ISO 27001 & BS 25999

La importancia de la Declaración de aplicabilidad (a veces conocida como DdA) generalmente es subestimada, como el Manual de calidad en la norma ISO 9001, ya que se trata del documento principal que define cómo usted implementará una gran parte de su sistema de seguridad de la información.

De hecho, la Declaración de aplicabilidad es el nexo principal entre la evaluación y el tratamiento del riesgo y la implementación de su sistema de seguridad de la información. El objetivo de este documento es definir cuáles de los 133 controles (medidas de seguridad) sugeridos en el Anexo A de la norma ISO 27001 son los que usted implementará y, para los controles que correspondan, cómo se realizará su implementación.

Por qué es necesaria

Ahora bien, ¿por qué es necesario este documento cuando usted ya ha confeccionado el Informe sobe la evaluación de riesgos, que también es obligatorio y que también define los controles necesarios? Estos son los motivos:

• Ante todo, durante el tratamiento de riesgos usted identificó los controles que debían implementarse porque primero identificó los riesgos que era necesario disminuir. Sin embargo, en la DdA usted también identificó los controles necesarios por otras razones; por ejemplo, por motivos legales, por requisitos contractuales, por otros procesos, etc.

• Segundo, el Informe sobre la evaluación de riesgos puede resultar bastante largo: algunas organizaciones pueden identificar algunos miles de riesgos (a veces, aún más); por eso, un documento de estas características no resulta realmente útil en el uso operativo diario. En cambio, la Declaración de aplicabilidad es bastante breve ya que tiene 133 filas (cada una representa un control); esto permite que pueda ser presentada ante la gerencia y que pueda ser actualizada.

• Tercero, y más importante, la DdA debe documentar si cada control aplicable ya está implementado o no. Una estrategia efectiva, y que la mayoría de los auditores buscará, también es describir cómo se implementa cada control aplicable; por ejemplo, haciendo referencia a un documento (política, procedimiento, instrucciones de funcionamiento, etc.) o detallando brevemente el procedimiento vigente o el equipo que se utiliza.

De hecho, si solicita la certificación ISO 27001, el auditor de certificación tomará su Declaración de aplicabilidad y recorrerá su empresa verificando si ha implementado los controles de la forma en que lo ha detallado en su DdA. Es el principal documento que utilizan para realizar la auditoría presencial.

Muy pocas empresas se dan cuenta de que redactando una buena Declaración de aplicabilidad pueden disminuir la cantidad de otros documentos; por ejemplo, si desea documentar un determinado control, pero la descripción del procedimiento para ese control resultaría demasiado breve, lo puede incluir en la DdA. De esta forma, estaría evitando redactar otro documento.

Por qué es útil

Por experiencia, puedo afirmar que la mayoría de las empresas que implementan el sistema de gestión de seguridad de la información de acuerdo a la norma ISO 27001 dedican mucho más tiempo en redactar este documento que lo que habían previsto. El motivo es que deben pensar cómo implementarán sus controles: ¿Comprarán nuevos equipos? ¿Modificarán el procedimiento? ¿Contratarán un nuevo empleado? Estas son decisiones bastante importantes (y, a veces, costosas), por ello no sorprende que requiera mucho tiempo tomarlas. Lo bueno acerca de la DdA es que obliga a las organizaciones a hacer las cosas de forma sistemática.

Por lo tanto, no se debería tomar este documento simplemente como uno de esos “documentos innecesarios” que no tienen una utilidad real. Piense que es la principal declaración en la que usted define lo que desea hacer con su seguridad de la información. Si está redactado correctamente, la DdA es un resumen perfecto acerca de lo que se debe hacer en seguridad de la información, por qué se debe hacer y cómo se debe hacer.

Haga clic aquí para descargar una plantilla gratuita de la Declaración de aplicabilidad.

¿Tiene sentido implementar la continuidad del negocio en empresas pequeñas? ¿Por qué podrían necesitar algo tan costoso como esto si el dueño del negocio tiene en su cabeza toda la información que necesita?

Permítanme comenzar con una historia que escuché recientemente: una pequeña empresa, que vende diversos tipos de equipamiento a una gran base de clientes, sufrió un robo. El ladrón irrumpió en sus oficinas durante la noche y robó todos los ordenadores, además de otros elementos de valor. Si bien el propietario de esta empresa había realizado una copia de seguridad de los datos, el problema es que esa copia estaba resguardada en otro ordenador dentro de la misma oficina. Muy poco tiempo después, la compañía quedó en bancarrota; simplemente porque no pudo recuperar información esencial para su negocio.

Este es un ejemplo clásico del síndrome “A mí no me va a pasar” que aqueja a la mayoría de las pequeñas empresas.

Marco referencial para continuidad del negocio

¿Esto quiere decir que las compañías pequeñas necesitan invertir en costosas ubicaciones de recuperación ante desastres con equipamiento que permita un alto nivel de disponibilidad? Por supuesto que no.

En algunos casos, la continuidad del negocio realmente no es necesaria porque el dueño del negocio sí tiene toda la información en su cabeza, pero estos casos son muy excepcionales. ¿Cuántos de ellos no tienen un ordenador portátil con distintos tipos de información importante? El sólo pensar en cómo permitir la disponibilidad de esta información en el caso que se produzca un desastre ya es parte de un esfuerzo de continuidad del negocio.

Los dueños de las pequeñas empresas deben evaluar detenidamente qué información y demás recursos son importantes para sus negocios, cómo garantizar que esa información y recursos estén disponibles en caso que se produzca un desastre y qué pasos se deben seguir para recuperar las actividades del negocio en esos casos extremos. Estos pasos no son más que la ejecución del análisis del impacto en el negocio, de la estrategia de continuidad del negocio, y de los planes de continuidad del negocio; de la misma forma en que lo haría cualquier compañía más grande al implementar la continuidad del negocio. Todo esto se detalla en la principal norma sobre este tema: BS 25999-2.

Cómo prepararse

Ahora bien, la diferencia entre empresas pequeñas y grandes radica en la complejidad y en el costo de los preparativos que las más pequeñas deben afrontar para la continuidad del negocio:

• Copias de seguridad de datos electrónicos: las empresas pequeñas pueden utilizar algunas de las herramientas que realizan copias de seguridad de los datos de sus ordenadores en la nube en forma casi instantánea. Por supuesto que se deben tomar los recaudos pertinentes para que todos los datos necesarios sean incluidos.
• Copias de seguridad de documentos en papel: ahora las empresas pequeñas pueden eliminar casi por completo de sus actividades diarias los documentos en papel y pueden transferir todo a formato electrónico. En casos excepcionales en que deben existir documentos en papel, estos pueden ser escaneados dentro del marco de la continuidad del negocio.
• Ubicaciones alternativas para oficinas: en la mayoría de los casos será suficiente que los empleados continúen trabajando desde sus hogares; la condición sería que tuvieran una conexión a Internet, ordenadores portátiles o PC y claves. Si el trabajo desde el hogar no es lo más adecuado, siempre es posible alquilar una habitación de hotel en menos de una hora.
• Hardware: a menos que se utilice un tipo especial de ordenador para una actividad comercial, es muy sencillo encontrar uno alternativo: en casa, generalmente, hay un ordenador particular o se puede pedir prestado uno a algún pariente o se puede comprar uno en cualquier negocio de computación.
• Personal: probablemente este sea el aspecto más difícil. Supongamos que un empleado no está disponible y que es el único que conoce determinada información (por ejemplo, claves administrativas, los pasos que hay que seguir para un proyecto importante, etc.); para esos casos, los preparativos pasarían por documentar toda esta información para que pueda ser utilizada sin necesidad de que el empleado esté presente. Otro ejemplo sería si falta un empleado y nadie más tiene el tiempo ni los conocimientos para reemplazarlo; en este caso, la preparación pasaría por identificar de antemano quién tendría disponibilidad para ser contratado con poca anticipación para realizar el trabajo del empleado que no está. Por supuesto que aquí la clave es identificar a alguien que posea las habilidades o aptitudes adecuadas.

Como conclusión: no hay diferencia entre organizaciones grandes y pequeñas en relación al marco de la continuidad del negocio; ambas deben pensar detenidamente qué preparativos necesitan realizar para superar una situación de desastre. La diferencia está en el nivel de los preparativos, ya que las empresas más pequeñas pueden hacerlos con muy poca inversión.

También puede dar un vistazo a nuestro webinar Fundamentos de BS 25999-2 – Parte 3: Planificación de la continuidad del negocio (es un curso de capacitación disponible para la venta).

Si usted ha estado leyendo mi blog, probablemente piense que estoy convencido de que la norma ISO 27001 es el documento más perfecto que jamás se haya escrito. Pero, en realidad, no es así. Trabajando con mis clientes y enseñando sobre el tema, generalmente surgen las mismas debilidades de esta norma. A continuación detallo cuáles son esas debilidades y mis sugerencias sobre cómo resolverlas:

Términos ambiguos

Algunos de los requisitos de la norma no son muy claros:

• El punto 4.3.1 c) indica que la documentación del SGSI debe incluir… “procedimientos y controles que respalden el SGSI”. ¿Esto significa que se debe redactar un documento para cada uno de los controles que se aplican (hay 133 controles in el Anexo A)? En mi opinión, no es necesario. Generalmente sugiero a mis clientes que redacten solamente las políticas y procedimientos que son necesarios desde el punto de vista operativo y para disminuir los riesgos. Todos los demás controles pueden ser detallados en la Declaración de aplicabilidad ya que esta declaración debe incluir la descripción de todos los controles que se implementan.
• Políticas y procedimientos (no) documentados: en muchos controles del Anexo A se mencionan políticas y procedimientos sin la palabra “documentado”. En efecto, ello implica que no es necesario redactar esas políticas y procedimientos, pero esto no queda claro para el 95% de quienes leen la norma.
• Entidades externas y terceros: se utilizan indistintamente estos términos, lo que puede generar confusión. Sería mucho mejor si se utilizara solamente un único término.

Organización de la norma

Algunos de los requisitos de la norma están dispersos o innecesariamente duplicados:

• Algunos controles directamente están ubicados en el lugar incorrecto; por ejemplo, el punto A.11.7 Computación móvil y tele-trabajo está ubicado en la sección A.11 Control de acceso. Si bien cuando se trabaja con computación móvil es necesario tener cuidado con el control de acceso, la sección A.11 no es el lugar más natural para definir temas relacionados con computación móvil y tele-trabajo.
• Los temas relacionados con las entidades externas están dispersos por toda la norma: se los puede encontrar en A.6.2 Entidades externas, en A.8 Seguridad relacionada con el personal y en A.10.2 Gestión de entrega de servicios de terceros. Con el avance de la “computación en la nube” y otros tipos de tercerización, es aconsejable reunir todas esas reglas en un documento, o en un conjunto de documentos, que se encargue de las entidades externas.
• La formación y concienciación de los empleados es requerida tanto por el punto 5.2.2 de la parte principal de la norma como por el control A.8.2.2. Esta duplicación no solamente es innecesaria, sino que genera mayor confusión. En teoría, cada control del Anexo A podría ser excluido, pero usted podría terminar excluyendo un requisito que en realidad no se puede excluir porque es requerido por la parte principal de la norma. Lo mismo ocurre con la Auditoría interna (punto 6 de la parte principal de la norma) y el control A.6.1.8 Revisión independiente de la seguridad de la información.
• Algunos de los controles del Anexo A pueden ser aplicados en forma realmente amplia y pueden incluir otros controles; por ejemplo, el control A.7.1.3 Uso aceptable de los activos es tan general que podría abarcar, por ejemplo, a los controles A.7.2.2 (Manejo de información clasificada), A.8.3.2 (Devolución de los activos después de terminar el trabajo), A.9.2.1 (Protección de los equipos), A.10.7.1 (Gestión de medios removibles), A.10.7.2 (Eliminación de medios), A.10.7.3 (Procedimientos de manejo de la información), etc. Generalmente, les aconsejo a mis clientes que redacten un único documento que comprenda a todos estos controles.

¿Problemas o no?

Estos son algunos temas que a menudo aparecen como problemáticos; sin embargo, para mí no es así:

• La norma es muy imprecisa, no contempla el nivel de detalle suficiente. Si fuera más detallada sobre la tecnología que se utilizará, en poco tiempo quedaría desactualizada y si fuera más detallada sobre los métodos y/o soluciones organizativas, no podría aplicarse a todos los tamaños y tipos de organizaciones (un gran banco debe ser organizado de una forma bastante diferente que una pequeña agencia de mercadotecnia; sin embargo, ambas instituciones podrían implementar la norma ISO 27001).
• La norma permite demasiada flexibilidad: con esto, los críticos apuntan al concepto de evaluación del riesgo, en el que determinados controles de seguridad pueden ser excluidos si no existen riesgos relacionados. Entonces preguntan “¿Cómo es posible excluir la creación de copias de seguridad o la protección antivirus?” En realidad, con el progreso de las tecnologías del tipo “computación en la nube”, esta clase de protección podría no ser responsabilidad de la organización que implementa la norma ISO 27001; aunque, en el caso que los riesgos de tercerización sean un poco elevados, se necesitaría otro tipo de controles de seguridad.

¿Y ahora qué?

Esta norma seguramente necesitará un cambio. La versión actual de la ISO/IEC 27001:2005 ya tiene seis años y es de esperar que la próxima revisión (para 2012 o 2013) se ocupe de la mayoría de los temas mencionados arriba.

Aunque estas falencias muchas veces pueden provocar confusiones, creo que todos los aspectos positivos de la norma valen mucho más que los negativos. Y sí, estoy realmente convencido de que esta norma es, por mucho, el mejor marco para la gestión de la seguridad de la información.

También puede dar un vistazo a nuestra serie de tutoriales en vídeo sobre ISO 27001, que explica cada paso de la implementación de esta norma (son vídeos comerciales disponibles para la venta).

¿Alguna vez se ha encontrado en la situación de tener que redactar una política o un procedimiento de seguridad? ¿Y deseaba que su documento no terminara como tantos otros, juntando polvo en algún cajón olvidado? Estas son algunas ideas que podrían servirle de ayuda…

Los pasos que voy a presentarle fueron diseñados a partir de mi experiencia con diversos tipos de clientes, grandes y pequeños, oficiales y privados, con y sin fines de lucro, y creo que son aplicables a todos ellos. En realidad, estos pasos se pueden aplicar a cualquier tipo de políticas o procedimientos, no sólo aquellos relacionados con las normas ISO 27001 o BS 25999-2.

1 Estudiar los requisitos

Primero debe estudiar muy detalladamente diversos requisitos: ¿Hay alguna legislación que requiera incluir algo específico por escrito? ¿O, tal vez, un contrato con su cliente? ¿O alguna otra política de alto nivel que ya exista en su organización (tal vez una norma corporativa)? Y, por supuesto, los requisitos de las normas ISO 27001 o BS25999-2, si tiene intención de cumplir con ellas.

2 Tomar en cuenta los resultados de su evaluación de riesgos

Su evaluación de riesgos determinará qué temas debe abordar en su documento, pero también en qué grado; por ejemplo, es posible que necesite decidir si clasificará su información de acuerdo a su confidencialidad y, en ese caso, si necesita dos, tres o cuatro niveles de confidencialidad.

Este paso puede no ser importante de esta forma si su política o procedimiento no está relacionado con la seguridad de la información o con la continuidad del negocio. Sin embargo, los principios de gestión de riesgos también son aplicables a otras áreas: gestión de calidad (ISO 9001), gestión ambiental (ISO 14001), etc. Por ejemplo, en la ISO 9001 usted debe determinar hasta qué punto un proceso es crucial para su gestión de calidad y, en base a ello, decidir si lo documentará o no.

3 Optimizar y alinear sus documentos

Algo que es importante tener en cuenta es la cantidad total de documentos; ¿redactará diez documentos de una página o un documento de diez páginas? Es mucho más sencillo administrar un documento, especialmente si el grupo de lectores al que se dirige es el mismo (pero no redacte un único documento de 100 páginas).

Además, debe tener mucho cuidado de alinear su documento con otros escritos similares; es posible que los temas que está definiendo ya hayan sido parcialmente definidos en otro documento. En ese caso, puede no ser necesario redactar un nuevo documento, sino simplemente ampliar el existente.

Si está redactando un nuevo documento sobre un tema ya tratado en otro, asegúrese de no ser redundante, de no describir el mismo tema en ambos documentos. Luego será una pesadilla actualizar ambos escritos; es mucho mejor que un documento haga referencia a otro, sin repetir lo mismo.

4 Estructurar el documento

También tiene que tener cuidado de respetar las normas de su empresa para darle un formato al documento; es posible que ya haya una plantilla con fuentes, encabezados, pies de páginas y demás aspectos predeterminados.

Si usted ya ha implementado la norma ISO 27001 o la BS 25999-2 (o cualquier otra norma de gestión), deberá respetar un procedimiento para control de documentos. Este tipo de procedimiento no sólo define el formato del documento sino también las reglas para su aprobación, distribución, etc.

5 Redactar el documento

El criterio general es que cuanto más pequeña sea la organización y menores sean los riesgos, menos complejo será su documento. No existe nada más inútil que redactar un extenso documento que nadie leerá; usted debe comprender que la lectura del documento demanda tiempo y que el nivel de atención que uno le presta es inversamente proporcional a la cantidad de líneas que tiene.

Una buena técnica para vencer la resistencia de otros empleados sobre este documento (a nadie le gusta el cambio, especialmente si ello implica una especie de obligación de cambiar regularmente las contraseñas) es involucrándolos en la redacción o haciendo aportes al mismo; de esta forma comprenderán por qué es necesario.

6 Conseguir la aprobación del documento

Este paso es un tanto evidente, pero su importancia fundamental es esta: si usted no es un funcionario de alto rango en su empresa, no tendrá autoridad para hacer cumplir este documento.

Es por ello que alguien en una posición de esa jerarquía debe comprenderlo, aprobarlo y requerir activamente su implementación. Suena sencillo, pero créame; no lo es. Este paso (y el siguiente) son donde la implementación fracasa con mayor frecuencia.

7 Capacitación y concienciación de sus empleados

Probablemente, este paso es el más importante pero, lamentable y generalmente, es uno de los más olvidados. Como se mencionó anteriormente, los empleados están cansados de los cambios permanentes y, seguramente, no recibirán con los brazos abiertos una nueva modificación; especialmente si implica más trabajo para ellos.

Por lo tanto, es muy importante explicarles a sus empleados por qué es necesaria esta política o procedimiento, por qué es bueno no solamente para la empresa sino también para ellos mismos.

A veces, hará falta capacitación; sería incorrecto asumir que todos poseen las habilidades y conocimientos para implementar nuevas actividades. Para usted, que redactó este documento, puede parecer sencillo y evidente, pero para ellos puede asemejarse a una cirugía cerebral.

¿Fin de la historia?

Si usted pensó que había llegado al final de la historia de la implementación de su documento, está equivocado. El viaje recién empieza. No es suficiente tener una política o procedimiento perfectos que a todos les encanta, también es necesario mantenerlo.

Alguien debe velar por que este documento sea actualizado y mejorado, en caso contrario, nadie lo seguirá teniendo en cuenta; y esa persona es, generalmente, la misma que lo ha redactado. No sólo eso, alguien debe evaluar si este documento ha logrado su objetivo; nuevamente, esta persona podría ser usted.

Como puede haber notado al leer este artículo, no es suficiente tener una buena plantilla para contar con una política o procedimiento exitosos. Lo que se necesita es un enfoque sistemático para su implementación. Y al hacerlo, no se olvide de lo más importante: el documento no es un fin en sí mismo; es solamente una herramienta para hacer que sus actividades y procesos se ejecuten sin problemas. No deje que ocurra lo contrario; que un documento de este tipo dificulte la ejecución de esas actividades y procesos.

También puede dar un vistazo a nuestro tutorial en vídeo Cómo redactar el Procedimiento para control de documentos según ISO 27001 e ISO 22301 (es un vídeo comercial disponible para la venta).

Según diversas fuentes, la principal norma sobre continuidad del negocio BS 25999-2 será reemplazada por la norma internacional ISO 22301 hacia fines de 2011. (Actualización: la nueva fecha programada es para junio o julio de 2012) Este tipo de transiciones es normal; lo mismo sucede con la mayoría de las normas de gestión, como sucedió, por ejemplo, con la ISO 27001, que en 2005 sustituyó a la BS 7799-2. Entonces, ¿cuáles son los principales cambios que introducirá la ISO 22301 en comparación con la BS 25999-2?

Una aclaración importante al respecto: como la ISO 22301 aún no ha sido publicada, la versión final de la norma todavía no existe; por lo cual, algunas de las cosas que he escrito aquí podrían no estar en dicha versión. Estoy utilizando una versión preliminar publicada en el sitio Web BSi Draft Review en febrero de 2011.

La ISO 22301 tendrá el siguiente título: ISO 22301, Seguridad de la sociedad: Sistemas de continuidad del negocio. Requisitos. Aunque “seguridad de la sociedad” pueda sonar un poco extraño en el contexto de continuidad del negocio, veamos cómo lo define ISO: “…estandarización en el área de seguridad de la sociedad, orientada a incrementar las habilidades en gestión de crisis y continuidad del negocio; por ejemplo, a través de mayor interoperatividad técnica, humana, organizativa y funcional, como también concienciación situacional compartida entre todas las partes interesadas”.

A primera vista, es evidente que la estructura de la ISO 22301 es muy diferente a la de la BS 25999-2; aunque todos los elementos básicos de esta última, sí están incluidos en la ISO 22301.

Veámoslo con mayor profundidad.

Semejanzas…

La mayor semejanza es que todos los elementos principales de continuidad del negocio de la BS 25999-2 también estarán presentes en la ISO 22301: política de continuidad del negocio, análisis del impacto en el negocio, evaluación de riesgos, estrategia de continuidad del negocio (en ISO 22301 se denominará “opciones de continuidad del negocio”), planes de continuidad del negocio, prueba y verificación, etc.

El Análisis del impacto en el negocio probablemente sea dividido en varios puntos y demandará mayor precisión. Los requisitos para los planes de continuidad del negocio, incluidos los procedimientos de respuesta y los planes de recuperación, también están mucho más detallados; por ej., la parte de comunicación.

La parte de gestión de la BS 25999-2 también será transferida a la nueva norma: control de documentos, auditoría interna, revisión por parte de la dirección, medidas correctivas y preventivas, gestión de recursos humanos, etc. (una aclaración, estos elementos están presentes en todas las otras normas de gestión: ISO 9001, ISO 14001, ISO 27001…).

Sin embargo, la documentación será denominada “información documentada”, y a las medidas preventivas se les dará el nombre de “medidas para atender incidentes e inquietudes”.

…y diferencias

En la ISO 22301, el modelo Planificación-Implementación-Verificación-Mantenimiento (PDCA, por sus siglas en inglés), en comparación con la BS 25999-2, está desarrollado con menos claridad aún; a pesar de que la BS 25999-2 no es tan clara como la ISO 27001 sobre este punto.

La ISO 22301 obviamente pondrá mucho más énfasis en establecer los objetivos, en verificar el rendimiento y en las mediciones; acercando, de esta forma, la continuidad del negocio a la forma de pensar de la alta dirección.

Siguiendo esa línea, la ISO 22301 instala expectativas más definidas en relación a la gestión y las resume en una única sección.

La ISO 22301 solucionará una de las falencias de la BS 25999-2 y demandará una planificación y preparación de recursos para asegurar la continuidad del negocio mucho más detallada ya que esos requisitos ahora son más extensos y están estructurados con mayor claridad.

Por último, lo que será distinto de la ISO 22301, por ser una norma internacional, es que las entidades de certificación serán mucho más exigentes en su certificación, por lo cual obtendrá más reconocimiento con mayor rapidez.

Como conclusión, se puede afirmar que todos los elementos básicos de de la BS 25999-2 probablemente estén incluidos también en la ISO 22301; sólo que en ésta, serán más precisos y exigentes. Las organizaciones que ya han implementado la BS 25999-2 y deseen “actualizarse” a la ISO 22301, deberán prestar mayor atención a los detalles y deberán invertir más tiempo en la preparación y mantenimiento de sus sistemas. Por otro lado, la ISO 22301 seguramente les ayudará a potenciar su nivel de resiliencia y de credibilidad; lo mismo que sucedió con la ISO 27001 seis años atrás, cuando reemplazó a la BS 7799-2.

Esta es, habitualmente, una de las primeras preguntas que me hacen los potenciales clientes. Y aunque tenga que desilusionarlos, no puedo proporcionarles inmediatamente la cifra exacta. Por los siguientes motivos.

Ante todo, el costo total de la implementación dependerá del tamaño de su organización (o del tamaño de la(s) unidad(es) de negocio que se incluirá(n) dentro del alcance de la norma ISO 27001), del grado crítico de la información (por ejemplo, la información de los bancos se considera más crítica y requiere un nivel de protección mayor), de la tecnología que utiliza la organización (por ejemplo, los centros de datos suelen tener mayores costos debido a sus complejos sistemas) y de las disposiciones legales (generalmente, los sectores públicos y financieros están muy controlados en relación con la seguridad de la información).

Además, sería imposible calcular los costos exactos antes de saber qué nivel de protección necesita. Primero debe realizar una evaluación de riesgos, ya que este análisis le mostrará qué medidas de seguridad necesita.

Una vez que conozca el resultado de la evaluación de riesgos, tendrá que tener en cuenta los siguientes costos:

1. Costo de publicaciones y de capacitación

La implementación de la norma ISO 27001 requiere cambios en su organización, y requiere también nuevas capacidades. Usted puede preparar a sus empleados comprando diversos libros sobre el tema y/o enviándolos a cursos (presenciales o en línea) de entre 1 y 5 días de duración (consulte Cómo conocer más sobre las normas ISO 27001 y BS 25999-2).

Y no se olvide de comprar la norma ISO 27001 propiamente dicha; con mucha frecuencia me encuentro con empresas que están implementando la norma sin haberla visto realmente.

2. Costo de asistencia externa

Desafortunadamente, capacitar a sus empleados no es suficiente. Si usted no cuenta con un gerente de proyecto con amplia experiencia en la implementación de la norma ISO 27001 necesitará alguien que sí tenga ese conocimiento; para ello, puede contratar a un consultor externo o puede optar por alguna alternativa en línea (esto es lo que hacemos en Information Security & Business Continuity Academy).

Lo más valioso de tener alguien con experiencia que le ayude en este tipo de proyectos es que usted no terminará en callejones sin salida; es decir, no se pasará meses y meses realizando actividades que no son realmente necesarias o no trabajará con toneladas de documentación no requerida por la norma. Y esto realmente cuesta.

Sin embargo, tenga cuidado con esto y no espere que el consultor haga toda la implementación por usted; la norma ISO 27001 solamente podrá ser implementada por sus empleados.

3. Costo de tecnología

Puede parecer raro, pero la mayoría de las empresas con las que he trabajado no necesitaron de grandes inversiones en hardware, software ni en nada que se le parezca; todas estas cosas ya las tenían. Generalmente, el mayor desafío pasó por cómo utilizar la tecnología existente de forma más segura.

Sin embargo, sí es necesario planificar este tipo de inversiones si resultan necesarias.

4. Costo del tiempo de los empleados

La norma no se implementará sola, como tampoco podrá ser implementada solamente por un consultor (si es que contrata alguno). A sus empleados les tomará tiempo identificar dónde están los riesgos, cómo mejorar los procedimientos y políticas existentes o implementar nuevas; les demandará tiempo capacitarse para asumir las nuevas responsabilidades y para adaptarse a las nuevas normas.

5. Costo de la certificación

Si usted desea obtener una constancia pública de que ha dado cumplimiento a la norma ISO 27001, la entidad de certificación tendrá que realizar una auditoría de certificación, cuyo costo dependerá de la cantidad de días/hombre que le demande hacer el trabajo: podrá ser desde menos de 10 días/hombre para empresas pequeñas hasta unas docenas de días/hombre para organizaciones más grandes. El costo del día/hombre depende del mercado local.

Tiene que tener mucho cuidado de no subestimar el costo real del proyecto de ISO 27001; si lo hace, la dirección comenzará a ver su proyecto de forma un tanto negativa. En cambio, si puede predecir acertadamente todos los costos demostrará su nivel de profesionalismo. Y no se olvide, siempre debe presentar tanto los costos como los beneficios (consulte Cuatro beneficios clave de la implementación de la norma ISO 27001).

También puede dar un vistazo a nuestro tutorial en vídeo Cómo comenzar el proyecto ISO 27001: redacción del Plan del proyecto (es un vídeo comercial disponible para la venta).

Con mucha frecuencia escucho comentarios sobre la norma ISO 27001 y no sé si ponerme a reír o a llorar. De hecho, es gracioso cómo la gente tiende a tomar decisiones sobre algo acerca de lo que saben muy poco. Estos son los errores conceptuales más comunes:

“La norma requiere…”

“La norma requiere que se cambien las claves cada 3 meses”. “La norma requiere que se contraten a diversos proveedores”. “La norma requiere que la ubicación alternativa de recuperación ante desastres se encuentre, como mínimo, a 50km de distancia de la ubicación principal”. ¿Es así? La norma no dice nada de todo esto. Desgraciadamente, esta es la clase de información falsa que escucho habitualmente. Muchas veces, la gente confunde mejores prácticas con requerimientos de la norma, pero el problema es que no todas las reglas de seguridad son aplicables para todos los tipos de organizaciones. Y quienes sostienen que esto está establecido en la norma, difícilmente la hayan leído alguna vez.

“Dejaremos que el departamento de TI lo maneje”

Esta es la preferida de la dirección: “La seguridad de la información tiene que ver con tecnología de la información, ¿no?” Bueno, no exactamente. Los aspectos más importantes de la seguridad de la información no sólo incluyen medidas de TI, sino también temas organizacionales y gestión de recursos humanos, que, en general, se encuentran fuera del ámbito del departamento de TI. Ver también Seguridad de la información o seguridad de TI.

“Lo implementaremos en unos pocos meses”

Podría ser posible que usted implemente la norma ISO 27001 en dos o tres meses, pero no funcionará; solamente obtendrá un montón de políticas y procedimientos que nadie tendrá en cuenta. La implementación de la seguridad de la información quiere decir que tiene que implementar cambios, y esto lleva tiempo.

Ni qué decir que usted debe implementar solamente los controles de seguridad que realmente necesita, y el análisis de qué es necesario lleva tiempo; se llama evaluación y tratamiento de riesgos.

“Esta norma no es nada más que documentación”

La documentación es una parte importante en la implementación de ISO 27001, pero no es un fin en sí misma. Lo más importante es que usted realice sus actividades de forma segura, y la documentación está allí precisamente para ayudarle. Además, los registros que genere le ayudarán a medir si alcanzó sus objetivos de seguridad de la información y le permitirán corregir aquellas actividades que no lo han logrado.

“El único beneficio de la norma es obtener una ventaja de comercialización”

“Estamos haciendo esto solamente para obtener el certificado, ¿no es cierto?” Bueno, esta es (desafortunadamente) la forma en la que piensa el 80 por ciento de las empresas. No estoy intentando discutir aquí si se debe, o no, utilizar a la norma ISO 27001 con fines de promoción y ventas, pero también puede obtener otros beneficios muy importantes; como evitar que le ocurra lo de WikiLeaks. Ver también Cuatro beneficios clave de la implementación de la norma ISO 27001 y Lecciones aprendidas a partir de WikiLeaks: ¿Qué es exactamente la seguridad de la información?.

Lo importante aquí es que primero hay que leer la norma ISO 27001 para poder dar una opinión sobre la misma, o, si le resulta demasiado aburrida (admito que lo es) como para leerla, consulte a alguien que la conozca de verdad. Y trate de ver otras ventajas, además de la publicidad. Es decir, aumente sus posibilidades de realizar una inversión rentable en seguridad de la información.

También puede dar un vistazo a nuestra serie de tutoriales en vídeo sobre ISO 27001, que explica cada paso de la implementación de esta norma (son vídeos comerciales disponibles para la venta).

En estos días, WikiLeaks se transformó en una historia extraordinaria por un buen motivo: no es muy habitual encontrar publicados en Internet documentos confidenciales del gobierno más poderoso del mundo. Y algunos de estos documentos son, para decirlo respetuosamente, embarazosos.

No voy a escribir aquí sobre si fue legal o no que WikiLeaks publicara esa información, si la información debería haberse dado a conocer o no porque es de interés público, qué sucederá con el fundador de WikiLeaks (al momento de redactar este artículo, Julian Assange se encontraba detenido), etc.

El problema es que si WikiLeaks es cerrado, aparecerá un nuevo WikiLeaks. En otras palabras, la amenaza de fuga de información a la opinión pública aumenta constantemente (A propósito, antes de ser encarcelado, Julian Assange había anunciado que publicaría información discriminatoria sobre uno de los principales bancos de EE. UU. y sobre negligencias en sus actividades).

Aquí quiero tocar el punto de vista corporativo. ¿Qué pasaría si somos nosotros el próximo objetivo de WikiLeaks o de su clon? ¿Cómo garantizar la seguridad de nuestra información y evitar el daño de un incidente tan importante?

Un simple ejemplo

¿Pero cómo es la seguridad de la información en la práctica? Tomemos un simple ejemplo. Por ejemplo, usted deja con frecuencia su ordenador portátil en su automóvil, sobre el asiento trasero. Es muy probable que, tarde o temprano, se lo roben.

¿Qué puede hacer para disminuir ese riesgo? Ante todo, puede crear una regla (redactando un procedimiento o una política) que establezca que los ordenadores personales no pueden ser dejados en un vehículo desatendido; o que se debe estacionar el vehículo en un lugar que tenga algún tipo de protección física. Segundo, puede proteger su información configurando una clave segura y encriptando sus datos. Además, puede exigirles a sus empleados que firmen una declaración por medio de la cual se hacen legalmente responsables por el daño que pueda resultar. Pero ninguna de estas medidas será efectiva si no les explicó las reglas a sus empleados a través de una breve capacitación.

¿Qué conclusiones puede sacar de este ejemplo? La seguridad de la información nunca es una única medida de seguridad, siempre abarca varias juntas. Y estas medidas de seguridad no son solamente relacionadas con TI, sino que también involucran cuestiones organizativas, gestión de recursos humanos, seguridad física y protección legal.

El problema es que esto fue sólo un ejemplo de un único ordenador personal, sin amenazas internas. Ahora piense qué tan complejo es proteger la información en su empresa, donde la información se archiva no solamente en sus ordenadores sino también en diversos servidores; no solamente en los cajones de su escritorio sino en todos sus teléfonos móviles; no solamente en unidades USB sino también en la cabeza de todos los empleados. Y es posible que tenga algún empleado descontento.

¿Parece una tarea imposible? Difícil, sí. Pero no imposible.

¿Cómo encararlo?

Lo que necesita para resolver este complejo problema es un marco referencial. La buena noticia es que ese marco referencial ya existe bajo la forma de normas. La más divulgada es la ISO 27001, la principal norma internacional para gestión de seguridad de información, pero también hay otras: COBIT, serie SP 800 de NIST, PCI DSS, etc.

Me enfocaré aquí en la norma ISO 27001; pienso que le otorga una buena base para edificar el sistema de seguridad de la información porque suministra un catálogo de 133 controles de seguridad y ofrece flexibilidad para aplicar solamente aquellos controles que son realmente necesarios en relación con los riesgos. Pero lo mejor que tiene es que define un marco referencial de gestión para controlar y atender los asuntos de seguridad, logrando, de esta forma, que la gestión de la seguridad sea parte de la gestión general de una organización.

Resumiendo, esta norma le permite tomar en cuenta toda la información en diversos formatos y todos los riesgos y le ofrece una guía para resolver cada problema potencial y para mantener segura su información.

Consecuencias para el negocio

Entonces, ¿deberían las corporaciones temer que se filtre a la opinión pública su información? Si están haciendo algo ilegal o no ético, seguramente que sí.

Sin embargo, las empresas que trabajan legalmente, si desean proteger su negocio, no pueden pensar únicamente en términos de rendimiento de la inversión, participación de mercado, capacidades principales y visión a largo plazo. Su estrategia también debe comprender temas de seguridad ya que tener información insegura les puede costar mucho más que, por ejemplo, el lanzamiento fallido de un nuevo producto. Por seguridad no me refiero solamente a seguridad física, simplemente porque ya no es suficiente; la tecnología hace posible que se filtre información de diversas formas.

Lo que se necesita es un enfoque integral de seguridad de la información; no importa si utiliza la norma ISO 27001, COBIT o algún otro marco referencial, siempre y cuando lo haga en forma sistemática. Y no es un esfuerzo de una única vez, es un trabajo permanente. Y sí, no es algo que su gente de TI pueda hacer sola. Es algo en lo que debe participar toda la empresa, comenzando por la junta directiva.

La autoinstrucción es, sin dudas, una de las mejores formas de hacer posible la implementación de las normas ISO 27001 y BS 25999-2. Debido a que hay cada vez más y más tipos de cursos disponibles, intentaré explicar sus beneficios y sus diferencias.

El primero es la lista de cursos presenciales. Estos cursos aún son mayoría, pero están perdiendo terreno sostenidamente a mano de los cursos en línea (se explican al final del presente artículo).

Curso de Auditor Líder en ISO 27001 o BS 25999-2

Este es el curso más popular, tanto para ISO 27001 como para BS 25999-2; dura 5 días y termina con un examen escrito. El examen es bastante difícil; por lo tanto, bien podría considerarse que este es el mejor curso para esas dos normas. Si aprueba el examen, usted puede convertirse en auditor para una entidad de certificación. Pero ese no es el principal beneficio: es el más útil para profesionales que implementan las normas porque les proporciona una excelente perspectiva sobre las mismas y les brinda explicaciones exhaustivas sobre lo que pedirán los auditores en la auditoría de certificación. Por consiguiente, es útil tanto para auditores como para consultores.

El público al que está orientado este curso está compuesto por profesionales con mediana o mucha experiencia en seguridad de la información, continuidad del negocio, auditoría o TI. Se recomienda que realice solamente cursos reconocidos (por ej., por el IRCA – irca.org).

Curso de Consultor Líder en ISO 27001 o BS 25999-2

Este curso es un tanto parecido al Curso de Auditor Líder en ISO 27001 o BS 25999-2, pero no es tan popular. La diferencia es que este curso se centra en las técnicas de implementación más que en las técnicas de auditoría; por lo tanto, si la certificación no es lo que le interesa, puede encontrar más apropiado este curso.

En este caso, el público al que está orientado el curso es similar: profesionales con mediana o mucha experiencia en seguridad de la información, continuidad del negocio o TI.

Curso de Auditor Interno en ISO 27001 o BS 25999-2

Este curso es una versión no tan profunda del Curso de Auditor Líder en ISO 27001 o BS 25999-2; generalmente dura 2 o 3 días, puede o no tener un examen y el contenido es una versión condensada del curso mencionado. La principal diferencia es que con este curso usted no puede hacer carrera como auditor en una entidad de certificación. Sin embargo, si desea obtener una introducción sistemática al mundo de las normas ISO 27001 o BS 25999-2 o si evalúa convertirse en auditor interno en su empresa, este curso es el indicado para usted.

El público al que está orientado está conformado por profesionales con poca o mediana experiencia en seguridad de la información, continuidad del negocio o TI.

Curso Base o Curso Introductorio para ISO 27001 o BS 25999-2

Estos cursos generalmente duran uno o dos días. Su objetivo no es enseñarle técnicas de auditoría o implementación sino darle una visión general de los requisitos y de los temas de implementación. Si usted no cuenta con mucho tiempo y desea conocer qué experimentará su empresa durante la implementación, sí evalúe uno de estos cursos.

El público al que están orientados son la dirección o profesionales sin experiencia en seguridad de la información o continuidad del negocio.

Otros cursos sobre seguridad de la información o continuidad del negocio

Es posible que haya escuchado sobre cursos de Auditor Certificado de Sistemas de Información (CISA, por sus siglas en inglés), Administrador Certificado de Sistemas de Información (CISM) o Profesional Certificado en Sistemas de Seguridad de la Información (CISSP). Aunque creo que estas opciones son muy útiles para una carrera en seguridad de la información o continuidad del negocio, no son directamente relevantes para las normas ISO 27001 o BS 25999-2. Por lo tanto, pienso que debería tomar los cursos de CISA, CISM y/o CISSP después de haber realizado cursos directamente relacionados con las dos normas.

Cursos en línea

Además de los mencionados cursos presenciales, los cursos en línea (ya sea en el formato de e-learning o webinar en vivo) tienen cada vez más presencia, en parte por los menores costos, ya que no tienen gastos de viajes ni representan tiempo perdido fuera de la oficina. Hay cada vez más y más empresas en Internet que ofrecen más y más contenidos de calidad (incluida nuestra Information Security & Business Continuity Academy). Usted puede encontrar cursos que duran desde una hora (por ej., webinars gratuitos) hasta varias semanas (por ej., cursos de e-learning).

El principal beneficio de los cursos en línea es que usted puede adquirir conocimientos más relevantes en un menor período de tiempo y por menos dinero; aunque la efectividad real de este tipo de cursos aún es una incógnita.

Pero, independientemente del formato o tipo de curso que haga, asegúrese de una cosa: la utilidad de la inversión se verá rápidamente.

También puede dar un vistazo a nuestra serie de tutoriales en vídeo sobre ISO 27001, que explica cada paso de la implementación de esta norma (son vídeos comerciales disponibles para la venta).

¿Su gerencia le ha asignado la tarea de implementar la continuidad del negocio pero usted no sabe muy bien cómo hacerlo? Aunque no se trata de una tarea sencilla, puede utilizar la metodología de la norma BS 25999-2 para facilitar las cosas. Los siguientes son los pasos principales que necesita seguir para implementar esta norma:

1. Obtener el apoyo de la dirección

Si bien no es un paso obligatorio de la norma BS 25999-2, sí se trata de un paso crucial al inicio: si la dirección no comprende los beneficios de la continuidad del negocio y no se compromete con el proyecto, lo más probable es que su proyecto fracase.

2. Tomarlo como un proyecto

La creación de su sistema de gestión de la continuidad del negocio (SGCN) le demandará bastante tiempo y recursos ya que debe definir claramente qué se necesita hacer, dentro de qué plazos y cuáles son las funciones en la implementación del proyecto. En otras palabras, debe aplicar métodos de gestión de proyectos.

3. Definir objetivos y alcance; redactar una Política de GCN

Debe definir qué es lo que usted desea lograr con el SGCN; es decir, cumplir, disminuir el nivel de riesgo, requisitos de sus clientes o socios, etc. También debe definir qué incluirá en su SGCN, si a toda la organización o solamente a una parte. Por ejemplo, puede decidir que incluirá sólo el centro de datos si usted suministra servicios de alojamiento a sus clientes. Todo esto tiene que estar documentado en la Política de GCN.

4. Definir las funciones y las responsabilidades para el SGCN

Como el SGCN se convertirá en una actividad permanente en su organización, es necesario asignar responsabilidades precisas, especialmente para el “promotor” del SGCN (alguien que sea responsable por el SGCN pero que no esté involucrado en las actividades diarias del mismo) y para el “coordinador de GCN”, “gerente de GCN” o similar (una o más personas con tareas activas relacionadas con el SGCN). Lo mejor es documentar estas funciones y responsabilidades en su Política de GCN.

5. Implementar procedimientos obligatorios

La norma BS 25999-2 requiere que se implementen los siguientes cuatro procedimientos obligatorios: control de documentos y registros, auditoría interna, medidas preventivas y correctivas. Estos procedimientos son, en realidad, la base de su sistema de gestión, igual que con las normas ISO 27001 o ISO 9001.

6. Realizar un análisis de impactos en el negocio y evaluación de riesgos

Mediante el análisis de impactos en el negocio usted debe identificar las actividades críticas, su período máximo tolerable de interrupción, sus dependencias (incluidas las dependencias con proveedores y socios externos) y debe establecer objetivos de tiempo de recuperación.

Al realizar la evaluación de riesgos encontrará realmente cuáles pueden ser las causas de interrupción de sus actividades críticas; pueden ser naturales pero también puede tratarse de actividades realizadas por personas (ya sea en forma maliciosa o accidental). También tendrá que llevar a cabo el tratamiento de riesgos, que implica que debe decidir cómo disminuir la posibilidad de que algo funcione mal. Desafortunadamente, la evaluación y el tratamiento de riesgos no están muy bien definidos en esta norma; por lo tanto, podría consultar la norma ISO 27001, que los describe mucho más detalladamente.

7. Determinar la estrategia de continuidad del negocio

Antes de continuar con la redacción de planes de continuidad del negocio, en realidad debe determinar qué recursos necesitará para retomar sus actividades críticas: qué empleados, ubicaciones, datos, hardware, software, proveedores, socios externos, etc.

La estrategia de continuidad del negocio no sólo debe determinar lo que usted necesita, sino también cómo hará para asegurar esos recursos.

8. Desarrollar planes de gestión de incidentes y planes de continuidad del negocio

El objetivo de los planes de gestión de incidentes es describir cómo se responderá directamente ante la ocurrencia de un incidente (por ej., incendio, terremoto, amenaza de bomba, corte de electricidad, etc.) para evitar que se agrande y para intentar disminuir sus efectos directos.

Por otro lado, el objetivo de los planes de continuidad del negocio es describir cómo se recuperarán las actividades críticas, cómo se harán funcionar conjuntamente todos los recursos que se han preparado. Esto quiere decir que es necesario detallar quién hará qué cosa, en qué plazo, utilizando qué datos y tecnología, para poner nuevamente a su organización en funcionamiento.

Todos esto planes tienen ser redactados detalladamente porque deben ser ejecutados aún en el caso que los principales empleados no se encuentren disponibles; por lo tanto, es necesario redactarlos de tal forma que otra persona pueda ejecutarlos.

9. Capacitación y concienciación

Necesita definir el nivel de competencias necesario para la ejecución de los planes de continuidad del negocio ante el caso de una interrupción y, luego, debe capacitar a todo el personal (tanto empleados como socios externos) para llegar a este nivel de competencias.

Sin embargo, esto no es suficiente. También debe explicarle a su personal por qué es necesaria la GCN. Aceptémoslo, sus planes de continuidad del negocio se utilizarán, con suerte, una única vez; por lo tanto, la mayoría de las personas lo consideran una pérdida de tiempo. Por eso, debe explicarles por qué debe existir esta planificación. (Consultar Cómo abordar a quienes no creen en la GCN)

10. Ensayo de GCN

Si piensa que ha redactado los planes de manera perfecta, probablemente se equivoque. Es casi imposible redactar un plan sin errores en el primer intento. Por eso resulta obligatorio ensayar parte del SGCN; debe verificar sus planes en una situación que, más o menos, se asemeje a una interrupción real. Solamente allí podrá determinar qué planificó correctamente y qué no.

11. Mantenimiento y revisión del SGCN

Otra forma de mantener actualizado su SGCN es definiendo intervalos en los que revisará sus planes de continuidad del negocio, pero también otras cuestiones (por ej., contratos con proveedores y socios externos, capacitación y concienciación, etc.). Existe toda clase de cambios en el entorno que amenazan con hacer obsoleta su documentación: es suficiente que un empleado abandone la empresa para tener un número telefónico inservible en un plan si esa persona cumplía una función en el SGCN.

S i se produjo un incidente real, también es obligatorio realizar revisiones después de ocurrido el mismo para ver cómo reaccionó la organización, si siguió los planes o no.

12. Auditoría interna

El objetivo de la auditoría interna es averiguar si hay algo que se está haciendo mal, de manera objetiva. El auditor debe ser una persona que pueda descubrir si algo se hace mal dentro de su SGCN para poder corregirlo. Si se realiza correctamente, la auditoría interna puede ser una de las mejores formas para mejorar su SGCN. (Leer Dilemas con los auditores internos de las normas ISO 27001 y BS 25999-2)

13. Revisión por parte de la dirección

Como se mencionó anteriormente, es muy importante que la dirección se involucre en el proyecto. La revisión por parte de la dirección está diseñada justamente para eso. La norma requiere que la dirección examine todos los hechos importantes sobre la GCN y que decida si ha cumplido su objetivo. Una vez que está hecha, la dirección debe decidir qué mejoras se deben implementar.

14. Medidas preventivas y correctivas

Lo mejor sería evitar que se produzcan errores (o, en términos de BS 25999-2, las “no conformidades”); para esto es que se utilizan las medidas preventivas, representan una forma sistemática de corregir las cosas antes de que generen problemas. Similares a las medidas preventivas, también hay medidas correctivas que solucionan los problemas que ya se han producido.

Ahora la pregunta es ¿por qué usaría usted la norma BS 25999-2? Aunque (todavía) no es una norma internacional, es la norma más reconocida a nivel mundial para la continuidad del negocio. Los pasos mencionados arriba están diseñados por los mejores especialistas en este tema. Por eso, si desea implementar las prácticas más aceptadas para continuidad del negocio, no busque más.

Aquí puede descargar el diagrama del proceso de implementación de la norma BS 25999-2 que muestra todos estos pasos junto con la documentación requerida (requiere inscripción).