ISO 27001 & ISO 22301

Como he notado que muchos de los lectores de mi blog provienen de países de habla hispana, me pareció interesante buscar algunos sitios Web en este idioma que puedan resultar de utilidad. Y esto es lo que encontré; los blogs y demás sitios Web que, en mi opinión, ofrecen el mejor contenido sobre seguridad de la información en español (detallados por orden alfabético):

Apuntes de seguridad de la información

Blog dedicado a la protección de datos personales y a la gestión de la seguridad de la información.

Cryptex – Seguridad de la Información

Blog dedicado a la seguridad de la información, privacidad, seguridad y auditoría de TI: recopilación de principales noticias, eventos, políticas de seguridad, guías de buenas prácticas, normas, estándares, herramientas, etc.

Instituto Nacional de Tecnologías de la Comunicación (INTECO)

Diversas noticias y artículos informativos sobre seguridad: incluye una biblioteca con artículos, estudios y guías.

ISACA en español

Una biblioteca con gran cantidad de documentos útiles en español.

Kriptópolis – Criptografía y Seguridad

Revista independiente en línea sobre seguridad en Internet; su objetivo es ayudar a proteger la privacidad y la seguridad de los usuarios de Internet y facilitar la difusión de diversas herramientas con esta finalidad.

Security Art Work

Un blog con artículos relacionados con la gestión de áreas como SGSI, continuidad del negocio y protección de privacidad de datos, información técnica sobre vulnerabilidades lógicas y fortalecimiento de redes y de aplicaciones, tendencias y amenazas actuales y futuras.

Security by Default

Blog sobre seguridad en TI dedicado a compartir experiencias y a discutir cuestiones técnicas relacionadas con la seguridad informática.

Segu-Info

Blog actualizado diariamente que se dedica a todas las áreas en la esfera de la seguridad. Su objetivo es hacer que la seguridad sea un tema accesible tanto para los profesionales como para los usuarios finales. Publica un boletín mensual con artículos originales de diversos autores.

Subdirección de Seguridad de la Información

Sitio Web centrado en noticias y alertas sobre seguridad de TI, pero también ofrece listas de vulnerabilidades y diversos documentos.

Xavier Ribas Blog

Blog dedicado a los aspectos legales en la tecnología de la información y, particularmente, en la seguridad de la información.

Hace muy poco se publicó una nueva norma sobre continuidad del negocio (ISO 22301), por lo que he decidido realizar una comparación entre ésta y la vieja BS 25999-2.

¡Puede dejar su comentario abajo!

—

Haga clic aquí para obtener más información:

• ¿Qué es ISO 22301?
• Webinar gratuito – ¿Qué tiene de nuevo la ISO 22301?: ¿Cómo hacer la transición de BS 25999-2?

—

La importancia de la Declaración de aplicabilidad (a veces conocida como DdA) generalmente es subestimada, como el Manual de calidad en la norma ISO 9001, ya que se trata del documento principal que define cómo usted implementará una gran parte de su sistema de seguridad de la información.

De hecho, la Declaración de aplicabilidad es el nexo principal entre la evaluación y el tratamiento del riesgo y la implementación de su sistema de seguridad de la información. El objetivo de este documento es definir cuáles de los 133 controles (medidas de seguridad) sugeridos en el Anexo A de la norma ISO 27001 son los que usted implementará y, para los controles que correspondan, cómo se realizará su implementación.

Por qué es necesaria

Ahora bien, ¿por qué es necesario este documento cuando usted ya ha confeccionado el Informe sobe la evaluación de riesgos, que también es obligatorio y que también define los controles necesarios? Estos son los motivos:

• Ante todo, durante el tratamiento de riesgos usted identificó los controles que debían implementarse porque primero identificó los riesgos que era necesario disminuir. Sin embargo, en la DdA usted también identificó los controles necesarios por otras razones; por ejemplo, por motivos legales, por requisitos contractuales, por otros procesos, etc.

• Segundo, el Informe sobre la evaluación de riesgos puede resultar bastante largo: algunas organizaciones pueden identificar algunos miles de riesgos (a veces, aún más); por eso, un documento de estas características no resulta realmente útil en el uso operativo diario. En cambio, la Declaración de aplicabilidad es bastante breve ya que tiene 133 filas (cada una representa un control); esto permite que pueda ser presentada ante la gerencia y que pueda ser actualizada.

• Tercero, y más importante, la DdA debe documentar si cada control aplicable ya está implementado o no. Una estrategia efectiva, y que la mayoría de los auditores buscará, también es describir cómo se implementa cada control aplicable; por ejemplo, haciendo referencia a un documento (política, procedimiento, instrucciones de funcionamiento, etc.) o detallando brevemente el procedimiento vigente o el equipo que se utiliza.

De hecho, si solicita la certificación ISO 27001, el auditor de certificación tomará su Declaración de aplicabilidad y recorrerá su empresa verificando si ha implementado los controles de la forma en que lo ha detallado en su DdA. Es el principal documento que utilizan para realizar la auditoría presencial.

Muy pocas empresas se dan cuenta de que redactando una buena Declaración de aplicabilidad pueden disminuir la cantidad de otros documentos; por ejemplo, si desea documentar un determinado control, pero la descripción del procedimiento para ese control resultaría demasiado breve, lo puede incluir en la DdA. De esta forma, estaría evitando redactar otro documento.

Por qué es útil

Por experiencia, puedo afirmar que la mayoría de las empresas que implementan el sistema de gestión de seguridad de la información de acuerdo a la norma ISO 27001 dedican mucho más tiempo en redactar este documento que lo que habían previsto. El motivo es que deben pensar cómo implementarán sus controles: ¿Comprarán nuevos equipos? ¿Modificarán el procedimiento? ¿Contratarán un nuevo empleado? Estas son decisiones bastante importantes (y, a veces, costosas), por ello no sorprende que requiera mucho tiempo tomarlas. Lo bueno acerca de la DdA es que obliga a las organizaciones a hacer las cosas de forma sistemática.

Por lo tanto, no se debería tomar este documento simplemente como uno de esos “documentos innecesarios” que no tienen una utilidad real. Piense que es la principal declaración en la que usted define lo que desea hacer con su seguridad de la información. Si está redactado correctamente, la DdA es un resumen perfecto acerca de lo que se debe hacer en seguridad de la información, por qué se debe hacer y cómo se debe hacer.

Haga clic aquí para descargar una plantilla gratuita de la Declaración de aplicabilidad.

¿Tiene sentido implementar la continuidad del negocio en empresas pequeñas? ¿Por qué podrían necesitar algo tan costoso como esto si el dueño del negocio tiene en su cabeza toda la información que necesita?

Permítanme comenzar con una historia que escuché recientemente: una pequeña empresa, que vende diversos tipos de equipamiento a una gran base de clientes, sufrió un robo. El ladrón irrumpió en sus oficinas durante la noche y robó todos los ordenadores, además de otros elementos de valor. Si bien el propietario de esta empresa había realizado una copia de seguridad de los datos, el problema es que esa copia estaba resguardada en otro ordenador dentro de la misma oficina. Muy poco tiempo después, la compañía quedó en bancarrota; simplemente porque no pudo recuperar información esencial para su negocio.

Este es un ejemplo clásico del síndrome “A mí no me va a pasar” que aqueja a la mayoría de las pequeñas empresas.

Marco referencial para continuidad del negocio

¿Esto quiere decir que las compañías pequeñas necesitan invertir en costosas ubicaciones de recuperación ante desastres con equipamiento que permita un alto nivel de disponibilidad? Por supuesto que no.

En algunos casos, la continuidad del negocio realmente no es necesaria porque el dueño del negocio sí tiene toda la información en su cabeza, pero estos casos son muy excepcionales. ¿Cuántos de ellos no tienen un ordenador portátil con distintos tipos de información importante? El sólo pensar en cómo permitir la disponibilidad de esta información en el caso que se produzca un desastre ya es parte de un esfuerzo de continuidad del negocio.

Los dueños de las pequeñas empresas deben evaluar detenidamente qué información y demás recursos son importantes para sus negocios, cómo garantizar que esa información y recursos estén disponibles en caso que se produzca un desastre y qué pasos se deben seguir para recuperar las actividades del negocio en esos casos extremos. Estos pasos no son más que la ejecución del análisis del impacto en el negocio, de la estrategia de continuidad del negocio, y de los planes de continuidad del negocio; de la misma forma en que lo haría cualquier compañía más grande al implementar la continuidad del negocio. Todo esto se detalla en la principal norma sobre este tema: BS 25999-2.

Cómo prepararse

Ahora bien, la diferencia entre empresas pequeñas y grandes radica en la complejidad y en el costo de los preparativos que las más pequeñas deben afrontar para la continuidad del negocio:

• Copias de seguridad de datos electrónicos: las empresas pequeñas pueden utilizar algunas de las herramientas que realizan copias de seguridad de los datos de sus ordenadores en la nube en forma casi instantánea. Por supuesto que se deben tomar los recaudos pertinentes para que todos los datos necesarios sean incluidos.
• Copias de seguridad de documentos en papel: ahora las empresas pequeñas pueden eliminar casi por completo de sus actividades diarias los documentos en papel y pueden transferir todo a formato electrónico. En casos excepcionales en que deben existir documentos en papel, estos pueden ser escaneados dentro del marco de la continuidad del negocio.
• Ubicaciones alternativas para oficinas: en la mayoría de los casos será suficiente que los empleados continúen trabajando desde sus hogares; la condición sería que tuvieran una conexión a Internet, ordenadores portátiles o PC y claves. Si el trabajo desde el hogar no es lo más adecuado, siempre es posible alquilar una habitación de hotel en menos de una hora.
• Hardware: a menos que se utilice un tipo especial de ordenador para una actividad comercial, es muy sencillo encontrar uno alternativo: en casa, generalmente, hay un ordenador particular o se puede pedir prestado uno a algún pariente o se puede comprar uno en cualquier negocio de computación.
• Personal: probablemente este sea el aspecto más difícil. Supongamos que un empleado no está disponible y que es el único que conoce determinada información (por ejemplo, claves administrativas, los pasos que hay que seguir para un proyecto importante, etc.); para esos casos, los preparativos pasarían por documentar toda esta información para que pueda ser utilizada sin necesidad de que el empleado esté presente. Otro ejemplo sería si falta un empleado y nadie más tiene el tiempo ni los conocimientos para reemplazarlo; en este caso, la preparación pasaría por identificar de antemano quién tendría disponibilidad para ser contratado con poca anticipación para realizar el trabajo del empleado que no está. Por supuesto que aquí la clave es identificar a alguien que posea las habilidades o aptitudes adecuadas.

Como conclusión: no hay diferencia entre organizaciones grandes y pequeñas en relación al marco de la continuidad del negocio; ambas deben pensar detenidamente qué preparativos necesitan realizar para superar una situación de desastre. La diferencia está en el nivel de los preparativos, ya que las empresas más pequeñas pueden hacerlos con muy poca inversión.

También puede dar un vistazo a nuestro webinar Fundamentos de BS 25999-2 – Parte 3: Planificación de la continuidad del negocio (es un curso de capacitación disponible para la venta).

Si usted ha estado leyendo mi blog, probablemente piense que estoy convencido de que la norma ISO 27001 es el documento más perfecto que jamás se haya escrito. Pero, en realidad, no es así. Trabajando con mis clientes y enseñando sobre el tema, generalmente surgen las mismas debilidades de esta norma. A continuación detallo cuáles son esas debilidades y mis sugerencias sobre cómo resolverlas:

Términos ambiguos

Algunos de los requisitos de la norma no son muy claros:

• El punto 4.3.1 c) indica que la documentación del SGSI debe incluir… “procedimientos y controles que respalden el SGSI”. ¿Esto significa que se debe redactar un documento para cada uno de los controles que se aplican (hay 133 controles in el Anexo A)? En mi opinión, no es necesario. Generalmente sugiero a mis clientes que redacten solamente las políticas y procedimientos que son necesarios desde el punto de vista operativo y para disminuir los riesgos. Todos los demás controles pueden ser detallados en la Declaración de aplicabilidad ya que esta declaración debe incluir la descripción de todos los controles que se implementan.
• Políticas y procedimientos (no) documentados: en muchos controles del Anexo A se mencionan políticas y procedimientos sin la palabra “documentado”. En efecto, ello implica que no es necesario redactar esas políticas y procedimientos, pero esto no queda claro para el 95% de quienes leen la norma.
• Entidades externas y terceros: se utilizan indistintamente estos términos, lo que puede generar confusión. Sería mucho mejor si se utilizara solamente un único término.

Organización de la norma

Algunos de los requisitos de la norma están dispersos o innecesariamente duplicados:

• Algunos controles directamente están ubicados en el lugar incorrecto; por ejemplo, el punto A.11.7 Computación móvil y tele-trabajo está ubicado en la sección A.11 Control de acceso. Si bien cuando se trabaja con computación móvil es necesario tener cuidado con el control de acceso, la sección A.11 no es el lugar más natural para definir temas relacionados con computación móvil y tele-trabajo.
• Los temas relacionados con las entidades externas están dispersos por toda la norma: se los puede encontrar en A.6.2 Entidades externas, en A.8 Seguridad relacionada con el personal y en A.10.2 Gestión de entrega de servicios de terceros. Con el avance de la “computación en la nube” y otros tipos de tercerización, es aconsejable reunir todas esas reglas en un documento, o en un conjunto de documentos, que se encargue de las entidades externas.
• La formación y concienciación de los empleados es requerida tanto por el punto 5.2.2 de la parte principal de la norma como por el control A.8.2.2. Esta duplicación no solamente es innecesaria, sino que genera mayor confusión. En teoría, cada control del Anexo A podría ser excluido, pero usted podría terminar excluyendo un requisito que en realidad no se puede excluir porque es requerido por la parte principal de la norma. Lo mismo ocurre con la Auditoría interna (punto 6 de la parte principal de la norma) y el control A.6.1.8 Revisión independiente de la seguridad de la información.
• Algunos de los controles del Anexo A pueden ser aplicados en forma realmente amplia y pueden incluir otros controles; por ejemplo, el control A.7.1.3 Uso aceptable de los activos es tan general que podría abarcar, por ejemplo, a los controles A.7.2.2 (Manejo de información clasificada), A.8.3.2 (Devolución de los activos después de terminar el trabajo), A.9.2.1 (Protección de los equipos), A.10.7.1 (Gestión de medios removibles), A.10.7.2 (Eliminación de medios), A.10.7.3 (Procedimientos de manejo de la información), etc. Generalmente, les aconsejo a mis clientes que redacten un único documento que comprenda a todos estos controles.

¿Problemas o no?

Estos son algunos temas que a menudo aparecen como problemáticos; sin embargo, para mí no es así:

• La norma es muy imprecisa, no contempla el nivel de detalle suficiente. Si fuera más detallada sobre la tecnología que se utilizará, en poco tiempo quedaría desactualizada y si fuera más detallada sobre los métodos y/o soluciones organizativas, no podría aplicarse a todos los tamaños y tipos de organizaciones (un gran banco debe ser organizado de una forma bastante diferente que una pequeña agencia de mercadotecnia; sin embargo, ambas instituciones podrían implementar la norma ISO 27001).
• La norma permite demasiada flexibilidad: con esto, los críticos apuntan al concepto de evaluación del riesgo, en el que determinados controles de seguridad pueden ser excluidos si no existen riesgos relacionados. Entonces preguntan “¿Cómo es posible excluir la creación de copias de seguridad o la protección antivirus?” En realidad, con el progreso de las tecnologías del tipo “computación en la nube”, esta clase de protección podría no ser responsabilidad de la organización que implementa la norma ISO 27001; aunque, en el caso que los riesgos de tercerización sean un poco elevados, se necesitaría otro tipo de controles de seguridad.

¿Y ahora qué?

Esta norma seguramente necesitará un cambio. La versión actual de la ISO/IEC 27001:2005 ya tiene seis años y es de esperar que la próxima revisión (para 2012 o 2013) se ocupe de la mayoría de los temas mencionados arriba.

Aunque estas falencias muchas veces pueden provocar confusiones, creo que todos los aspectos positivos de la norma valen mucho más que los negativos. Y sí, estoy realmente convencido de que esta norma es, por mucho, el mejor marco para la gestión de la seguridad de la información.

También puede dar un vistazo a nuestra serie de tutoriales en vídeo sobre ISO 27001, que explica cada paso de la implementación de esta norma (son vídeos comerciales disponibles para la venta).