ISO 27001 & BS 25999

Muy a menudo observo políticas de seguridad de la información redactadas en forma muy detallada y que intentan abarcar absolutamente todo, desde los objetivos estratégicos hasta cuántos dígitos numéricos debería contener una contraseña. El único problema con este tipo de políticas es que cuentan con 50 o más páginas y, en realidad, nadie las toma seriamente. Generalmente terminan siendo documentos artificiales cuyo único objetivo es satisfacer al auditor.

Pero, ¿por qué son tan difíciles de implementar ese tipo de políticas? Porque son demasiado ambiciosas; tratan de cubrir demasiados temas y están dirigidas a un amplio círculo de gente.

Por eso mismo es que la ISO 27001, la norma líder en seguridad de la información, define diferentes niveles de políticas de seguridad de la información:

• Políticas de alto nivel (como la Política del sistema de gestión de seguridad de la información): estas políticas generalmente definen la intención, los objetivos y demás aspectos estratégicos.
• Políticas detalladas: este tipo de políticas generalmente describe detalladamente un área específica de la seguridad de la información, con responsabilidades definidas, etc.

La norma ISO 27001 requiere que la Política de gestión de la seguridad de la información (SGSI), al ser el documento más importante, contenga lo siguiente: el marco para establecer objetivos, tomando en cuenta los diferentes requisitos y obligaciones, la alineación con la realidad de la organización respecto de la gestión estratégica del riesgo y el establecimiento de criterios de evaluación. Una política de estas características, en realidad, debería ser muy corta (tal vez una o dos páginas) porque tiene como objetivo principal que la alta gerencia puede controlar su SGSI.

Por otro lado, las políticas detalladas deben estar orientadas al uso operativo y enfocadas en un campo más acotado de actividades de seguridad. Algunos ejemplos de este tipo de políticas son: Política de clasificación, Política sobre el uso aceptado de los activos de información, Política de creación de copias de seguridad, Política de control de acceso, Política de contraseñas, Política de escritorio y pantalla despejados, Política de uso de redes, Política sobre equipos móviles, Política sobre el uso de controles criptográficos, etc. Nota: la norma ISO 27001 no requiere la implementación ni la documentación de todas estas políticas porque la decisión de si corresponden dichos controles, y con qué alcance, depende de los resultados de la evaluación de riesgos.

Como estas políticas deben incluir más detalles, generalmente son más largas; de hasta 10 páginas. Si fueran mucho más largas, sería muy difícil implementarlas y mantenerlas.

En otras palabras, la seguridad de la información es un tema muy complejo para poder definirlo en una única política: debería haber diferentes políticas sobre los diferentes aspectos del SGSI y para los diferentes “destinatarios”. Las organizaciones medianas, normalmente elaboran hasta quince políticas sobre para su SGSI.

Se podría discutir que esta cantidad de políticas no significa más que gastos operativos para una empresa. Seguramente estaría de acuerdo si tales políticas son redactadas sólo pensando en la auditoría de certificación; de esta forma sólo producirían más burocracia. Sin embargo, si una política es redactada con la intención de disminuir los riesgos, más que seguro demostrará su valor, tal vez no de inmediato sino probablemente en dos o tres años, disminuyendo la cantidad de incidentes.

También puede dar un vistazo a nuestro tutorial en vídeo Cómo redactar la Política del SGSI según ISO 27001 (es un vídeo comercial disponible para la venta).

Tal vez haya escuchado que la norma ISO 27001 requiere de muchos procedimientos, pero esto no es del todo verdadero. En realidad, la norma requiere de sólo cuatro procedimientos documentados: uno para el control de los documentos, uno para las auditorías internas de SGSI, uno para las medidas correctivas y uno para las medidas preventivas. El término “documentado” significa que “el procedimiento está establecido, documentado, implementado y es sostenido” (ISO/IEC 27001, 4.3.1 Nota 1).

Nota: en este artículo del blog no escribiré sobre otros documentos obligatorios como el Alcance del SGSI, la Política de SGSI, la Metodología de evaluación de riesgos, el Informe sobre la evaluación de riesgos, la Declaración de aplicabilidad, el Plan de tratamiento del riesgo, etc.; aquí me centraré solamente en los procedimientos.

El procedimiento para el control de la documentación (procedimiento de gestión de documentación) debe definir quién es el responsable de aprobar y verificar los documentos, cómo identificar los cambios y el estado de revisión, cómo distribuir los documentos, etc. En otras palabras, este procedimiento debe definir cómo funcionará el flujo vital (el flujo de documentos) de la organización.

El procedimiento para auditorías internas tiene que definir las responsabilidades sobre la planificación y realización de auditorías, cómo se informan los resultados y cómo se llevan los registros. Esto significa que las reglas principales para realizar la auditoría deben estar establecidas.

El procedimiento para medidas correctivas debe definir cómo se identifican los incumplimientos y sus causas, cómo se definen e implementan las acciones necesarias, qué registros se llevan y cómo se realiza la revisión de las medidas. El objetivo de este procedimiento es definir cómo cada medida correctiva debería eliminar la causa del incumplimiento para que no ocurra nuevamente.

El procedimiento para las medidas preventivas es casi el mismo que el procedimiento para las medidas correctivas; la única diferencia es que el primero tiene como objetivo eliminar la causa del incumplimiento para que directamente no se produzca. Debido a sus semejanzas, estos dos procedimientos generalmente se unifican en uno solo.

Pero, ¿por qué la norma ISO 27001 requiere procedimientos documentados que no están relacionados con la seguridad de la información mientras que los procedimientos de seguridad no son obligatorios?

La respuesta está en la evaluación de riesgos: la norma ISO 27001 sí le obliga a realizar la evaluación de riesgos, y cuando esta evaluación identifica determinados riesgos inaceptables, la norma requiere la implementación de un control de su Anexo A que disminuirá el o los riesgos. El control puede ser técnico (por ejemplo, un software antivirus para disminuir el riesgo de ataque de un software malicioso), pero también puede ser organizacional: implementar una política o procedimiento (por ejemplo, implementar un procedimiento de respaldo). Por lo tanto, los procedimientos se convierten en obligatorios sólo si la evaluación de riesgos identifica riesgos inaceptables.

Sin embargo, es importante mencionar que, a diferencia de los cuatro procedimientos obligatorios que deben ser documentados, los procedimientos que surgen de los controles del Anexo A no tienen que ser documentados. Depende de la organización evaluar si un procedimiento de este tipo debe documentarse o no.

Puede considerar a los cuatro procedimientos obligatorios como los pilares de su sistema de gestión (junto con la política de seguridad); una vez que están firmemente establecidos, puede comenzar a levantar las paredes de su casa. Esto es evidente cuando usted observa otros sistemas de gestión (los mismos cuatro procedimientos también allí son obligatorios) de las normas ISO 9001 (sistemas de gestión de calidad), ISO 14001 (sistemas de gestión del medio ambiente) y BS 25999-2 (sistemas de continuidad del negocio). De esta forma, usted puede utilizar esos procedimientos como la relación principal entre los diferentes sistemas de gestión si desea desarrollar el denominado “sistema integrado de gestión”.

También puede dar un vistazo a nuestro tutorial en vídeo Cómo redactar el Procedimiento para control de documentos según ISO 27001 e ISO 22301 (es un vídeo comercial disponible para la venta).