ISO 27001 & BS 25999

Si usted está empezando a implementar la norma ISO 27001, probablemente esté buscando una forma sencilla para hacerlo. Permítame desilusionarlo: no existe una forma sencilla para lograrlo. Sin embargo, intentaré facilitarle el trabajo. Este es un listado de dieciséis pasos que deberá seguir si desea obtener la certificación ISO 27001:

1. Obtener el apoyo de la dirección

Esto puede parecer un tanto obvio y, generalmente, no es tomado con la seriedad que merece. Pero, de acuerdo con mi experiencia, es el principal motivo en el fracaso de los proyectos para la implementación de la norma ISO 27001 ya que la dirección no destina suficientes recursos humanos para que trabajen en el proyecto ni suficiente dinero. (Lea Cuatro beneficios clave de la implementación de la norma ISO 27001 para presentarle el tema a la dirección)

2. Tomarlo como un proyecto

Como ya se ha dicho, la implementación de la norma ISO 27001 es un tema complejo que involucra diversas actividades, a muchas personas y puede demandar varios meses (o más de un año). Si no define claramente qué es lo que se hará, quién lo hará y en qué período de tiempo (por ej., aplicar la gestión del proyecto), es probable que nunca termine el trabajo.

3. Definir el alcance

Si se trata de una gran organización, probablemente tenga sentido implementar la norma ISO 27001 solamente en una parte de la misma, reduciendo significativamente de esta forma, los riesgos del proyecto. (Problemas para definir el alcance de la norma ISO 27001)

4. Redactar una Política de SGSI

La Política de SGSI es el documento más importante en su SGSI: no debe ser demasiado detallado pero debe definir algunos temas básicos sobre la seguridad de la información en su organización. Pero ¿cuál es su objetivo si no es minucioso? El objetivo es que la dirección defina qué desea lograr y cómo controlarlo. (Política de Seguridad de la Información: ¿qué nivel de detalle debería tener?)

5. Definir la metodología de Evaluación de riesgos

La evaluación de riesgos es la tarea más compleja del proyecto para la norma ISO 27001; su objetivo es definir las reglas para identificar los activos, las vulnerabilidades, las amenazas, las consecuencias y las probabilidades, como también definir el nivel aceptable de riesgo. Si esas reglas no están definidas claramente, usted podría encontrarse en una situación en la que obtendría resultados inservibles. (Consejos sobre la evaluación de riesgos para empresas pequeñas)

6. Realizar la evaluación y el tratamiento de riesgos

Aquí, usted tiene que implementar lo que definió en el paso anterior. En organizaciones más grandes puede demandar varios meses, por lo tanto, debe coordinar esta tarea con mucho cuidado. Lo importante es obtener una visión integral de los peligros sobre la información de su organización.

El objetivo del proceso de tratamiento de riesgos es reducir los riesgos no aceptables (generalmente se hace planificando el uso de controles del Anexo A).

En este paso, se debe redactar un Informe sobre la evaluación de riesgos que documente todos los pasos tomados durante el proceso de evaluación y tratamiento de riesgos. También es necesario conseguir la aprobación de los riesgos residuales; ya sea en un documento separado o como parte de la Declaración de aplicabilidad.

7. Redactar la Declaración de aplicabilidad

Luego de finalizar su proceso de tratamiento de riesgos, sabrá exactamente qué controles del Anexo necesita (hay un total de 133 controles pero, probablemente, no los necesite a todos). El objetivo de este documento (generalmente denominado DdA) es enumerar todos los controles, definir cuáles son aplicables y cuáles no, definir los motivos de esa decisión, los objetivos que se lograrán con los controles y describir cómo se implementarán.

La Declaración de aplicabilidad también es el documento más apropiado para obtener la autorización de la dirección para implementar el SGSI.

8. Redactar el Plan de tratamiento del riesgo

Justo cuando pensaba que había resuelto todos los documentos relacionados con el riesgo, aquí aparece otro. El objetivo del Plan de tratamiento del riesgo es definir claramente cómo se implementarán los controles de la DdA, quién lo hará, cuándo, con qué presupuesto, etc. Este documento es, en realidad, un plan de implementación enfocado sobre sus controles; sin el cual, usted no podría coordinar los pasos siguientes del proyecto.

9. Determinar cómo medir la eficacia de los controles

Otra tarea que, generalmente, es subestimada. El tema aquí es, si usted no puede medir lo que ha hecho, ¿cómo puede estar seguro de que ha logrado el objetivo? Por lo tanto, asegúrese de determinar cómo medirá el logro de los objetivos establecidos tanto para todo el SGSI como para cada control aplicable de la Declaración de aplicabilidad.

10. Implementación de controles y procedimientos obligatorios

Es más fácil decirlo que hacerlo. Aquí es cuando debe implementar los cuatro procedimientos obligatorios y los controles correspondientes del Anexo A.

Esta es, habitualmente, la tarea más riesgosa de su proyecto ya que, generalmente, implica la aplicación de nuevas tecnologías pero, sobre todo, la implementación de nuevas conductas en su organización. Muchas veces las nuevas políticas y procedimientos son necesarios (en el sentido que el cambio es necesario) y las personas, generalmente, se resisten al cambio; es por ello que la siguiente tarea (capacitación y concienciación) es vital para prevenir ese riesgo.

11. Implementar programas de capacitación y concienciación

Si quiere que sus empleados implementen todas las nuevas políticas y procedimientos, primero debe explicarles por qué son necesarios y debe capacitarlos para que puedan actuar según lo esperado. La falta de estas actividades es el segundo motivo principal por el fracaso del proyecto para la implementación de la norma ISO 27001.

12. Hacer funcionar el SGSI

Esta es la parte en que ISO 27001 se transforma en una rutina diaria dentro de su organización. La palabra más importante aquí es: “registros”. A los auditores les encantan los registros; sin registros le resultará muy difícil probar que una actividad se haya realizado realmente. Pero, ante todo, los registros deberían ayudarle. Con ellos, usted puede supervisar qué está sucediendo, sabrá realmente si sus empleados (y proveedores) están realizando sus tareas según lo requerido.

13. Supervisión del SGSI

¿Qué está sucediendo en su SGSI? ¿Cuántos incidentes tiene? ¿De qué tipo? ¿Todos los procedimientos se efectúan correctamente?

Aquí es donde se cruzan los objetivos de los controles con la metodología de medición; debe verificar si los resultados que obtiene cumplen con lo que se estableció en los objetivos. Si no se cumplen, es evidente que algo está mal y debe aplicar medidas correctivas y/o preventivas.

14. Auditoría interna

Muchas veces las personas no son conscientes de que están haciendo algo mal (por otro lado, a veces sí lo saben pero no quieren que nadie lo descubra). Pero no ser consciente de los problemas existentes o potenciales puede dañar a su organización, por eso debe realizar auditorías internas para descubrir este tipo de cosas. Lo importante aquí no es activar medidas disciplinarias, sino aplicar medidas correctivas y/o preventivas. (Dilemas con los auditores internos de las normas ISO 27001 y BS 25999-2)

15. Revisión por parte de la dirección

La dirección no tiene que configurar el cortafuegos, pero sí debe saber qué está sucediendo en el SGSI; es decir, si todo el mundo ejecutó sus tareas, si el SGSI obtiene los resultados deseados, etc. En base a estos aspectos, la dirección debe tomar algunas decisiones importantes.

16. Medidas correctivas y preventivas

El objetivo del sistema de gestión es garantizar que todo lo que está mal (las denominadas “no conformidades”) sea corregido o, con algo de suerte, evitado. Por lo tanto, la norma ISO 27001 requiere que las medidas correctivas y preventivas se apliquen sistemáticamente; es decir, que se identifique la raíz de una no conformidad y se solucione y se controle.

Tal vez, este artículo haya aclarado qué es necesario hacer. Aunque implementar la norma ISO 27001 no sea una tarea sencilla, no necesariamente tiene que ser tan complicado. Solamente debe planificar detalladamente cada paso, y no se preocupe… obtendrá su certificado.

Aquí puede descargar el diagrama del proceso de implementación de la norma ISO 27001 que muestra todos estos pasos junto con la documentación requerida.

Probablemente, usted ya sabía que el primer paso en la implementación de la norma ISO 27001 era la definición del alcance. Lo que tal vez no sabía era que este paso, aunque parezca sencillo a primera vista, a veces le puede ocasionar bastantes problemas. Por ejemplo, muchas compañías tratan de disminuir sus costos de implementación acotando el alcance, pero, generalmente, se encuentran con que ese alcance termina siendo un dolor de cabeza.

Entonces, ¿dónde está el problema?

El problema que se presenta cuando el alcance de la ISO 27001 no abarca a toda la organización es que el Sistema de Gestión de Seguridad de la Información (SGSI) tiene que interactuar con el mundo “exterior”. En ese contexto, el mundo exterior no son sólo los clientes, socios, proveedores, etc., sino también los departamentos de la organización que no están dentro del alcance definido. Puede parecer gracioso, pero un departamento que no está incluido en el alcance debe ser tratado de la misma forma que un proveedor externo.

Por ejemplo, si decide que sólo el departamento de TI esté dentro del alcance, y este departamento utiliza los servicios del sector Compras, el departamento de TI debe realizar la evaluación de riesgos sobre el sector Compras para identificar si existe algún riesgo para la información de la que es responsable el departamento de TI. Además, ambas áreas deben firmar acuerdos de términos y condiciones por los servicios brindados.

¿Por qué es necesario este gasto operativo? Póngase en el lugar del organismo de certificación: debe certificar que, dentro del alcance definido, usted puede administrar la información de forma segura, pero no puede verificar ninguno de los otros departamentos que están fuera del alcance. La única forma de manejar una situación de este tipo es tratando a esos departamentos como si fueran compañías externas. (Aclaración: a los auditores de certificación no les gusta un alcance acotado.)

Pero este no es todo el problema. A veces, un alcance muy acotado directamente no es posible porque no hay interacción con el mundo exterior. Por ejemplo, si los empleados de áreas que se encuentran dentro y fuera del alcance trabajan en la misma habitación, un alcance de este tipo es muy poco factible. Si ambos empleados utilizan la misma red local (sin división) y tienen acceso a diversos servicios de red, un alcance definido de esta forma, definitivamente, no es posible; no hay forma de que usted pueda controlar el flujo de información solamente dentro del ámbito del alcance que ha definido.

El punto aquí es que, a veces, resulta imposible acotar el alcance de su SGSI y, en la mayoría de los casos, le ocasionará costos operativos innecesarios. Por lo tanto, lo que inicialmente no parecía una buena idea podría ser, después de todo, la solución óptima: intente extender el alcance a toda la organización. Como regla general: si su organización tiene no más de unos pocos cientos de empleados y una o unas pocas ubicaciones, lo mejor sería que el SGSI cubra a toda la organización.

En cambio, si realmente no es posible incluir a toda la organización dentro del alcance de su SGSI, intente acotarlo a una unidad de la organización que sea suficientemente independiente. Intente resolver las relaciones con otras unidades que se encuentran afuera del alcance determinando sus servicios mediante documentos internos (políticas, procedimientos, etc.) que podrían utilizarse como “acuerdos”; de esta forma, podría documentar las obligaciones de esas unidades de la organización de una forma que sea útil para las actividades diarias.

Ahí lo tiene, ha resuelto el primer paso en la implementación de la norma ISO 27001.

También puede dar un vistazo a nuestro tutorial en vídeo Cómo definir y documentar el alcance del SGSI según ISO 27001 (es un vídeo comercial disponible para la venta).