ISO 27001 & BS 25999

Esta es, habitualmente, una de las primeras preguntas que me hacen los potenciales clientes. Y aunque tenga que desilusionarlos, no puedo proporcionarles inmediatamente la cifra exacta. Por los siguientes motivos.

Ante todo, el costo total de la implementación dependerá del tamaño de su organización (o del tamaño de la(s) unidad(es) de negocio que se incluirá(n) dentro del alcance de la norma ISO 27001), del grado crítico de la información (por ejemplo, la información de los bancos se considera más crítica y requiere un nivel de protección mayor), de la tecnología que utiliza la organización (por ejemplo, los centros de datos suelen tener mayores costos debido a sus complejos sistemas) y de las disposiciones legales (generalmente, los sectores públicos y financieros están muy controlados en relación con la seguridad de la información).

Además, sería imposible calcular los costos exactos antes de saber qué nivel de protección necesita. Primero debe realizar una evaluación de riesgos, ya que este análisis le mostrará qué medidas de seguridad necesita.

Una vez que conozca el resultado de la evaluación de riesgos, tendrá que tener en cuenta los siguientes costos:

1. Costo de publicaciones y de capacitación

La implementación de la norma ISO 27001 requiere cambios en su organización, y requiere también nuevas capacidades. Usted puede preparar a sus empleados comprando diversos libros sobre el tema y/o enviándolos a cursos (presenciales o en línea) de entre 1 y 5 días de duración (consulte Cómo conocer más sobre las normas ISO 27001 y BS 25999-2).

Y no se olvide de comprar la norma ISO 27001 propiamente dicha; con mucha frecuencia me encuentro con empresas que están implementando la norma sin haberla visto realmente.

2. Costo de asistencia externa

Desafortunadamente, capacitar a sus empleados no es suficiente. Si usted no cuenta con un gerente de proyecto con amplia experiencia en la implementación de la norma ISO 27001 necesitará alguien que sí tenga ese conocimiento; para ello, puede contratar a un consultor externo o puede optar por alguna alternativa en línea (esto es lo que hacemos en Information Security & Business Continuity Academy).

Lo más valioso de tener alguien con experiencia que le ayude en este tipo de proyectos es que usted no terminará en callejones sin salida; es decir, no se pasará meses y meses realizando actividades que no son realmente necesarias o no trabajará con toneladas de documentación no requerida por la norma. Y esto realmente cuesta.

Sin embargo, tenga cuidado con esto y no espere que el consultor haga toda la implementación por usted; la norma ISO 27001 solamente podrá ser implementada por sus empleados.

3. Costo de tecnología

Puede parecer raro, pero la mayoría de las empresas con las que he trabajado no necesitaron de grandes inversiones en hardware, software ni en nada que se le parezca; todas estas cosas ya las tenían. Generalmente, el mayor desafío pasó por cómo utilizar la tecnología existente de forma más segura.

Sin embargo, sí es necesario planificar este tipo de inversiones si resultan necesarias.

4. Costo del tiempo de los empleados

La norma no se implementará sola, como tampoco podrá ser implementada solamente por un consultor (si es que contrata alguno). A sus empleados les tomará tiempo identificar dónde están los riesgos, cómo mejorar los procedimientos y políticas existentes o implementar nuevas; les demandará tiempo capacitarse para asumir las nuevas responsabilidades y para adaptarse a las nuevas normas.

5. Costo de la certificación

Si usted desea obtener una constancia pública de que ha dado cumplimiento a la norma ISO 27001, la entidad de certificación tendrá que realizar una auditoría de certificación, cuyo costo dependerá de la cantidad de días/hombre que le demande hacer el trabajo: podrá ser desde menos de 10 días/hombre para empresas pequeñas hasta unas docenas de días/hombre para organizaciones más grandes. El costo del día/hombre depende del mercado local.

Tiene que tener mucho cuidado de no subestimar el costo real del proyecto de ISO 27001; si lo hace, la dirección comenzará a ver su proyecto de forma un tanto negativa. En cambio, si puede predecir acertadamente todos los costos demostrará su nivel de profesionalismo. Y no se olvide, siempre debe presentar tanto los costos como los beneficios (consulte Cuatro beneficios clave de la implementación de la norma ISO 27001).

También puede dar un vistazo a nuestro tutorial en vídeo Cómo comenzar el proyecto ISO 27001: redacción del Plan del proyecto (es un vídeo comercial disponible para la venta).

Probablemente, usted ya sabía que el primer paso en la implementación de la norma ISO 27001 era la definición del alcance. Lo que tal vez no sabía era que este paso, aunque parezca sencillo a primera vista, a veces le puede ocasionar bastantes problemas. Por ejemplo, muchas compañías tratan de disminuir sus costos de implementación acotando el alcance, pero, generalmente, se encuentran con que ese alcance termina siendo un dolor de cabeza.

Entonces, ¿dónde está el problema?

El problema que se presenta cuando el alcance de la ISO 27001 no abarca a toda la organización es que el Sistema de Gestión de Seguridad de la Información (SGSI) tiene que interactuar con el mundo “exterior”. En ese contexto, el mundo exterior no son sólo los clientes, socios, proveedores, etc., sino también los departamentos de la organización que no están dentro del alcance definido. Puede parecer gracioso, pero un departamento que no está incluido en el alcance debe ser tratado de la misma forma que un proveedor externo.

Por ejemplo, si decide que sólo el departamento de TI esté dentro del alcance, y este departamento utiliza los servicios del sector Compras, el departamento de TI debe realizar la evaluación de riesgos sobre el sector Compras para identificar si existe algún riesgo para la información de la que es responsable el departamento de TI. Además, ambas áreas deben firmar acuerdos de términos y condiciones por los servicios brindados.

¿Por qué es necesario este gasto operativo? Póngase en el lugar del organismo de certificación: debe certificar que, dentro del alcance definido, usted puede administrar la información de forma segura, pero no puede verificar ninguno de los otros departamentos que están fuera del alcance. La única forma de manejar una situación de este tipo es tratando a esos departamentos como si fueran compañías externas. (Aclaración: a los auditores de certificación no les gusta un alcance acotado.)

Pero este no es todo el problema. A veces, un alcance muy acotado directamente no es posible porque no hay interacción con el mundo exterior. Por ejemplo, si los empleados de áreas que se encuentran dentro y fuera del alcance trabajan en la misma habitación, un alcance de este tipo es muy poco factible. Si ambos empleados utilizan la misma red local (sin división) y tienen acceso a diversos servicios de red, un alcance definido de esta forma, definitivamente, no es posible; no hay forma de que usted pueda controlar el flujo de información solamente dentro del ámbito del alcance que ha definido.

El punto aquí es que, a veces, resulta imposible acotar el alcance de su SGSI y, en la mayoría de los casos, le ocasionará costos operativos innecesarios. Por lo tanto, lo que inicialmente no parecía una buena idea podría ser, después de todo, la solución óptima: intente extender el alcance a toda la organización. Como regla general: si su organización tiene no más de unos pocos cientos de empleados y una o unas pocas ubicaciones, lo mejor sería que el SGSI cubra a toda la organización.

En cambio, si realmente no es posible incluir a toda la organización dentro del alcance de su SGSI, intente acotarlo a una unidad de la organización que sea suficientemente independiente. Intente resolver las relaciones con otras unidades que se encuentran afuera del alcance determinando sus servicios mediante documentos internos (políticas, procedimientos, etc.) que podrían utilizarse como “acuerdos”; de esta forma, podría documentar las obligaciones de esas unidades de la organización de una forma que sea útil para las actividades diarias.

Ahí lo tiene, ha resuelto el primer paso en la implementación de la norma ISO 27001.

También puede dar un vistazo a nuestro tutorial en vídeo Cómo definir y documentar el alcance del SGSI según ISO 27001 (es un vídeo comercial disponible para la venta).

Usted ya ha dedicado un período bastante considerable a la implementación de la ISO 27001, ha invertido bastante en capacitación, consultoría e implementación de diversos controles. Ahora llega el auditor de la entidad de certificación. ¿Aprobará la certificación?

Esta ansiedad es normal, usted nunca puede saber si su SGSI (sistema de gestión de la seguridad de la información) tiene todo lo que la entidad certificadora solicita. Pero ¿qué es exactamente lo que busca el auditor?

Primero, el auditor llevará a cabo la Fase 1 de auditoría, también denominada “Revisión de la documentación”. En esta auditoría, el auditor buscará la documentación sobre el alcance, la política y los objetivos del SGSI, la descripción de la metodología de evaluación de riesgos, el Informe sobre la evaluación de riesgos, la Declaración de aplicabilidad, el Plan de tratamiento del riesgo, los procedimientos para el control de documentos, las medidas correctivas y preventivas y la auditoría interna. Usted también deberá documentar algunos de los controles del Anexo A (sólo si los considera aplicables en la Declaración de aplicabilidad): inventario de activos (A.7.1.1), uso aceptable de activos (A.7.1.3), tareas y responsabilidades de los empleados, contratistas y terceros (A.8.1.1), términos generales de empleo (A.8.1.3), procedimientos para el funcionamiento de las instalaciones de procesamiento de la información (A.10.1.1), política de control de acceso (A.11.1.1) e identificación de la legislación aplicable (A.15.1.1). También necesitará registros de, al menos, una auditoría interna y una revisión por parte de la gerencia.

Si falta alguno de estos elementos, significa que no está listo para la Fase 2 de auditoría. Obviamente que usted podría tener muchos más documentos si lo considera necesario, pero la lista anterior contiene los requerimientos mínimos.

A la Fase 2 de auditoría también se la denomina “auditoría principal” y, generalmente, se realiza unas semanas después de la Fase 1. En esta auditoría el enfoque no va a ser sobre la documentación sino en si su organización realmente está haciendo lo que sus documentos y la ISO 27001 dicen que tiene que hacer. En otras palabras, el auditor verificará si su SGSI verdaderamente se ha materializado en su organización o si sólo se trata de letra muerta. El auditor lo verificará mediante la observación y entrevistas con sus empleados pero principalmente controlando sus registros. Entre los registros obligatorios se incluyen los de formación, capacitación, habilidades, experiencias y calificaciones (5.2.2), auditoría interna (6), revisión por parte de la gerencia (7.1) y medidas correctivas (8.2) y preventivas (8.3). Sin embargo, el auditor esperará ver muchos más registros como resultado de la realización de los procedimientos.

Por favor, tenga cuidado sobre este punto; cualquier auditor experimentado se dará cuenta al instante si alguna parte de su SGSI es ficticio y confeccionado solamente para los fines de la auditoría.

Perfecto, ya sabía todo esto. Pero aún sucede: el auditor encontró un incumplimiento grave y le informó que no se emitirá el certificado ISO 27001. ¿Es el fin del mundo?

Por supuesto que no. El proceso es el siguiente: el auditor informará los resultados (incluyendo el incumplimiento grave) en el informe de auditoría y le dará un plazo en el cual deberá solucionar el incumplimiento (generalmente son 90 días). Su trabajo es tomar las medidas correctivas correspondientes, pero debe tener cuidado ya que esta acción debe solucionar el origen del incumplimiento; en caso contrario, el auditor podría no aceptar lo que se ha hecho. Una vez que esté seguro de haber tomado las medidas correctas, debe notificarle al auditor y enviarle la evidencia de lo que ha hecho. En la mayoría de los casos, si ha hecho su trabajo concienzudamente, el auditor aceptará su medida correctiva y activará el proceso de emisión del certificado.

Ahora sí, demandó tiempo pero ahora usted es el orgulloso propietario del certificado ISO/IEC 27001. (Tenga cuidado, el certificado tiene una validez de tres años solamente, y puede ser suspendido durante dicho período si la entidad de certificación identifica algún otro incumplimiento grave en las visitas de control.)

También puede dar un vistazo a nuestra serie de tutoriales en vídeo sobre ISO 27001, que explica cada paso de la implementación de esta norma (son vídeos comerciales disponibles para la venta).