ISO 27001 & BS 25999

La importancia de la Declaración de aplicabilidad (a veces conocida como DdA) generalmente es subestimada, como el Manual de calidad en la norma ISO 9001, ya que se trata del documento principal que define cómo usted implementará una gran parte de su sistema de seguridad de la información.

De hecho, la Declaración de aplicabilidad es el nexo principal entre la evaluación y el tratamiento del riesgo y la implementación de su sistema de seguridad de la información. El objetivo de este documento es definir cuáles de los 133 controles (medidas de seguridad) sugeridos en el Anexo A de la norma ISO 27001 son los que usted implementará y, para los controles que correspondan, cómo se realizará su implementación.

Por qué es necesaria

Ahora bien, ¿por qué es necesario este documento cuando usted ya ha confeccionado el Informe sobe la evaluación de riesgos, que también es obligatorio y que también define los controles necesarios? Estos son los motivos:

• Ante todo, durante el tratamiento de riesgos usted identificó los controles que debían implementarse porque primero identificó los riesgos que era necesario disminuir. Sin embargo, en la DdA usted también identificó los controles necesarios por otras razones; por ejemplo, por motivos legales, por requisitos contractuales, por otros procesos, etc.

• Segundo, el Informe sobre la evaluación de riesgos puede resultar bastante largo: algunas organizaciones pueden identificar algunos miles de riesgos (a veces, aún más); por eso, un documento de estas características no resulta realmente útil en el uso operativo diario. En cambio, la Declaración de aplicabilidad es bastante breve ya que tiene 133 filas (cada una representa un control); esto permite que pueda ser presentada ante la gerencia y que pueda ser actualizada.

• Tercero, y más importante, la DdA debe documentar si cada control aplicable ya está implementado o no. Una estrategia efectiva, y que la mayoría de los auditores buscará, también es describir cómo se implementa cada control aplicable; por ejemplo, haciendo referencia a un documento (política, procedimiento, instrucciones de funcionamiento, etc.) o detallando brevemente el procedimiento vigente o el equipo que se utiliza.

De hecho, si solicita la certificación ISO 27001, el auditor de certificación tomará su Declaración de aplicabilidad y recorrerá su empresa verificando si ha implementado los controles de la forma en que lo ha detallado en su DdA. Es el principal documento que utilizan para realizar la auditoría presencial.

Muy pocas empresas se dan cuenta de que redactando una buena Declaración de aplicabilidad pueden disminuir la cantidad de otros documentos; por ejemplo, si desea documentar un determinado control, pero la descripción del procedimiento para ese control resultaría demasiado breve, lo puede incluir en la DdA. De esta forma, estaría evitando redactar otro documento.

Por qué es útil

Por experiencia, puedo afirmar que la mayoría de las empresas que implementan el sistema de gestión de seguridad de la información de acuerdo a la norma ISO 27001 dedican mucho más tiempo en redactar este documento que lo que habían previsto. El motivo es que deben pensar cómo implementarán sus controles: ¿Comprarán nuevos equipos? ¿Modificarán el procedimiento? ¿Contratarán un nuevo empleado? Estas son decisiones bastante importantes (y, a veces, costosas), por ello no sorprende que requiera mucho tiempo tomarlas. Lo bueno acerca de la DdA es que obliga a las organizaciones a hacer las cosas de forma sistemática.

Por lo tanto, no se debería tomar este documento simplemente como uno de esos “documentos innecesarios” que no tienen una utilidad real. Piense que es la principal declaración en la que usted define lo que desea hacer con su seguridad de la información. Si está redactado correctamente, la DdA es un resumen perfecto acerca de lo que se debe hacer en seguridad de la información, por qué se debe hacer y cómo se debe hacer.

Haga clic aquí para descargar una plantilla gratuita de la Declaración de aplicabilidad.

El Anexo A de la norma ISO 27001 es, probablemente, el anexo más nombrado de todas las normas de gestión. ¿Por qué se habla tanto sobre él? ¿Por qué a veces es controvertido?

Si usted ya ha leído el Anexo A, ha observado que allí se enumeran 133 controles de seguridad. En ese caso, ¿para qué se usa la parte principal de la norma?

Objetivo

El Anexo A contiene los siguientes puntos (a veces denominados como dominios del Anexo A de la norma ISO 27001):

• A.5 Política de seguridad
• A.6 Organización de la seguridad de la información
• A.7 Gestión de activos
• A.8 Seguridad relacionada con el personal
• A.9 Seguridad física y del entorno
• A.10 Gestión de comunicaciones y operaciones
• A.11 Control de acceso
• A.12 Adquisición, desarrollo y mantenimiento de los sistemas de la información
• A.13 Gestión de los incidentes de seguridad de la información
• A.14 Gestión de la continuidad del negocio
• A.15 Cumplimiento

Como ya se ha mencionado, el Anexo A contiene 133 controles que, como se puede observar por los nombres de los puntos, no se centran solamente en tecnologías de la información; también incluyen seguridad física, protección legal, gestión de recursos humanos, asuntos organizacionales, etc.

Por lo tanto, puede considerar al Anexo A como una especie de catálogo de medidas de seguridad para utilizar durante el proceso de tratamiento: una vez que identifica riesgos no aceptables en la evaluación de riesgos, el Anexo A le ayudará a escoger los controles adecuados para disminuir esos riesgos. Y le asegura no olvidar ningún control importante.

El Anexo A es donde se juntan las normas ISO 27001 e ISO 27002. Los controles de la norma ISO 27002 tienen los mismos nombres que en el Anexo A de la norma ISO 27001; pero la diferencia se encuentra en el nivel de detalle: la ISO 27001 sólo proporciona una breve descripción de un control, mientras que la ISO 27002 ofrece lineamientos detallados sobre cómo implementar el control.

Desventajas

Si usted piensa que, por lo mencionado hasta ahora, el Anexo A es la herramienta perfecta de implementación para su proyecto de seguridad de la información, no sea tan optimista. También cuenta con algunas cosas que no tienen sentido. Por ejemplo, algunos controles definen casi los mismos temas, generando, a veces, confusión; como, por ejemplo, los puntos A.9.2.6 (Eliminación segura o re-uso del equipo) y A.10.7.2 (Eliminación de medios). Por otro lado, algunos temas, como relaciones con terceros, están dispersos en varios puntos del Anexo A; por ejemplo, puede encontrar este tema en los puntos A.6.2 (Entidades externas), A.8 (Seguridad relacionada con el personal) y A.10.2 (Gestión de entrega de servicios de terceros) y en el control A.12.5.5 (Desarrollo de outsourced software). Esto hace que, en ocasiones, el Anexo A sea difícil de usar como herramienta de implementación.

Pero esas no son las únicas ambigüedades. En algunos de los controles, el Anexo A menciona políticas y procedimientos y, sin embargo, no requiere que tengan que ser documentados. Puede parecer gracioso, pero la norma requiere políticas o procedimientos escritos solamente donde aparece la palabra “documentado”. Cuando se analiza todo el Anexo A, se observa que menciona la palabra “documentado” en sólo 6 controles (A.5.1.1, A.7.1.3, A.8.1.1, A.10.1.1, A.11.1.1, A.15.1.1); eso significa que usted puede implementar todos los demás controles sin documentarlos.

Sin embargo, no debe abusar de esta flexibilidad del Anexo A. Cuanto más grande es la organización, mayor cantidad de documentos debe generar para garantizar que todo el mundo es consciente de (y cumple con) sus procedimientos de seguridad. Por otro lado, debe tener mucho cuidado de no excederse con la documentación, ya que si es excesiva, nadie la tendrá en cuenta.

Relación con la parte principal de la norma ISO 27001

La parte principal de la norma, o más precisamente los puntos obligatorios 4 a 8, contienen la parte de gestión de la norma y establecen el ciclo PDCA (las fases de Planificación-Implementación-Verificación-Mantenimiento), incluyendo evaluación y tratamiento de riesgos, control de documentación, control de registros, provisión de recursos, auditoría interna, revisión por parte de la dirección, medidas correctivas y preventivas, etc.

Como se mencionó anteriormente, el proceso de evaluación y tratamiento de riesgos es la principal conexión entre los puntos 4 a 8 y los controles del Anexo A: le ayudará a decidir si son necesarios, o no, aplicar controles específicos del Anexo A para disminuir los riesgos.

Esto significa que los puntos 4 a 8 y el Anexo A no pueden existir uno sin el otro: la evaluación de riesgos no tiene sentido si no hay controles para disminuir los riesgos, y la única forma de determinar la aplicabilidad de los controles es a través de la evaluación de riesgos.

En mi opinión, este enfoque sobre los riesgos y sobre la flexibilidad de aplicar controles de seguridad de acuerdo con lo que usted considera adecuado, son los mejores aspectos de la norma ISO 27001. Sólo tiene que asegurarse de aprovecharlos completamente.

También puede dar un vistazo a nuestro webinar Fundamentos de ISO 27001 – Parte 3: Resumen del Anexo A (es un curso de capacitación disponible para la venta).

Si usted está empezando a implementar la norma ISO 27001, probablemente esté buscando una forma sencilla para hacerlo. Permítame desilusionarlo: no existe una forma sencilla para lograrlo. Sin embargo, intentaré facilitarle el trabajo. Este es un listado de dieciséis pasos que deberá seguir si desea obtener la certificación ISO 27001:

1. Obtener el apoyo de la dirección

Esto puede parecer un tanto obvio y, generalmente, no es tomado con la seriedad que merece. Pero, de acuerdo con mi experiencia, es el principal motivo en el fracaso de los proyectos para la implementación de la norma ISO 27001 ya que la dirección no destina suficientes recursos humanos para que trabajen en el proyecto ni suficiente dinero. (Lea Cuatro beneficios clave de la implementación de la norma ISO 27001 para presentarle el tema a la dirección)

2. Tomarlo como un proyecto

Como ya se ha dicho, la implementación de la norma ISO 27001 es un tema complejo que involucra diversas actividades, a muchas personas y puede demandar varios meses (o más de un año). Si no define claramente qué es lo que se hará, quién lo hará y en qué período de tiempo (por ej., aplicar la gestión del proyecto), es probable que nunca termine el trabajo.

3. Definir el alcance

Si se trata de una gran organización, probablemente tenga sentido implementar la norma ISO 27001 solamente en una parte de la misma, reduciendo significativamente de esta forma, los riesgos del proyecto. (Problemas para definir el alcance de la norma ISO 27001)

4. Redactar una Política de SGSI

La Política de SGSI es el documento más importante en su SGSI: no debe ser demasiado detallado pero debe definir algunos temas básicos sobre la seguridad de la información en su organización. Pero ¿cuál es su objetivo si no es minucioso? El objetivo es que la dirección defina qué desea lograr y cómo controlarlo. (Política de Seguridad de la Información: ¿qué nivel de detalle debería tener?)

5. Definir la metodología de Evaluación de riesgos

La evaluación de riesgos es la tarea más compleja del proyecto para la norma ISO 27001; su objetivo es definir las reglas para identificar los activos, las vulnerabilidades, las amenazas, las consecuencias y las probabilidades, como también definir el nivel aceptable de riesgo. Si esas reglas no están definidas claramente, usted podría encontrarse en una situación en la que obtendría resultados inservibles. (Consejos sobre la evaluación de riesgos para empresas pequeñas)

6. Realizar la evaluación y el tratamiento de riesgos

Aquí, usted tiene que implementar lo que definió en el paso anterior. En organizaciones más grandes puede demandar varios meses, por lo tanto, debe coordinar esta tarea con mucho cuidado. Lo importante es obtener una visión integral de los peligros sobre la información de su organización.

El objetivo del proceso de tratamiento de riesgos es reducir los riesgos no aceptables (generalmente se hace planificando el uso de controles del Anexo A).

En este paso, se debe redactar un Informe sobre la evaluación de riesgos que documente todos los pasos tomados durante el proceso de evaluación y tratamiento de riesgos. También es necesario conseguir la aprobación de los riesgos residuales; ya sea en un documento separado o como parte de la Declaración de aplicabilidad.

7. Redactar la Declaración de aplicabilidad

Luego de finalizar su proceso de tratamiento de riesgos, sabrá exactamente qué controles del Anexo necesita (hay un total de 133 controles pero, probablemente, no los necesite a todos). El objetivo de este documento (generalmente denominado DdA) es enumerar todos los controles, definir cuáles son aplicables y cuáles no, definir los motivos de esa decisión, los objetivos que se lograrán con los controles y describir cómo se implementarán.

La Declaración de aplicabilidad también es el documento más apropiado para obtener la autorización de la dirección para implementar el SGSI.

8. Redactar el Plan de tratamiento del riesgo

Justo cuando pensaba que había resuelto todos los documentos relacionados con el riesgo, aquí aparece otro. El objetivo del Plan de tratamiento del riesgo es definir claramente cómo se implementarán los controles de la DdA, quién lo hará, cuándo, con qué presupuesto, etc. Este documento es, en realidad, un plan de implementación enfocado sobre sus controles; sin el cual, usted no podría coordinar los pasos siguientes del proyecto.

9. Determinar cómo medir la eficacia de los controles

Otra tarea que, generalmente, es subestimada. El tema aquí es, si usted no puede medir lo que ha hecho, ¿cómo puede estar seguro de que ha logrado el objetivo? Por lo tanto, asegúrese de determinar cómo medirá el logro de los objetivos establecidos tanto para todo el SGSI como para cada control aplicable de la Declaración de aplicabilidad.

10. Implementación de controles y procedimientos obligatorios

Es más fácil decirlo que hacerlo. Aquí es cuando debe implementar los cuatro procedimientos obligatorios y los controles correspondientes del Anexo A.

Esta es, habitualmente, la tarea más riesgosa de su proyecto ya que, generalmente, implica la aplicación de nuevas tecnologías pero, sobre todo, la implementación de nuevas conductas en su organización. Muchas veces las nuevas políticas y procedimientos son necesarios (en el sentido que el cambio es necesario) y las personas, generalmente, se resisten al cambio; es por ello que la siguiente tarea (capacitación y concienciación) es vital para prevenir ese riesgo.

11. Implementar programas de capacitación y concienciación

Si quiere que sus empleados implementen todas las nuevas políticas y procedimientos, primero debe explicarles por qué son necesarios y debe capacitarlos para que puedan actuar según lo esperado. La falta de estas actividades es el segundo motivo principal por el fracaso del proyecto para la implementación de la norma ISO 27001.

12. Hacer funcionar el SGSI

Esta es la parte en que ISO 27001 se transforma en una rutina diaria dentro de su organización. La palabra más importante aquí es: “registros”. A los auditores les encantan los registros; sin registros le resultará muy difícil probar que una actividad se haya realizado realmente. Pero, ante todo, los registros deberían ayudarle. Con ellos, usted puede supervisar qué está sucediendo, sabrá realmente si sus empleados (y proveedores) están realizando sus tareas según lo requerido.

13. Supervisión del SGSI

¿Qué está sucediendo en su SGSI? ¿Cuántos incidentes tiene? ¿De qué tipo? ¿Todos los procedimientos se efectúan correctamente?

Aquí es donde se cruzan los objetivos de los controles con la metodología de medición; debe verificar si los resultados que obtiene cumplen con lo que se estableció en los objetivos. Si no se cumplen, es evidente que algo está mal y debe aplicar medidas correctivas y/o preventivas.

14. Auditoría interna

Muchas veces las personas no son conscientes de que están haciendo algo mal (por otro lado, a veces sí lo saben pero no quieren que nadie lo descubra). Pero no ser consciente de los problemas existentes o potenciales puede dañar a su organización, por eso debe realizar auditorías internas para descubrir este tipo de cosas. Lo importante aquí no es activar medidas disciplinarias, sino aplicar medidas correctivas y/o preventivas. (Dilemas con los auditores internos de las normas ISO 27001 y BS 25999-2)

15. Revisión por parte de la dirección

La dirección no tiene que configurar el cortafuegos, pero sí debe saber qué está sucediendo en el SGSI; es decir, si todo el mundo ejecutó sus tareas, si el SGSI obtiene los resultados deseados, etc. En base a estos aspectos, la dirección debe tomar algunas decisiones importantes.

16. Medidas correctivas y preventivas

El objetivo del sistema de gestión es garantizar que todo lo que está mal (las denominadas “no conformidades”) sea corregido o, con algo de suerte, evitado. Por lo tanto, la norma ISO 27001 requiere que las medidas correctivas y preventivas se apliquen sistemáticamente; es decir, que se identifique la raíz de una no conformidad y se solucione y se controle.

Tal vez, este artículo haya aclarado qué es necesario hacer. Aunque implementar la norma ISO 27001 no sea una tarea sencilla, no necesariamente tiene que ser tan complicado. Solamente debe planificar detalladamente cada paso, y no se preocupe… obtendrá su certificado.

Aquí puede descargar el diagrama del proceso de implementación de la norma ISO 27001 que muestra todos estos pasos junto con la documentación requerida.

Uno podría pensar que estos dos términos son sinónimos; después de todo, ¿la seguridad de la información no tiene que ver con las computadoras?

En realidad, no. El punto principal es el siguiente: usted puede tener medidas de seguridad de TI perfectas, pero un sólo acto malicioso realizado por, digamos, un administrador, puede hacer caer todo el sistema de TI. Este riesgo no tiene nada que ver con las computadoras, está relacionado con personas, procesos, supervisión, etc.

Además, la información importante inclusive podría no estar en formato digital, también puede estar en formato de papel; por ejemplo, un importante contrato firmado con el mayor cliente, notas personales del director principal o contraseñas impresas de administrador guardadas en una caja fuerte.

Por lo tanto, siempre me gusta decirles a mis clientes que la seguridad de TI es 50% seguridad de la información, porque este aspecto también incluye seguridad física, gestión de recursos humanos, protección legal, organización, proceso, etc. El objetivo de la seguridad de la información es crear un sistema que tenga en cuenta todos los riesgos posibles sobre la seguridad de la información (relacionada o no con TI) e implementar controles integrales que reduzcan todos los tipos de riesgos inaceptables.

Este enfoque integrado sobre la seguridad de la información está bien definido en la norma ISO 27001, la principal norma internacional sobre gestión de seguridad de la información. En conclusión, es necesario realizar la evaluación de riesgos sobre todos los activos de la organización, incluyendo hardware, software, documentación, personal, proveedores, socios, etc., y escoger los controles adecuados para disminuir esos riesgos.

La norma ISO 27001 ofrece 133 controles en su Anexo A. He realizado un breve análisis sobre esos controles y estos son los resultados:

• Controles relacionados con TI: 46%
• Controles relacionados con la organización o documentación: 30%
• Controles sobre seguridad física: 9%
• Protección legal: 6%
• Controles relacionados con la relación con proveedores y clientes: 5%
• Controles sobre la gestión de recursos humanos: 4%

¿Qué significa todo esto en términos de implementación de seguridad de la información y de la ISO 27001? Este tipo de proyectos no debe ser visto como un proyecto de TI porque, como tal, es probable que no todas las partes de la organización estén dispuestas a participar en él. Debe ser encarado como un proyecto que involucre a toda la empresa, en el que la gente importante de todas las unidades comerciales deben formar parte: la alta gerencia, personal de TI, asesores legales, gerentes de recursos humanos, personal de seguridad física, el lado comercial de la organización, etc. Sin este enfoque, terminará trabajando en la seguridad de TI y, de esta forma, no estará protegido ante los mayores riesgos.

También puede dar un vistazo a nuestro webinar Fundamentos de ISO 27001 – Parte 3: Resumen del Anexo A (es un curso de capacitación disponible para la venta).