ISO 27001 & BS 25999

Si comenzó a implementar la gestión de la continuidad del negocio, probablemente el mayor desafío que está enfrentado sea la redacción de los planes de continuidad del negocio.

¿Por qué es tan difícil? Bueno, tiene que pensar diversos escenarios en los cuales se podrían producir desastres (u otro tipo de interrupción de las actividades comerciales) y tiene que idear una forma para manejar este tipo de incidentes excepcionalmente raros pero potencialmente catastróficos.

Entre los problemas que tiene la gente que redacta estos planes se incluye qué debe contener el plan (cuáles son los elementos principales), qué tan largo (o detallado) debe ser, qué pasos debe incluir, etc.

Una de las mejores soluciones para todos estos problemas radica en utilizar la norma BS 25999-2 que, junto con la BS 25999-1, define una estructura sobre cómo se deben redactar los planes.

Según estas normas, los planes de continuidad del negocio deben consistir de (1) un plan de respuesta a los incidentes y (2) planes de recuperación. Un plan de respuesta a los incidentes generalmente es un único plan redactado para toda la organización y describe qué se debe hacer inmediatamente después de que se produce un desastre: disminuir los efectos del incidente, comunicar a los servicios de emergencia, evacuación del edificio, reunión en los puntos de encuentro, organización del transporte a las ubicaciones alternativas, etc.

Los planes de recuperación generalmente se redactan en forma separada para cada actividad crítica y los pasos que se deben incluir normalmente son los siguientes: cuándo y cómo realizar la comunicación con los diversos grupos de interés (empleados y sus familiares, accionistas, clientes, socios, organismos oficiales, medios de comunicación, etc.), cómo armar el equipo, cómo recuperar la infraestructura, cómo controlar si las aplicaciones están funcionando y si los derechos de acceso son correctos, cómo verificar qué datos faltan o han sido alterados por el desastre, cómo recuperar los datos y cómo decidir cuándo la recuperación ha terminado para poder comenzar el funcionamiento normal.

Los planes de recuperación de después de desastres (los planes de recuperación de la infraestructura de ICT) son los que se deben redactar con mucho cuidado porque deben detallar cómo configurar cada sistema que se ejecuta dentro del objetivo de tiempo de recuperación de una actividad crítica determinada. Generalmente, esto se hace redactando un detallado plan de recuperación para cada sistema que se debe recuperar.

Por regla general, estos planes deben tener un nivel de detalle que permita que otros empleados (o personal externo) pueda ejecutarlo si la gente que trabaja con esa actividad crítica no está disponible. Por lo tanto, hay que usar el sentido común cuando se redactan los planes; deben ser comprensibles para todo el mundo, no sólo para usted.

Según mi experiencia, el mayor desafío al redactar estos planes se encuentra en que los empleados se tienen que enfrentar con algo completamente diferente, algo en lo que nunca han tenido que pensar. Para superar este problema, es recomendable organizar un taller en el que, con o sin un moderador, los empleados puedan compartir sus ideas sobre “qué sucedería si…”,  “cómo reaccionar cuando…”. etc.

La verdad es que, con el sólo hecho de que sus empleados hayan comenzado a pensar en la continuidad del negocio, ya tiene hecho el 50% del trabajo. Con esta forma de ver las cosas, los resultados de la planificación de la continuidad del negocio es mucho mejor.

También puede dar un vistazo a nuestro webinar Fundamentos de BS 25999-2 – Parte 3: Planificación de la continuidad del negocio (es un curso de capacitación disponible para la venta).

¿Por qué las normas ISO 27001 y BS 25999-2 ponen tanto énfasis en el control de la documentación? Ambas normas establecen de forma muy estricta cómo se debe gestionar la documentación y exigen que la organización cuente con un procedimiento documentado para gestionar documentos. Aún peor, no obtendrá la certificación a menos que cuente con un procedimiento de este tipo.

La documentación se puede presentar en diversos formatos: documentos en papel, archivos de texto u hojas de cálculo, archivos de vídeo o audio, etc. Una organización no sólo debe gestionar los documentos internos (por ejemplo, políticas diversas, procedimientos, documentación del proyecto, etc.), sino también los documentos externos (por ejemplo, diferentes tipos de correspondencia, documentación recibida con equipamiento, etc.). Es decir, la gestión de documentación es una tarea compleja e integral.

Entonces, ¿por qué es tan importante gestionar los documentos? A ver, ¿alguna vez se ha encontrado en una situación en la que no sabía dónde encontrar algún documento importante? ¿O se dio cuenta de que sus empleados estaban utilizando una versión incorrecta (antigua) de un procedimiento? ¿O que algunos empleados ni siquiera recibieron un procedimiento importante? ¿O tal vez no estaba claro cuál era la versión de este procedimiento? ¿O determinados documentos confidenciales fueron distribuidos a las personas equivocadas? Si nunca se encontró en este tipo de situaciones conflictivas, probablemente sí le pasó que sus procedimientos no estén actualizados.

Si no aplica un método sistemático para gestionar su documentación, probablemente usted se identifique en alguna de las situaciones mencionadas. Es por ello que las normas ISO 27001 y BS 25999-2 exigen a las organizaciones que implementen un método sistemático de este tipo redactando un procedimiento para la gestión de documentación.

Este procedimiento debe definir claramente las responsabilidades sobre los documentos: quién los aprueba, cómo se distribuyen y se archivan, cómo se mantienen actualizados, qué control de versiones se utiliza, cómo se controlan los cambios en los documentos, qué hacer con la documentación externa, etc.

Debido a que la gestión de documentación es un tema tan importante, tenga la certeza de que el auditor de certificación no sólo requerirá este tipo de procedimiento, sino que también analizará si su documentación realmente se gestiona como está definido en el procedimiento de gestión de documentación. La implementación de este procedimiento probablemente implicará que usted tenga que cambiar su sistema para administrar documentos, que tenga que almacenar documentación en su Intranet o implementar un sistema más complejo de gestión de documentación y que tenga que organizar el archivo de documentación en papel.

Cuando comience a implementar la norma ISO 27001 o BS 25999-2, empezará a ver la importancia de escribir las cosas, pero también verá que lo que escriba debe estar organizado, salvo que no desee poder tener el control sobre ello. De hecho, los documentos son el flujo vital de su sistema de gestión: cuídelos si quiere que su sistema sea saludable.

También puede dar un vistazo a nuestro tutorial en vídeo Cómo redactar el Procedimiento para control de documentos según ISO 27001 e ISO 22301 (es un vídeo comercial disponible para la venta).

Si esta es la primera vez que se cruza con la idea de un auditor interno, probablemente se encuentre desconcertado: ¿para qué necesito otro control? ¿Quién lo va a pagar? ¿A quién debo emplear para que lo realice? Es una real pérdida de tiempo…

Bueno, no tiene que ser tan malo; además de dar conformidad a las normas ISO 27001 y BS 25999-2, las auditorías internas pueden ser bastante útiles para sus demás temas comerciales (estén, o no, relacionados con la seguridad de la información o la continuidad del negocio).

El punto con las auditorías internas es que descubran problemas que de otra forma permanecerían ocultos y, por consiguiente, perjudicarían el negocio. Seamos realistas, cometer errores es humano; por lo tanto, es imposible tener un sistema sin fallas; aunque sí es posible tener un sistema que se mejore a sí mismo y que aprenda de sus errores. Las auditorías internas son una parte crucial de ese tipo de sistemas.

Existen unos pocos pasos para realizar una auditoría interna:

a)      Emplear un auditor interno a tiempo completo: esto sólo es posible en organizaciones grandes que podrían tener suficiente trabajo para esta persona (algunos tipos de organizaciones, por ejemplo los bancos, están obligados por ley a tener estos puestos).

b)      Emplear auditores internos a tiempo parcial: esta es la situación más común, las organizaciones utilizan a sus propios empleados para realizar auditorías internas al mismo tiempo que cumplen sus funciones laborales habituales. Una cuestión importante a tener en cuenta: para evitar el conflicto de intereses (los auditores no pueden auditar su propio trabajo), debe haber al menos dos auditores internos para que uno pueda auditar el trabajo habitual del otro.

c)      Emplear auditores internos fuera de la organización: aunque esta persona no sea empleada de la organización, también se la considera auditor interno porque la auditoría es realizada por la misma organización, siguiendo sus propias reglas. Generalmente, esto lo hace una persona experimentada en este campo (consultor independiente, etc.).

Sin embargo, por mi experiencia como auditor, la triste verdad es que la mayoría de las organizaciones realiza auditorías internas solamente para cumplir con la entidad de certificación. El resultado que se obtiene de este tipo de auditorías internas son algunos incumplimientos que no llegan a los problemas reales de los sistemas de gestión de seguridad de la información (SGSI) o de gestión de la continuidad del negocio (SGCN). Esto es una pérdida de tiempo; si las empresas hubieran invertido tiempo de sus auditores internos para realizar estos trabajos, habrían obtenido algunos beneficios.

Pero, entonces, ¿cuál es el enfoque correcto sobre las auditorías internas? Estas son algunas ideas:

1. La gerencia debe ver la auditoría interna como una de las mejores herramientas para mejorar el sistema, no sólo como un medio para obtener la certificación.
2. Los auditores internos deben estar capacitados: esto significa que deben tener experiencia en seguridad de la información, en tecnología de la información y en técnicas de auditoría. No significa que el auditor debe ser un experto en esas áreas.
3. La auditoría interna debe ser realizada en forma positiva: el objetivo debería ser mejorar el sistema, no culpar a los empleados por sus errores.

Por el lado positivo, como auditor de certificación he visto a algunas organizaciones realizar auditorías internas correctamente. Aunque sus empleados se sintieron un poco incómodos porque alguien controlaba sus actividades, enseguida vieron los beneficios de este enfoque: los problemas salieron a la luz y fueron resueltos bastante rápido.

También puede dar un vistazo a nuestro tutorial en vídeo Cómo redactar el Procedimiento de auditoría interna y el Programa de auditoría según ISO 27001 e ISO 22301 (es un vídeo comercial disponible para la venta).

¿Está pensando en implementar la norma BS 25999-2 sobre gestión de la continuidad del negocio? ¿Pero escuchó que le costará mucho dinero? Probablemente le cueste algún dinero, pero no necesariamente tanto como pensaba; puede solucionar esto con una buena estrategia de continuidad del negocio.

La estrategia de continuidad del negocio, según la define la norma BS 25999-2, es una “metodología que tiene una organización para asegurar su recuperación y continuidad frente a un desastre o algún otro incidente grave o interrupción del negocio”. Por lo tanto, el tema es prepararse lo mejor posible uno mismo para contrarrestar un desastre en el caso que se produzca. Esta preparación puede incluir medidas institucionales (diseño de planes, firma de contratos con proveedores o socios, ejercitación, revisión, concienciación de la gente, etc.) y medidas que incluyan la inversión en equipamiento, infraestructura, etc.

El tiempo es un factor muy importante en la recuperación: si no recupera su actividad comercial a tiempo, probablemente perderá sus clientes y, en consecuencia, perderá su negocio también. Por eso, la estrategia de continuidad del negocio debe establecer el objetivo de tiempo de recuperación (RTO, por sus siglas en inglés) para cada una de sus actividades críticas; es posible que el RTO sea diferente para cada una de ellas.

Una consideración importante: cuanto más corto es el RTO, mayor será la inversión que necesitará. Por ejemplo, si desea recuperar su centro de datos en menos de una hora, tendrá que invertir en una ubicación alternativa con casi el mismo equipamiento que la ubicación principal; en cambio, si desea recuperar su centro de datos en dos semanas, la inversión será mucho menor porque será suficiente almacenar las cintas de respaldo en una ubicación alternativa, contando luego con dos semanas para obtener el equipamiento necesario. Todo esto significa que su RTO no debe ser demasiado prolongado pero tampoco demasiado corto.

Una vez que se establece el RTO, todavía necesitará realizar otras inversiones; sin embargo, con una buena estrategia de continuidad del negocio, podrá disminuir esa inversión aún teniendo la posibilidad de recuperar sus actividades críticas dentro del objetivo de tiempo de recuperación. Estos son algunos ejemplos:

• Es posible que no necesite si propio centro de datos en una ubicación alternativa (en la mayoría de los países se puede alquilar este tipo de servicio a una empresa especializada), lo cual significa que no necesitará invertir en infraestructura, incluso, tal vez, ni siquiera en equipamiento o software.
• Es posible que no necesite oficinas en una ubicación alternativa ya que los empleados que no tienen que atender clientes personalmente pueden trabajar desde sus hogares.
• Es posible que no necesite una ubicación alternativa para nada si tiene otras unidades de negocio en diferentes lugares que pudieran hacerse cargo de las actividades críticas afectadas por el desastre.
• Es posible que no necesite comprar equipamiento por adelantado si puede encontrar un proveedor que le garantice la entrega del equipamiento dentro de su RTO.
• Etc.

En todos estos ejemplos, necesitará incrementar sus capacidades organizativas, pero si desea ahorrar dinero, seguramente es algo merece ser tenido en cuenta.

También puede dar un vistazo a nuestro webinar Fundamentos de BS 25999-2 – Parte 2: Estrategia de continuidad del negocio (es un curso de capacitación disponible para la venta).

¿Ya ha implementado la norma ISO 9001? ¿Ha escuchado que la ISO 27001 podría ser una buena idea? Pero, ¿cómo algo que tiene que ver con la calidad le puede ayudar a implementar la seguridad de la información?

Puede, más de lo que usted piensa… La norma ISO 9001 especifica cómo deben ser los sistemas de gestión de calidad (SGC), mientras que la ISO/IEC 27001 especifica los sistemas de gestión de seguridad de la información (SGSI). Por lo tanto, la parte de “sistemas de gestión” es la misma. Entonces, ¿de qué se trata realmente?

La filosofía de los sistemas de gestión ha crecido a partir de la teoría desarrollada por W. Edwards Deming durante la segunda mitad del siglo XX, y se basa en el ciclo de Planificación, Implementación, Revisión y Actuación (PDCA, por sus siglas en inglés). Básicamente, este ciclo consiste en lo siguiente: en la fase de Planificación usted debe planificar lo que desea lograr con el sistema de gestión; en la fase de Implementación, lo implementa; en la fase de Revisión, controla permanentemente si ha logrado lo que planificó y en la fase de Actuación, debe hacer las mejoras; es decir, llenar el vacío entre lo que planificó y lo que consiguió.

Aunque este ciclo fue inventado pensando en la gestión de calidad, se tomó como base para todos los otros sistemas de gestión: seguridad de la información (ISO/IEC 27001), medio ambiente (ISO 14001), continuidad del negocio (BS 25999-2), etc. Quiere decir que algunos de los elementos que ha implementado para el sistema de gestión de calidad conforme a la ISO 9001, los podrá utilizar también para el sistema de gestión de seguridad de la información. Esta es la lista:

• Gestión de documentación: el procedimiento utilizado para la gestión de documentación en el SGC puede ser usado con el mismo objetivo en el SGSI, sólo con algunas pequeñas adaptaciones.
• Auditoría interna: se puede utilizar el mismo procedimiento para el SGC y para el SGSI; aunque la auditoría interna concreta generalmente sería realizada por personas diferentes, ya que no es muy probable que una misma persona conozca en profundidad tanto sobre seguridad de la información como sobre calidad.
• Medidas correctivas y preventivas: el procedimiento utilizado para el SGC puede ser usado con el mismo objetivo en el SGSI, aunque es probable que sean personas diferentes quienes resuelvan los temas relacionados con SGC o SGSI.
• Gestión de recursos humanos: el mismo ciclo de planificación, capacitación y evaluación de RR.HH. se utiliza para ambos sistemas de gestión; naturalmente, la diferencia radica en el perfil de capacidades y conocimientos requeridos.
• Revisión por parte de la gerencia: los principios de la revisión por parte de la gerencia son los mismos para ambos sistemas de gestión; aunque no sería recomendable realizar ambas revisiones en paralelo, la gerencia ya estará acostumbrada a tomar decisiones sobre el SGC; por lo tanto comprenderán mejor cómo tomar decisiones en el contexto del SGSI.
• Establecimiento de objetivos comerciales y seguimiento de su cumplimiento: se fija el mismo mecanismo en ambas normas; por eso, la gerencia estará acostumbrada a una planificación sistemática de este tipo.

Por lo tanto, si ya ha implementado la norma ISO 9001, se le facilitará el trabajo de implementar la ISO 27001 (y viceversa): podría ahorrar hasta un 30% del tiempo. Además, tendrá auditorías de certificación más económicas ya que las entidades certificadoras ofrecen las denominadas “auditorías integradas”, que significa que auditarán las normas ISO 9001 e ISO 27001 en la misma auditoría, cobrándole una tarifa menor en relación a auditorías separadas.

Si su SGC funciona correctamente, verá que el proyecto de SGSI se desarrollará sin inconvenientes; la gerencia comprenderá mejor los potenciales beneficios comerciales, al tiempo que todas las unidades de la organización estarán acostumbradas a la necesidad de definir procedimientos, responsabilidades y documentación precisos.

De hecho, contar con un SGC proporciona una muy buena base para la seguridad de la información: si usted ya tiene la ISO 9001, piense seriamente en la ISO 27001.

También puede dar un vistazo a nuestro webinar gratuito Implementación de ISO 27001: ¿Cómo hacerla más sencilla utilizando la ISO 9001?.

Uno podría pensar que estos dos términos son sinónimos; después de todo, ¿la seguridad de la información no tiene que ver con las computadoras?

En realidad, no. El punto principal es el siguiente: usted puede tener medidas de seguridad de TI perfectas, pero un sólo acto malicioso realizado por, digamos, un administrador, puede hacer caer todo el sistema de TI. Este riesgo no tiene nada que ver con las computadoras, está relacionado con personas, procesos, supervisión, etc.

Además, la información importante inclusive podría no estar en formato digital, también puede estar en formato de papel; por ejemplo, un importante contrato firmado con el mayor cliente, notas personales del director principal o contraseñas impresas de administrador guardadas en una caja fuerte.

Por lo tanto, siempre me gusta decirles a mis clientes que la seguridad de TI es 50% seguridad de la información, porque este aspecto también incluye seguridad física, gestión de recursos humanos, protección legal, organización, proceso, etc. El objetivo de la seguridad de la información es crear un sistema que tenga en cuenta todos los riesgos posibles sobre la seguridad de la información (relacionada o no con TI) e implementar controles integrales que reduzcan todos los tipos de riesgos inaceptables.

Este enfoque integrado sobre la seguridad de la información está bien definido en la norma ISO 27001, la principal norma internacional sobre gestión de seguridad de la información. En conclusión, es necesario realizar la evaluación de riesgos sobre todos los activos de la organización, incluyendo hardware, software, documentación, personal, proveedores, socios, etc., y escoger los controles adecuados para disminuir esos riesgos.

La norma ISO 27001 ofrece 133 controles en su Anexo A. He realizado un breve análisis sobre esos controles y estos son los resultados:

• Controles relacionados con TI: 46%
• Controles relacionados con la organización o documentación: 30%
• Controles sobre seguridad física: 9%
• Protección legal: 6%
• Controles relacionados con la relación con proveedores y clientes: 5%
• Controles sobre la gestión de recursos humanos: 4%

¿Qué significa todo esto en términos de implementación de seguridad de la información y de la ISO 27001? Este tipo de proyectos no debe ser visto como un proyecto de TI porque, como tal, es probable que no todas las partes de la organización estén dispuestas a participar en él. Debe ser encarado como un proyecto que involucre a toda la empresa, en el que la gente importante de todas las unidades comerciales deben formar parte: la alta gerencia, personal de TI, asesores legales, gerentes de recursos humanos, personal de seguridad física, el lado comercial de la organización, etc. Sin este enfoque, terminará trabajando en la seguridad de TI y, de esta forma, no estará protegido ante los mayores riesgos.

También puede dar un vistazo a nuestro webinar Fundamentos de ISO 27001 – Parte 3: Resumen del Anexo A (es un curso de capacitación disponible para la venta).

He visto bastantes empresas pequeñas (de hasta 50 empleados) intentado adaptar herramientas para la evaluación de riesgos como parte de su proyecto de implementación de la norma ISO 27001. El resultado es que, generalmente, demanda mucho tiempo y dinero y se consiguen muy pocos resultados.

Primero, ¿qué es realmente la evaluación de riesgos y cuál es su objetivo? La evaluación de riesgos es un proceso durante el cual una organización debe identificar los riesgos de seguridad de la información determinando su probabilidad e impacto. En otras palabras, la organización debe reconocer todos los potenciales problemas con su información, cómo podrían suceder y qué consecuencias podrían tener. El objetivo de la evaluación de riesgos es encontrar qué controles se necesitan para disminuir el riesgo; la selección de controles se denomina proceso de tratamiento de riesgos y, en la ISO 27001, estos controles son tomados del Anexo A, donde se especifican 133 controles.

La evaluación de riesgos se realiza identificando y evaluando activos, vulnerabilidades y amenazas. Un activo es todo lo que tenga valor para la organización: hardware, software, personal, infraestructura, datos (en diversos formatos y medios), proveedores y socios, etc. Una vulnerabilidad es una debilidad en un activo, proceso, control, etc. que pueda ser explotado por una amenaza. Una amenaza es cualquier causa que pueda infligir daño a un sistema u organización. Un ejemplo de una vulnerabilidad es la falta de software antivirus; y una amenaza relacionada es el virus informático.

Teniendo todo esto en cuenta, si su organización es pequeña, usted realmente no necesita una herramienta sofisticada para realizar la evaluación de riesgos. Todo lo que necesita es una hoja de cálculo de Excel, buenos catálogos de vulnerabilidades y amenazas y una buena metodología de evaluación de riesgos. La tarea principal pasa realmente por evaluar la probabilidad y las consecuencias, y esto no es posible hacerlo con cualquier herramienta, es algo que los propietarios de sus activos, con el conocimiento que tienen sobre los mismos, tienen que evaluar.

Entonces, ¿dónde consigue los catálogos y la metodología? Si actualmente utiliza los servicios de un consultor, él o ella debería proporcionárselos; si no, hay algunos catálogos disponibles en Internet, sólo debe buscarlos con Google. La metodología no está disponible en forma gratuita, pero podría usar la norma ISO 27005 (describe detalladamente la evaluación y tratamiento de riesgos) o podría usar otros sitios Web que venden la metodología. Todo esto debería resultar en un considerable ahorro de tiempo y dinero en lugar de comprar una herramienta para la evaluación de riesgos y aprender a utilizarla.

Una buena metodología debe contener un método para identificar activos, amenazas y vulnerabilidades, tablas para marcar las probabilidades y consecuencias, un método para calcular el riesgo y para definir el nivel aceptable de riesgo. Los catálogos deben tener al menos 30 vulnerabilidades y 30 amenazas; algunos cuentan, inclusive, con unos cientos de cada uno, pero esto probablemente sea demasiado para una empresa pequeña.

El proceso realmente no es complicado; aquí se detallan los pasos básicos para la valuación y el tratamiento:

1. Definir y documentar la metodología (incluyendo los catálogos) y distribuirlos a todos los propietarios de activos de la organización.
2. Organizar entrevistas con todos los propietarios de activos para que ellos identifiquen sus activos y las vulnerabilidades y amenazas relacionadas. En el segundo paso solicitarles que evalúen la probabilidad e impacto si ocurriera un riesgo en particular.
3. Consolidar los datos en una única hoja de cálculo, calcular los riesgos e indicar qué riesgos no son aceptables.
4. Para cada riesgo que no sea aceptable, escoger uno o más controles del Anexo A de la ISO 27001 y calcular cuál sería el nuevo nivel de riesgo luego de la implementación de esos controles.

Como conclusión: la evaluación y tratamiento de riesgos son los verdaderos pilares de la seguridad de la información y de la ISO 27001, pero esto no significa que tengan que ser complicados. Lo puede hacer de una manera sencilla, y su sentido común es lo que en realidad importa.

También puede dar un vistazo a nuestro tutorial en vídeo Cómo implementar el tratamiento de riesgos según ISO 27001 (es un vídeo comercial disponible para la venta).

Usted ya ha dedicado un período bastante considerable a la implementación de la ISO 27001, ha invertido bastante en capacitación, consultoría e implementación de diversos controles. Ahora llega el auditor de la entidad de certificación. ¿Aprobará la certificación?

Esta ansiedad es normal, usted nunca puede saber si su SGSI (sistema de gestión de la seguridad de la información) tiene todo lo que la entidad certificadora solicita. Pero ¿qué es exactamente lo que busca el auditor?

Primero, el auditor llevará a cabo la Fase 1 de auditoría, también denominada “Revisión de la documentación”. En esta auditoría, el auditor buscará la documentación sobre el alcance, la política y los objetivos del SGSI, la descripción de la metodología de evaluación de riesgos, el Informe sobre la evaluación de riesgos, la Declaración de aplicabilidad, el Plan de tratamiento del riesgo, los procedimientos para el control de documentos, las medidas correctivas y preventivas y la auditoría interna. Usted también deberá documentar algunos de los controles del Anexo A (sólo si los considera aplicables en la Declaración de aplicabilidad): inventario de activos (A.7.1.1), uso aceptable de activos (A.7.1.3), tareas y responsabilidades de los empleados, contratistas y terceros (A.8.1.1), términos generales de empleo (A.8.1.3), procedimientos para el funcionamiento de las instalaciones de procesamiento de la información (A.10.1.1), política de control de acceso (A.11.1.1) e identificación de la legislación aplicable (A.15.1.1). También necesitará registros de, al menos, una auditoría interna y una revisión por parte de la gerencia.

Si falta alguno de estos elementos, significa que no está listo para la Fase 2 de auditoría. Obviamente que usted podría tener muchos más documentos si lo considera necesario, pero la lista anterior contiene los requerimientos mínimos.

A la Fase 2 de auditoría también se la denomina “auditoría principal” y, generalmente, se realiza unas semanas después de la Fase 1. En esta auditoría el enfoque no va a ser sobre la documentación sino en si su organización realmente está haciendo lo que sus documentos y la ISO 27001 dicen que tiene que hacer. En otras palabras, el auditor verificará si su SGSI verdaderamente se ha materializado en su organización o si sólo se trata de letra muerta. El auditor lo verificará mediante la observación y entrevistas con sus empleados pero principalmente controlando sus registros. Entre los registros obligatorios se incluyen los de formación, capacitación, habilidades, experiencias y calificaciones (5.2.2), auditoría interna (6), revisión por parte de la gerencia (7.1) y medidas correctivas (8.2) y preventivas (8.3). Sin embargo, el auditor esperará ver muchos más registros como resultado de la realización de los procedimientos.

Por favor, tenga cuidado sobre este punto; cualquier auditor experimentado se dará cuenta al instante si alguna parte de su SGSI es ficticio y confeccionado solamente para los fines de la auditoría.

Perfecto, ya sabía todo esto. Pero aún sucede: el auditor encontró un incumplimiento grave y le informó que no se emitirá el certificado ISO 27001. ¿Es el fin del mundo?

Por supuesto que no. El proceso es el siguiente: el auditor informará los resultados (incluyendo el incumplimiento grave) en el informe de auditoría y le dará un plazo en el cual deberá solucionar el incumplimiento (generalmente son 90 días). Su trabajo es tomar las medidas correctivas correspondientes, pero debe tener cuidado ya que esta acción debe solucionar el origen del incumplimiento; en caso contrario, el auditor podría no aceptar lo que se ha hecho. Una vez que esté seguro de haber tomado las medidas correctas, debe notificarle al auditor y enviarle la evidencia de lo que ha hecho. En la mayoría de los casos, si ha hecho su trabajo concienzudamente, el auditor aceptará su medida correctiva y activará el proceso de emisión del certificado.

Ahora sí, demandó tiempo pero ahora usted es el orgulloso propietario del certificado ISO/IEC 27001. (Tenga cuidado, el certificado tiene una validez de tres años solamente, y puede ser suspendido durante dicho período si la entidad de certificación identifica algún otro incumplimiento grave en las visitas de control.)

También puede dar un vistazo a nuestra serie de tutoriales en vídeo sobre ISO 27001, que explica cada paso de la implementación de esta norma (son vídeos comerciales disponibles para la venta).

A primera vista, la seguridad de la información y la continuidad del negocio no tienen mucho en común. Alguien podría agregar que la única semejanza es que ambas están relacionadas con TI.

La mejor definición de la gestión de la seguridad de la información se encuentra en la norma internacional ISO/IEC 27001, mientras que la gestión de la continuidad del negocio está mejor definida en la norma británica BS 25999-2; por lo tanto, si deseamos comparar ambos temas, lo más inteligente sería darle una mirada a lo que dicen ambas normas.

Primero, la TI de una parte importante tanto en la ISO 27001 como en la BS 25999-2, pero de ninguna forma estas normas se refieren solamente a TI, el énfasis está puesto sobre procesos y activos comerciales y los riesgos relacionados. Es verdad que la TI es la principal herramienta para procesar los datos, pero es un hecho que los mayores riesgos siguen estando relacionados con las actividades maliciosas e involuntarias de las personas. Por lo tanto, los riesgos asociados con la seguridad de la información o con la continuidad del negocio no pueden resolverse sólo con tecnología de la información; es mucho más importante definir la organización, los procesos y las responsabilidades dentro de la organización.

Pero ¿qué es básicamente la seguridad de la información? La norma ISO 27001 la define como “preservación de confidencialidad, integridad y disponibilidad de la información”. Por otro lado, la norma BS 25999-2 define la continuidad del negocio como la “capacidad estratégica y táctica de la organización para planificar y responder ante los incidentes e interrupciones del negocio con el fin de permitir la continuación de las actividades comerciales en un nivel aceptable, previamente definido”.

No parecen muy similares. Sin embargo, hay algo que las asemeja mucho: la disponibilidad. El enfoque de ambas, de la seguridad de la información y de la continuidad del negocio, es mantener disponible la información para aquellos que la necesitan; en ese sentido, el Anexo A de la ISO 27001 ofrece algunos controles dedicados exclusivamente a la continuidad del negocio.

Además, ambas normas requieren la realización de una evaluación de riesgos para identificar potenciales problemas relacionados con la información; como también demandan gestión de documentación, la realización de auditorías internas, revisiones por parte de la gerencia y medidas correctivas y preventivas. Esto quiere decir que si usted ya tiene documentación para la ISO 27001, puede utilizar esos mismos procedimientos para la BS 25999-2 (con algunas pequeñas adaptaciones).

¿Cuáles son las diferencias? La principal diferencia radica en el nivel de detalle. La norma ISO 27001 abarca un área mucho más amplia y, por lo tanto, no es muy precisa respecto de la continuidad del negocio. Por otro lado, la norma BS 25999-2 describe detalladamente cómo hacer un análisis de impactos en el negocio, cómo definir una estrategia de continuidad del negocio o cómo debe ser el contenido de los planes de continuidad del negocio, entre otras cosas.

Para cerrar, lo importante aquí es que usted pueda pensar en la continuidad del negocio como parte de la seguridad de la información. El uso práctico de ello, es que en el momento de la implementación de la continuidad del negocio en el marco de la ISO 27001, es mejor usar la norma BS 25999-2 como directriz.

También puede dar un vistazo a nuestro webinar gratuito ISO 27001 y BS 25999-2: ¿Por qué es importante implementarlas juntas?.

¿Piensa en la norma ISO 27001 e imagina que le ayudará a conseguir conformidad, a atraer nuevos clientes, a disminuir el costo de los incidentes y a agilizar sus principales procesos de TI? La idea es buena, pero cuando llega el momento de la implementación, las cosas comienzan a complicarse.

Primero tendría que convencer a su gerencia (si es que usted no es parte de la alta gerencia) de que la ISO 27001 realmente es necesaria en su empresa. Generalmente, la gerencia está sobrecargada con otros compromisos y vencimientos y no es probable que aborden otro proyecto sobre el cual preocuparse.

Aún si a la gerencia le interesa hacer algo en relación con la seguridad de la información, la segunda pregunta que surge es: ¿cómo se financia? A primera vista, podría parecer que este “trámite no debería costar demasiado”, pero pronto se da cuenta de que le tiene que pagar al consultor, que debe comprar documentación, capacitar a sus empleados, invertir en software y equipamiento, pagar la certificación, etc.

Pero supongamos que, por obra de algún milagro, encuentra el dinero; entonces surge la tercera pregunta: ¿quién lo hará realmente? Si tiene un consultor sincero, le dirá que no es posible que un consultor le provea las plantillas de la documentación, pero que deberá intentar, con mucho esfuerzo, adaptar la documentación a su situación. Pero tampoco termina aquí; el consultor también le informa que, en realidad, usted debe hacer exactamente lo que la documentación (y la norma) le dicen que haga. Y es una obligación permanente, no un trabajo de una sola vez.

Entonces se reúne con sus colegas y les pregunta cómo dividirían el trabajo para implementar y ejecutar la norma ISO 270001 y, de repente, todos comienzan a hablar sobre otra cosa. Peor aún, le puede solicitar a la gerencia que contrate un Gerente de Seguridad Informática que, debido a la falta de este tipo de personas en el mercado, no trabajará por poco dinero.

Entonces usted termina designado gerente de proyecto para la norma ISO 27001, con un pequeño o inexistente presupuesto, con un equipo que realmente no quiere preocuparse con la seguridad de la información y con una gerencia que pretende la certificación lo antes posible una vez que el proyecto ha comenzado.

¿Todavía está interesado en la ISO 27001?

También puede dar un vistazo a nuestra serie de tutoriales en vídeo sobre ISO 27001, que explica cada paso de la implementación de esta norma (son vídeos comerciales disponibles para la venta).