio, pero para poder saber qué elementos necesitan protección, el primer paso es saber qué elementos tiene la organización. Esto no resulta siempre tan evidente, ya que cada activo debe valorarse no sólo en términos de valor financiero, sino también en términos del impacto que una pérdida de este tipo tendría sobre la organización. Debe nombrar a los representantes de cada departamento o áreas clave. La elaboración de este listado es importante para recoger todos los activos importantes y obvios disponibles en la organización, como por ejemplo los electrónicos, pero no debe olvidarse del viejo módem analógico que utiliza a diario para pagar a sus proveedores, etc. Pero tenga cuidado, ya que los activos no tan importantes para la organización, deben excluirse de este listado.   

Recuerde que el objetivo es recoger todos los componentes clave que deben ser considerados en términos de seguridad de la información. Teniendo en cuenta la teoría "what if" en un activo concreto: ¿qué implicaciones tendría en términos de pérdida financiera o de reputación, si este activo deja de estar disponible o resulta dañado (análisis de impacto de negocio)?. Tenga en cuenta que algunos activos importantes para la organización, pueden estar ubicados fuera de sus instalaciones, como por ejemplo los ordenadores portátiles. 

Auditorías de Riesgos, Declaración de aplicabilidad y Auditoría del Sistema 

Una vez definida la lista de los activos, debe establecer una metodología de auditoría del riesgos aplicarla a estos activos. Hay herramientas disponibles para ayudar en el proceso de auditoría del riesgo, que pueden resultar de utilidad. Sea cual sea la metodología de auditoría del riesgo seleccionada, es importante que sea apropiada y reproducible en la organización.  

Debe desarrollarse un Plan de tratamiento del riesgo para gestionar y mitigar los riesgos identificados. Pueden seleccionarse dentro de la norma ISO 27001 – Anexo A, los controles apropiados para satisfacer los requisitos de auditoría y tratamiento del riesgo. 

Declaración de aplicabilidad - SoA:

SOA debe estar preparada para mostrar que controles han sido seleccionados dentro de la norma ISO 27001 y las razones para su selección, así como los controles actualmente implementados. En caso de no seleccionar ciertos controles por considerarse inapropiados para la organización, la justificación para su exclusión también debe tenerse en cuenta. 

Auditoría del Sistema:   

Al igual que en otros Sistemas de Gestión, una vez que el sistema está implantado y en funcionamiento,  debe ser auditado para confirmar que cumple con los requisitos de la norma y con las expectativas de la organización.   

Las auditorías deben incluir la conformidad técnica y el proceso de conformidad. Esta labor debe ser realizada por personal cualificado e independiente de la actividad objeto de la auditoría, pero con los conocimientos necesarios para garantizar una auditoría eficiente. Como siempre, cualquier debilidad debe ser abordada de manera controlada. 

Certificación 

La gran pregunta es, ¿debemos conseguir la certificación externa? 

En mi opinión, una vez que una organización ha pasado por un proceso de implantación de un Sistema de Gestión de Seguridad de la Información, el siguiente paso sería que un tercero independiente auditará la organización contra la norma ISO 27001. 

Alcanzar el pleno cumplimiento podría no ser apropiado para todas las organizaciones, pero es un mensaje claro y poderoso para clientes, partes interesadas y auditores financieros. Si su organización ha recurrido a un asesor para la implantación de su sistema, éste debe ser capaz de ayudarle con esta decisión. Sin duda, los beneficios superan los costes. 

He visto auditores financieros visitar una organización para realizar una auditoría en nombre de sus clientes, tal vez en cumplimiento de un requisito de SAS 70 o Sarbaines Oxley o como parte de una visita de obligado cumplimiento. Independientemente y sin duda alguna, la emisión de un certificado por una tercera parte independiente acreditada aporta luz sobre el sistema implementado por una organización. 

En la elección de organismo de certificación, debe tener en cuenta lo siguiente: 

  • Asegúrese de que este acreditado por UKAS u otro organismo de acreditación reconocido internacionalmente. 
  • Los Auditores poseen el enfoque, conocimiento y la experiencia adecuados en su industria. 
  • Tamaño y perfil del organismo de certificación – Las organizaciones operan en un escenario de economía global, por lo que existen beneficios en la elección de un organismo de certificación con presencia en todo el mundo. 
  • Auditores que ofrecen consejos prácticos y fomenta el desarrollo continuo, de acuerdo con las exigencias de la norma.