Guía LRQA para la implementación de un SGSI

IMG Cabecera - Cómo implementar su SGSI

¿Porqué es beneficiosa ISO 27001 para su organización?

ISO 27001 tiene como objetivo asegurar que las organizaciones tienen implantados los controles adecuados sobre confidencialidad, integridad y disponibilidad de la información, para proteger la información de las partes interesadas; incluyendo clientes, empleados, socios comerciales y la sociedad en general. 

El cumplimiento de ISO 27001 puede ayudar a las organizaciones a demostrar a sus clientes y a sus socios comerciales la seriedad con la que abordan la seguridad de información.  La certificación acreditada en la norma ISO 27001, es una potente demostración del compromiso de la organización en la gestión de la seguridad de la información. 

Este artículo puede servir de guía práctica y de asesoramiento para el responsable dentro de una organización de la obtención de la certificación en un SGSI. Puede comprar una copia de la Norma y de las guías relacionadas en LRQAstandards.com (esté enlace le lleva a una página web externa).

Introducción a la implementación de un SGSI

Introducción

En la publicación de UK FSA (Financial Services Authority) “Sistemas de operaciones de riesgo y controles" (CP 142, página 57), se hace  referencia a la norma ISO 27001 en el contexto de "Una empresa debe tener en cuenta la adecuación de los sistemas y controles que se utilizan para proteger el tratamiento y la seguridad de su información”. 

Además de la habitual necesidad comercial de proteger la información confidencial, como por ejemplo información contractual y de precios, derechos de propiedad intelectual, etc…; recientes acontecimientos en el ámbito regulatorio y de gobierno corporativo (Sarbanes-Oxley, COBIT, etc) han provocado un endurecimiento de los requisitos para garantizar la integridad de la información corporativa y financiera de las organizaciones. 

La implementación de un Sistema de Gestión de Seguridad de la Información (SGSI) garantiza el tratamiento de los problemas de seguridad de la información de acuerdo con las mejores prácticas actualmente aceptadas. Tener su Sistema de Gestión certificado bajo la norma ISO 27001 por un organismo de certificación de tercera parte acreditado, como LRQA, le ofrece una visión independiente y objetiva de la adecuación y eficacia de su SGSI y demuestra al exterior su capacidad. 

Directrices de la OCDE 

Las Directrices de la OCDE (Organización para la Cooperación y el Desarrollo Económico) tienen como objetivo crear conciencia sobre el riesgo de los sistemas de información y de las redes; de las políticas, prácticas, medidas y procedimientos disponibles para hacer frente a esos riesgos; y de la necesidad de su adopción y aplicación.  

Los nueve Principios de las directrices se aplican en todos los niveles políticos y operativos que rigen la seguridad de los Sistemas de Información y de las Redes. 

La norma ISO 27001 proporciona un marco de SGSI para la implementación de estos principios mediante el Modelo “PDCA” (Plan - Do - Check - Act ') y los procesos de Sistemas de Gestión: 

  • Concienciación - Los participantes deben ser conscientes de la necesidad de la seguridad en los sistemas de información y en las redes, y de cómo pueden ayudar a mejorar la seguridad. 
  • Responsabilidad - Todos los participantes son responsables de la seguridad de los sistemas de información y de las redes. 
  • Respuesta - Los participantes deben actuar de manera oportuna y cooperativa para prevenir, detectar y responder a los incidentes de seguridad que se produzcan. 
  • Evaluación del Riesgo -  Los participantes deben realizar auditorías de riesgos.
  • Diseño e Implementación de la Seguridad - Los participantes deben incorporar la seguridad como un elemento esencial de los sistemas de información y de las redes. 
  • Gestión de la Seguridad - Los participantes deberán adoptar un enfoque integral para la gestión de seguridad. 
  • Re-evaluación - Los participantes deben revisar y re-evaluar la seguridad de los sistemas de información y de las redes, además de introducir las modificaciones pertinentes en las políticas, prácticas, medidas y procedimientos de seguridad.

Cómo comenzar

Cómo comenzar

Cualquiera que sea el estado actual de su organización, el punto de partida para la implementación de un SGSI es obtener el compromiso de gestión y apoyo. Lo ideal sería que la motivación y la dirección proviniesen de la Alta Dirección, pero el éxito se alcanzará más fácilmente si al menos la Dirección comprender las razones de la implementación de un SGSI y apoya por completo su diseño y operación. 

Planificación para el éxito

Como en cualquier proyecto, el éxito es más probable si desarrolla un plan realista y con sentido, mide los resultados según lo planeado,  y a continuación lo modifica en base a circunstancias imprevistas. 

El plan debe reconocer que el desarrollo del Sistema de Gestión requerirá tiempo y esfuerzo, y debe proporcionar los recursos adecuados. Generalmente la responsabilidad de la seguridad de la información suele recaer en el Director de IT, pero la seguridad de la información tiene un impacto más amplio que el de los Sistemas de IT, al incluir  a los trabajadores, la seguridad, la seguridad física y el cumplimiento legal. 

Como la norma  ISO 27001 está alineada con ISO 9001:2008, si su organización tiene ya un Sistema de Gestión de Calidad implementado, debe aprovechar esta experiencia como base para el SGSI. 

Asociaciones comerciales y organizaciones que ya hayan alcanzado la certificación, pueden ser una buena fuente de información sobre cómo comenzar y para comparar experiencias. Es probable que desee asistir a alguno de los cursos de formación que organiza LRQA, donde podrá debatir sobre problemas de seguridad de la información con el tutor y otros asistentes.

Comprensión de la Norma

Comprensión de la Norma

El primer paso es familiarizarse con la norma, entender los criterios que hay que cumplir, la estructura de la norma y, por tanto, la estructura de su SGSI y la documentación asociada. 

La norma consta de dos partes: 

  • ISO 27002 no es una norma en sí, sino un código de prácticas que describe los objetivos y controles de seguridad que puede seleccionar e implementar en su organización para gestionar los riesgos específicos de la seguridad de la información. 
  • ISO 27001 es la norma de Sistemas de Gestión que define los requisitos a cumplir, contra los cuales su organismo de certificación le auditará durante la auditoría de certificación. La norma incluye los elementos comunes de todos los Sistemas de Gestión; tales como revisión de la Dirección, auditorías internas, mejora continua, etc… También contiene una sección destinada específicamente a determinar los riesgos de la información y para la elección de controles adecuados para gestionar esos riegos, definidos en el Anexo A. 

Procesos de Gestión 

Estos procesos son críticos para la correcta implementación de un SGSI. Si su organización tiene ya implementado un sistema de gestión ISO 9001, estos procesos le serán familiares. En este caso, la manera más eficiente de proceder es integrando los requisitos de seguridad de la información en su sistema de gestión existente, asegurando que la experiencia en seguridad de la información está disponible cuando y donde sea necesario.  

Si por el contrario, es la primera vez que implementa un proceso, debe tener en cuenta todos los elementos de gestión de la norma. La Alta Dirección tiene un papel fundamental en la eficacia del sistema de gestión. Deben asignarse los recursos adecuados para el desarrollo, implementación y seguimiento del SGSI (personas, equipos, tiempo y dinero). Las auditorías internas verifican que el sistema de gestión está funcionando según lo previsto e identifica oportunidades de mejora. La revisión por parte de la Dirección les permite analizar el correcto funcionando del sistema de gestión y su aportación al negocio.  

Puede serle útil vincular estos procesos de gestión  con los Objetivos de Control del Anexo A; así como con otros controles que complementan los elementos de gestión de la norma ISO 27001.   

La mayoría de los consejos que se dan en la Guía de LRQA para la implementación de un SGC son igualmente válidos para la aplicación de los procesos de gestión de la norma ISO 27001.

Pasos a seguir

Pasos a seguir

Hay dos elementos principales en un SGSI, los cuales pueden abordarse como dos actividades distintas. ISO 27001 requiere el establecimiento de un SGSI para identificar y documentar los requisitos de seguridad específicos de su negocio. La norma también requiere la definición de los procesos de gestión necesarios para demostrar el compromiso y control de la Dirección, es decir, la responsabilidad de la Dirección, revisión del SGSI por parte de la Dirección,  y mejora del SGSI. 

Gestión de Procesos 

Estos procesos son críticos para la efectiva implementación de un SGSI. Si su organización ya tiene implementado un sistema de gestión según ISO 9001, estos procesos le serán familiares. En este caso, la manera más eficiente de proceder es integrando los requisitos de seguridad de la información en su sistema de gestión existente, asegurando que su experiencia en seguridad de la información esté disponible cuando y donde sea necesario.  

En cambio, si es la primera vez que va a implementar un sistema, debe de tener en cuenta todos los elementos de gestión de la norma. La Alta Dirección tiene un papel fundamental en la eficacia del Sistema de Gestión. Deben asignarse los recursos adecuados para el desarrollo, implementación y seguimiento del SGSI (personas, equipos, tiempo y dinero). Las auditorías internas ayudan a verificar que el sistema de gestión está funcionando según lo previsto y a identificar las oportunidades de mejora. La revisión por parte de la Alta Dirección permite analizar el funcionamiento del sistema de gestión implementado y su contribución al negocio.  

Puede resultar útil vincular estos procesos de gestión con los Objetivos de Control del Anexo A; así como con otros controles que complementan los elementos de gestión de la norma ISO 27001. 

La mayoría de los consejos que se dan en la Guía de LRQA para la implementación de un SGC son igualmente válidos para la aplicación de los procesos de gestión de la norma ISO 27001.

Definición del Alcance

Definición del Alcance

Es esencia definir con precisión el alcance lógico y geográfico de su SGSI, para así poder establecer responsabilidades dentro de su Sistema de Seguridad de la Información y responsabilidades de seguridad. El alcance debe identificar las personas, lugares e información incluidos en el SGSI. 

Una vez definido el alcance, pueden identificarse los activos de información que contempla el alcance,  así como  su valor y propietario. 

Política de SGSI

Los requisitos relativos a la política de SGSI están recogidos en las normas ISO 27001 (4.2.1 b) e ISO 27002. También hay referencias a la Política de SGSI en otros requisitos de la norma ISO 27001 y en el Anexo A – Controles, que proporcionan indicaciones sobre cuál debe ser el contenido de la política. Por ejemplo, la Política de SGSI debe definir los criterios para la evaluación del riesgo, con el apoyo de los requisitos de información detallados en las cláusulas 4.2.1 c) y 5.1 f). 

Son necesarias otras políticas para cumplir con ciertos objetivos de control. 

Auditoría de Riesgos y Gestión del Riesgo 

La Auditoría de Riesgos es la base sobre la cual se construye un SGSI. Proporciona el enfoque para la implementación de controles de seguridad y asegura que se aplican allí donde más se necesitan, y que son rentables y eficaces. La Auditoría de Riesgos ayuda a responder a la pregunta: ¿Cuánta seguridad necesitamos? 

La Auditoría de Riesgos involucra a todos los propietarios de activos de información. Es poco probable realizar con éxito una Auditoría de Riesgos sin ellos. 

El primer paso es decidir y a continuación documentar, un método de Auditoría de Riesgos. Existen métodos patentados reconocidos, normalmente basados en programas informáticos como CRAMM. ISO 27005 / ISO/IEC TR 13335-3 da más información para permitir a la organización seleccionar o desarrollar un método adecuado a su propia estructura y la complejidad de sus sistemas de información. 

Un proceso de Auditoría de Riesgos implica la identificación y valoración de los activos de información. La valoración puede no ser sólo financiera, y tomar en cuenta aspectos como el daño reputacional y el compromiso de cumplimiento legal. En este caso, el proceso debe tomar en consideración las amenazas y vulnerabilidades asociadas a los activos y el impacto de su explotación. Por último, determinar el nivel de riesgo e identificar los controles que deben aplicarse para gestionar esos riesgos. 

La identificación de las amenazas, vulnerabilidades y sus efectos debe tener en cuenta el entorno de seguridad. Por ejemplo, la amenaza de denegación de acceso a edificios es mayor para una organización ubicada en un polígono industrial cercano a una planta petroquímica, que para una pequeña oficina ubicada en suelo urbano.

Tratamiento del Riesgo

Tratamiento del Riesgo

En la Auditoría de Riesgo se identifican los niveles de riesgo existentes y se comparan con el nivel de riesgo aceptable determinado por la Política de Seguridad de la organización. Se toman las medidas adecuadas para controlar los riesgos que están por encima del nivel de aceptación, con alguna de las siguientes acciones:

  • Implementación de Controles de Seguridad seleccionados del Anexo A, para reducir el riesgo hasta un nivel aceptable. El nivel de riesgo debe ser recalculado para confirmar que el riesgo residual está por debajo del nivel de aceptación. Los controles seleccionados se registran en la Declaración de aplicabilidad, que debe incluir la justificación de la inclusión o exclusión de cada control,  su estado, y proporcionar la trazabilidad para la auditoría de riesgo.
  • Aceptación del riesgo de acuerdo con las políticas de gestión y con los criterios de aceptación del riesgo. Puede haber casos en los que después de haber adoptado una acción, el riesgo residual esté por encima del nivel de aceptación, en cuyo caso el riesgo residual también debe estar sujeto al proceso de aceptación del riesgo. Debe mantenerse un registro de la Gestión de la Aceptación del riesgo.
  • Eliminación del riesgo al cambiar el entorno de seguridad. Por ejemplo, instalando aplicaciones seguras donde las vulnerabilidades han sido identificadas en las aplicaciones de procesamiento de datos, o moviendo los activos físicos a una planta superior si existe riesgo de inundación. Tales decisiones deben tener en cuenta previamente las consideraciones comerciales y financieras. Una vez más, debe recalcularse el riesgo residual tras implantar acciones de eliminación de riesgos.
  • Transferencia del riesgo contratando un seguro adecuado o externalizando la gestión de los activos físicos o de los procesos de negocio. La organización que asume el riesgo debe ser consciente y aceptar las obligaciones que conlleva esto. Los contratos con las organizaciones de outsourcing deben abordar los requisitos de seguridad pertinentes.

El Plan de tratamiento del riesgo se utiliza para administrar los riesgos mediante la identificación de las medidas adoptadas y previstas, así como los plazos para la finalización de las acciones en circulación. El Plan debe priorizar acciones e incluir responsabilidades y planes de acción detallados.

Certificación

Certificación

No todos los organismos de certificación son iguales. Al seleccionar el organismo con el que desea trabajar, debe asegurarse de que están acreditados por un organismo nacional. En Reino Unido, este organismo es UKAS (United Kingdom Accreditation Service). Para mayor información sobre la acreditación, visite su página web www.ukas.com.

La certificación es una validación externa de su Sistema de Gestión de Calidad, que garantiza que cumple con los requisitos de ISO 27001:2005,  la norma de Sistemas de Gestión de Seguridad de la Información internacionalmente  reconocida.

Para mayor información sobre ISO 27001, visite la página web del Grupo Internacional de Usuarios de SGSI www.xisec.com.

Su elección de entidad de certificación también dice mucho a sus clientes el nivel de compromiso de su organización con sus sistemas de gestión. Debe elegir un organismo de certificación que sea capaz de ayudarle a desarrollar el máximo potencial de su sistema de gestión. En LRQA, le asignamos un Gestor de cuentas que le ayudará a identificar la mejor manera de alcanzar la certificación.

Todos los auditores de LRQA pasan por un riguroso proceso de selección y formación, seguido por un continuo desarrollo profesional continuo. Esto le da la seguridad de que al elegir LRQA como su organismo de certificación, realizamos una auditoría en profundidad pero justa  que le ayudará a mantener un continuo  desarrollo de su Sistema de Gestión. 

La marca LRQA goza de reconocimiento mundial, por lo que proporciona a los compradores en cualquier parte del mundo, la confianza de que su sistema de gestión cumple con los requisitos de la norma ISO 27001.

Desde 1985, diseñamos nuestros servicios pensando en nuestros clientes, considerando sus necesidades y requerimientos individuales a la hora de diseñar nuestra oferta de servicios. Hemos desarrollado nuestro paquete de apoyo complementario para ayudarle a obtener el máximo rendimiento a sus sistemas de gestión, tales como: 

Eventos gratuitos para clientes. Teléfono gratuito de asistencia técnica. Asistencia técnica online a través de nuestra área de soporte online al cliente. Asistencia para la gestión de cuentas.  Para mayor información sobre como certificarse con LRQA en la norma ISO 27001, visite nuestro apartado de certificación. Si desea conocer nuestros cursos de formación disponibles visite www.lrqa/formacion.com.