ISO 27001 & BS 25999

¿Alguna vez se ha encontrado en la situación de tener que redactar una política o un procedimiento de seguridad? ¿Y deseaba que su documento no terminara como tantos otros, juntando polvo en algún cajón olvidado? Estas son algunas ideas que podrían servirle de ayuda…

Los pasos que voy a presentarle fueron diseñados a partir de mi experiencia con diversos tipos de clientes, grandes y pequeños, oficiales y privados, con y sin fines de lucro, y creo que son aplicables a todos ellos. En realidad, estos pasos se pueden aplicar a cualquier tipo de políticas o procedimientos, no sólo aquellos relacionados con las normas ISO 27001 o BS 25999-2.

1 Estudiar los requisitos

Primero debe estudiar muy detalladamente diversos requisitos: ¿Hay alguna legislación que requiera incluir algo específico por escrito? ¿O, tal vez, un contrato con su cliente? ¿O alguna otra política de alto nivel que ya exista en su organización (tal vez una norma corporativa)? Y, por supuesto, los requisitos de las normas ISO 27001 o BS25999-2, si tiene intención de cumplir con ellas.

2 Tomar en cuenta los resultados de su evaluación de riesgos

Su evaluación de riesgos determinará qué temas debe abordar en su documento, pero también en qué grado; por ejemplo, es posible que necesite decidir si clasificará su información de acuerdo a su confidencialidad y, en ese caso, si necesita dos, tres o cuatro niveles de confidencialidad.

Este paso puede no ser importante de esta forma si su política o procedimiento no está relacionado con la seguridad de la información o con la continuidad del negocio. Sin embargo, los principios de gestión de riesgos también son aplicables a otras áreas: gestión de calidad (ISO 9001), gestión ambiental (ISO 14001), etc. Por ejemplo, en la ISO 9001 usted debe determinar hasta qué punto un proceso es crucial para su gestión de calidad y, en base a ello, decidir si lo documentará o no.

3 Optimizar y alinear sus documentos

Algo que es importante tener en cuenta es la cantidad total de documentos; ¿redactará diez documentos de una página o un documento de diez páginas? Es mucho más sencillo administrar un documento, especialmente si el grupo de lectores al que se dirige es el mismo (pero no redacte un único documento de 100 páginas).

Además, debe tener mucho cuidado de alinear su documento con otros escritos similares; es posible que los temas que está definiendo ya hayan sido parcialmente definidos en otro documento. En ese caso, puede no ser necesario redactar un nuevo documento, sino simplemente ampliar el existente.

Si está redactando un nuevo documento sobre un tema ya tratado en otro, asegúrese de no ser redundante, de no describir el mismo tema en ambos documentos. Luego será una pesadilla actualizar ambos escritos; es mucho mejor que un documento haga referencia a otro, sin repetir lo mismo.

4 Estructurar el documento

También tiene que tener cuidado de respetar las normas de su empresa para darle un formato al documento; es posible que ya haya una plantilla con fuentes, encabezados, pies de páginas y demás aspectos predeterminados.

Si usted ya ha implementado la norma ISO 27001 o la BS 25999-2 (o cualquier otra norma de gestión), deberá respetar un procedimiento para control de documentos. Este tipo de procedimiento no sólo define el formato del documento sino también las reglas para su aprobación, distribución, etc.

5 Redactar el documento

El criterio general es que cuanto más pequeña sea la organización y menores sean los riesgos, menos complejo será su documento. No existe nada más inútil que redactar un extenso documento que nadie leerá; usted debe comprender que la lectura del documento demanda tiempo y que el nivel de atención que uno le presta es inversamente proporcional a la cantidad de líneas que tiene.

Una buena técnica para vencer la resistencia de otros empleados sobre este documento (a nadie le gusta el cambio, especialmente si ello implica una especie de obligación de cambiar regularmente las contraseñas) es involucrándolos en la redacción o haciendo aportes al mismo; de esta forma comprenderán por qué es necesario.

6 Conseguir la aprobación del documento

Este paso es un tanto evidente, pero su importancia fundamental es esta: si usted no es un funcionario de alto rango en su empresa, no tendrá autoridad para hacer cumplir este documento.

Es por ello que alguien en una posición de esa jerarquía debe comprenderlo, aprobarlo y requerir activamente su implementación. Suena sencillo, pero créame; no lo es. Este paso (y el siguiente) son donde la implementación fracasa con mayor frecuencia.

7 Capacitación y concienciación de sus empleados

Probablemente, este paso es el más importante pero, lamentable y generalmente, es uno de los más olvidados. Como se mencionó anteriormente, los empleados están cansados de los cambios permanentes y, seguramente, no recibirán con los brazos abiertos una nueva modificación; especialmente si implica más trabajo para ellos.

Por lo tanto, es muy importante explicarles a sus empleados por qué es necesaria esta política o procedimiento, por qué es bueno no solamente para la empresa sino también para ellos mismos.

A veces, hará falta capacitación; sería incorrecto asumir que todos poseen las habilidades y conocimientos para implementar nuevas actividades. Para usted, que redactó este documento, puede parecer sencillo y evidente, pero para ellos puede asemejarse a una cirugía cerebral.

¿Fin de la historia?

Si usted pensó que había llegado al final de la historia de la implementación de su documento, está equivocado. El viaje recién empieza. No es suficiente tener una política o procedimiento perfectos que a todos les encanta, también es necesario mantenerlo.

Alguien debe velar por que este documento sea actualizado y mejorado, en caso contrario, nadie lo seguirá teniendo en cuenta; y esa persona es, generalmente, la misma que lo ha redactado. No sólo eso, alguien debe evaluar si este documento ha logrado su objetivo; nuevamente, esta persona podría ser usted.

Como puede haber notado al leer este artículo, no es suficiente tener una buena plantilla para contar con una política o procedimiento exitosos. Lo que se necesita es un enfoque sistemático para su implementación. Y al hacerlo, no se olvide de lo más importante: el documento no es un fin en sí mismo; es solamente una herramienta para hacer que sus actividades y procesos se ejecuten sin problemas. No deje que ocurra lo contrario; que un documento de este tipo dificulte la ejecución de esas actividades y procesos.

También puede dar un vistazo a nuestro tutorial en vídeo Cómo redactar el Procedimiento para control de documentos según ISO 27001 e ISO 22301 (es un vídeo comercial disponible para la venta).

Tal vez haya escuchado que la norma ISO 27001 requiere de muchos procedimientos, pero esto no es del todo verdadero. En realidad, la norma requiere de sólo cuatro procedimientos documentados: uno para el control de los documentos, uno para las auditorías internas de SGSI, uno para las medidas correctivas y uno para las medidas preventivas. El término “documentado” significa que “el procedimiento está establecido, documentado, implementado y es sostenido” (ISO/IEC 27001, 4.3.1 Nota 1).

Nota: en este artículo del blog no escribiré sobre otros documentos obligatorios como el Alcance del SGSI, la Política de SGSI, la Metodología de evaluación de riesgos, el Informe sobre la evaluación de riesgos, la Declaración de aplicabilidad, el Plan de tratamiento del riesgo, etc.; aquí me centraré solamente en los procedimientos.

El procedimiento para el control de la documentación (procedimiento de gestión de documentación) debe definir quién es el responsable de aprobar y verificar los documentos, cómo identificar los cambios y el estado de revisión, cómo distribuir los documentos, etc. En otras palabras, este procedimiento debe definir cómo funcionará el flujo vital (el flujo de documentos) de la organización.

El procedimiento para auditorías internas tiene que definir las responsabilidades sobre la planificación y realización de auditorías, cómo se informan los resultados y cómo se llevan los registros. Esto significa que las reglas principales para realizar la auditoría deben estar establecidas.

El procedimiento para medidas correctivas debe definir cómo se identifican los incumplimientos y sus causas, cómo se definen e implementan las acciones necesarias, qué registros se llevan y cómo se realiza la revisión de las medidas. El objetivo de este procedimiento es definir cómo cada medida correctiva debería eliminar la causa del incumplimiento para que no ocurra nuevamente.

El procedimiento para las medidas preventivas es casi el mismo que el procedimiento para las medidas correctivas; la única diferencia es que el primero tiene como objetivo eliminar la causa del incumplimiento para que directamente no se produzca. Debido a sus semejanzas, estos dos procedimientos generalmente se unifican en uno solo.

Pero, ¿por qué la norma ISO 27001 requiere procedimientos documentados que no están relacionados con la seguridad de la información mientras que los procedimientos de seguridad no son obligatorios?

La respuesta está en la evaluación de riesgos: la norma ISO 27001 sí le obliga a realizar la evaluación de riesgos, y cuando esta evaluación identifica determinados riesgos inaceptables, la norma requiere la implementación de un control de su Anexo A que disminuirá el o los riesgos. El control puede ser técnico (por ejemplo, un software antivirus para disminuir el riesgo de ataque de un software malicioso), pero también puede ser organizacional: implementar una política o procedimiento (por ejemplo, implementar un procedimiento de respaldo). Por lo tanto, los procedimientos se convierten en obligatorios sólo si la evaluación de riesgos identifica riesgos inaceptables.

Sin embargo, es importante mencionar que, a diferencia de los cuatro procedimientos obligatorios que deben ser documentados, los procedimientos que surgen de los controles del Anexo A no tienen que ser documentados. Depende de la organización evaluar si un procedimiento de este tipo debe documentarse o no.

Puede considerar a los cuatro procedimientos obligatorios como los pilares de su sistema de gestión (junto con la política de seguridad); una vez que están firmemente establecidos, puede comenzar a levantar las paredes de su casa. Esto es evidente cuando usted observa otros sistemas de gestión (los mismos cuatro procedimientos también allí son obligatorios) de las normas ISO 9001 (sistemas de gestión de calidad), ISO 14001 (sistemas de gestión del medio ambiente) y BS 25999-2 (sistemas de continuidad del negocio). De esta forma, usted puede utilizar esos procedimientos como la relación principal entre los diferentes sistemas de gestión si desea desarrollar el denominado “sistema integrado de gestión”.

También puede dar un vistazo a nuestro tutorial en vídeo Cómo redactar el Procedimiento para control de documentos según ISO 27001 e ISO 22301 (es un vídeo comercial disponible para la venta).

¿Por qué las normas ISO 27001 y BS 25999-2 ponen tanto énfasis en el control de la documentación? Ambas normas establecen de forma muy estricta cómo se debe gestionar la documentación y exigen que la organización cuente con un procedimiento documentado para gestionar documentos. Aún peor, no obtendrá la certificación a menos que cuente con un procedimiento de este tipo.

La documentación se puede presentar en diversos formatos: documentos en papel, archivos de texto u hojas de cálculo, archivos de vídeo o audio, etc. Una organización no sólo debe gestionar los documentos internos (por ejemplo, políticas diversas, procedimientos, documentación del proyecto, etc.), sino también los documentos externos (por ejemplo, diferentes tipos de correspondencia, documentación recibida con equipamiento, etc.). Es decir, la gestión de documentación es una tarea compleja e integral.

Entonces, ¿por qué es tan importante gestionar los documentos? A ver, ¿alguna vez se ha encontrado en una situación en la que no sabía dónde encontrar algún documento importante? ¿O se dio cuenta de que sus empleados estaban utilizando una versión incorrecta (antigua) de un procedimiento? ¿O que algunos empleados ni siquiera recibieron un procedimiento importante? ¿O tal vez no estaba claro cuál era la versión de este procedimiento? ¿O determinados documentos confidenciales fueron distribuidos a las personas equivocadas? Si nunca se encontró en este tipo de situaciones conflictivas, probablemente sí le pasó que sus procedimientos no estén actualizados.

Si no aplica un método sistemático para gestionar su documentación, probablemente usted se identifique en alguna de las situaciones mencionadas. Es por ello que las normas ISO 27001 y BS 25999-2 exigen a las organizaciones que implementen un método sistemático de este tipo redactando un procedimiento para la gestión de documentación.

Este procedimiento debe definir claramente las responsabilidades sobre los documentos: quién los aprueba, cómo se distribuyen y se archivan, cómo se mantienen actualizados, qué control de versiones se utiliza, cómo se controlan los cambios en los documentos, qué hacer con la documentación externa, etc.

Debido a que la gestión de documentación es un tema tan importante, tenga la certeza de que el auditor de certificación no sólo requerirá este tipo de procedimiento, sino que también analizará si su documentación realmente se gestiona como está definido en el procedimiento de gestión de documentación. La implementación de este procedimiento probablemente implicará que usted tenga que cambiar su sistema para administrar documentos, que tenga que almacenar documentación en su Intranet o implementar un sistema más complejo de gestión de documentación y que tenga que organizar el archivo de documentación en papel.

Cuando comience a implementar la norma ISO 27001 o BS 25999-2, empezará a ver la importancia de escribir las cosas, pero también verá que lo que escriba debe estar organizado, salvo que no desee poder tener el control sobre ello. De hecho, los documentos son el flujo vital de su sistema de gestión: cuídelos si quiere que su sistema sea saludable.

También puede dar un vistazo a nuestro tutorial en vídeo Cómo redactar el Procedimiento para control de documentos según ISO 27001 e ISO 22301 (es un vídeo comercial disponible para la venta).

¿Ya ha implementado la norma ISO 9001? ¿Ha escuchado que la ISO 27001 podría ser una buena idea? Pero, ¿cómo algo que tiene que ver con la calidad le puede ayudar a implementar la seguridad de la información?

Puede, más de lo que usted piensa… La norma ISO 9001 especifica cómo deben ser los sistemas de gestión de calidad (SGC), mientras que la ISO/IEC 27001 especifica los sistemas de gestión de seguridad de la información (SGSI). Por lo tanto, la parte de “sistemas de gestión” es la misma. Entonces, ¿de qué se trata realmente?

La filosofía de los sistemas de gestión ha crecido a partir de la teoría desarrollada por W. Edwards Deming durante la segunda mitad del siglo XX, y se basa en el ciclo de Planificación, Implementación, Revisión y Actuación (PDCA, por sus siglas en inglés). Básicamente, este ciclo consiste en lo siguiente: en la fase de Planificación usted debe planificar lo que desea lograr con el sistema de gestión; en la fase de Implementación, lo implementa; en la fase de Revisión, controla permanentemente si ha logrado lo que planificó y en la fase de Actuación, debe hacer las mejoras; es decir, llenar el vacío entre lo que planificó y lo que consiguió.

Aunque este ciclo fue inventado pensando en la gestión de calidad, se tomó como base para todos los otros sistemas de gestión: seguridad de la información (ISO/IEC 27001), medio ambiente (ISO 14001), continuidad del negocio (BS 25999-2), etc. Quiere decir que algunos de los elementos que ha implementado para el sistema de gestión de calidad conforme a la ISO 9001, los podrá utilizar también para el sistema de gestión de seguridad de la información. Esta es la lista:

• Gestión de documentación: el procedimiento utilizado para la gestión de documentación en el SGC puede ser usado con el mismo objetivo en el SGSI, sólo con algunas pequeñas adaptaciones.
• Auditoría interna: se puede utilizar el mismo procedimiento para el SGC y para el SGSI; aunque la auditoría interna concreta generalmente sería realizada por personas diferentes, ya que no es muy probable que una misma persona conozca en profundidad tanto sobre seguridad de la información como sobre calidad.
• Medidas correctivas y preventivas: el procedimiento utilizado para el SGC puede ser usado con el mismo objetivo en el SGSI, aunque es probable que sean personas diferentes quienes resuelvan los temas relacionados con SGC o SGSI.
• Gestión de recursos humanos: el mismo ciclo de planificación, capacitación y evaluación de RR.HH. se utiliza para ambos sistemas de gestión; naturalmente, la diferencia radica en el perfil de capacidades y conocimientos requeridos.
• Revisión por parte de la gerencia: los principios de la revisión por parte de la gerencia son los mismos para ambos sistemas de gestión; aunque no sería recomendable realizar ambas revisiones en paralelo, la gerencia ya estará acostumbrada a tomar decisiones sobre el SGC; por lo tanto comprenderán mejor cómo tomar decisiones en el contexto del SGSI.
• Establecimiento de objetivos comerciales y seguimiento de su cumplimiento: se fija el mismo mecanismo en ambas normas; por eso, la gerencia estará acostumbrada a una planificación sistemática de este tipo.

Por lo tanto, si ya ha implementado la norma ISO 9001, se le facilitará el trabajo de implementar la ISO 27001 (y viceversa): podría ahorrar hasta un 30% del tiempo. Además, tendrá auditorías de certificación más económicas ya que las entidades certificadoras ofrecen las denominadas “auditorías integradas”, que significa que auditarán las normas ISO 9001 e ISO 27001 en la misma auditoría, cobrándole una tarifa menor en relación a auditorías separadas.

Si su SGC funciona correctamente, verá que el proyecto de SGSI se desarrollará sin inconvenientes; la gerencia comprenderá mejor los potenciales beneficios comerciales, al tiempo que todas las unidades de la organización estarán acostumbradas a la necesidad de definir procedimientos, responsabilidades y documentación precisos.

De hecho, contar con un SGC proporciona una muy buena base para la seguridad de la información: si usted ya tiene la ISO 9001, piense seriamente en la ISO 27001.

También puede dar un vistazo a nuestro webinar gratuito Implementación de ISO 27001: ¿Cómo hacerla más sencilla utilizando la ISO 9001?.