ISO 27001 & BS 25999

¿Alguna vez se ha encontrado en la situación de tener que redactar una política o un procedimiento de seguridad? ¿Y deseaba que su documento no terminara como tantos otros, juntando polvo en algún cajón olvidado? Estas son algunas ideas que podrían servirle de ayuda…

Los pasos que voy a presentarle fueron diseñados a partir de mi experiencia con diversos tipos de clientes, grandes y pequeños, oficiales y privados, con y sin fines de lucro, y creo que son aplicables a todos ellos. En realidad, estos pasos se pueden aplicar a cualquier tipo de políticas o procedimientos, no sólo aquellos relacionados con las normas ISO 27001 o BS 25999-2.

1 Estudiar los requisitos

Primero debe estudiar muy detalladamente diversos requisitos: ¿Hay alguna legislación que requiera incluir algo específico por escrito? ¿O, tal vez, un contrato con su cliente? ¿O alguna otra política de alto nivel que ya exista en su organización (tal vez una norma corporativa)? Y, por supuesto, los requisitos de las normas ISO 27001 o BS25999-2, si tiene intención de cumplir con ellas.

2 Tomar en cuenta los resultados de su evaluación de riesgos

Su evaluación de riesgos determinará qué temas debe abordar en su documento, pero también en qué grado; por ejemplo, es posible que necesite decidir si clasificará su información de acuerdo a su confidencialidad y, en ese caso, si necesita dos, tres o cuatro niveles de confidencialidad.

Este paso puede no ser importante de esta forma si su política o procedimiento no está relacionado con la seguridad de la información o con la continuidad del negocio. Sin embargo, los principios de gestión de riesgos también son aplicables a otras áreas: gestión de calidad (ISO 9001), gestión ambiental (ISO 14001), etc. Por ejemplo, en la ISO 9001 usted debe determinar hasta qué punto un proceso es crucial para su gestión de calidad y, en base a ello, decidir si lo documentará o no.

3 Optimizar y alinear sus documentos

Algo que es importante tener en cuenta es la cantidad total de documentos; ¿redactará diez documentos de una página o un documento de diez páginas? Es mucho más sencillo administrar un documento, especialmente si el grupo de lectores al que se dirige es el mismo (pero no redacte un único documento de 100 páginas).

Además, debe tener mucho cuidado de alinear su documento con otros escritos similares; es posible que los temas que está definiendo ya hayan sido parcialmente definidos en otro documento. En ese caso, puede no ser necesario redactar un nuevo documento, sino simplemente ampliar el existente.

Si está redactando un nuevo documento sobre un tema ya tratado en otro, asegúrese de no ser redundante, de no describir el mismo tema en ambos documentos. Luego será una pesadilla actualizar ambos escritos; es mucho mejor que un documento haga referencia a otro, sin repetir lo mismo.

4 Estructurar el documento

También tiene que tener cuidado de respetar las normas de su empresa para darle un formato al documento; es posible que ya haya una plantilla con fuentes, encabezados, pies de páginas y demás aspectos predeterminados.

Si usted ya ha implementado la norma ISO 27001 o la BS 25999-2 (o cualquier otra norma de gestión), deberá respetar un procedimiento para control de documentos. Este tipo de procedimiento no sólo define el formato del documento sino también las reglas para su aprobación, distribución, etc.

5 Redactar el documento

El criterio general es que cuanto más pequeña sea la organización y menores sean los riesgos, menos complejo será su documento. No existe nada más inútil que redactar un extenso documento que nadie leerá; usted debe comprender que la lectura del documento demanda tiempo y que el nivel de atención que uno le presta es inversamente proporcional a la cantidad de líneas que tiene.

Una buena técnica para vencer la resistencia de otros empleados sobre este documento (a nadie le gusta el cambio, especialmente si ello implica una especie de obligación de cambiar regularmente las contraseñas) es involucrándolos en la redacción o haciendo aportes al mismo; de esta forma comprenderán por qué es necesario.

6 Conseguir la aprobación del documento

Este paso es un tanto evidente, pero su importancia fundamental es esta: si usted no es un funcionario de alto rango en su empresa, no tendrá autoridad para hacer cumplir este documento.

Es por ello que alguien en una posición de esa jerarquía debe comprenderlo, aprobarlo y requerir activamente su implementación. Suena sencillo, pero créame; no lo es. Este paso (y el siguiente) son donde la implementación fracasa con mayor frecuencia.

7 Capacitación y concienciación de sus empleados

Probablemente, este paso es el más importante pero, lamentable y generalmente, es uno de los más olvidados. Como se mencionó anteriormente, los empleados están cansados de los cambios permanentes y, seguramente, no recibirán con los brazos abiertos una nueva modificación; especialmente si implica más trabajo para ellos.

Por lo tanto, es muy importante explicarles a sus empleados por qué es necesaria esta política o procedimiento, por qué es bueno no solamente para la empresa sino también para ellos mismos.

A veces, hará falta capacitación; sería incorrecto asumir que todos poseen las habilidades y conocimientos para implementar nuevas actividades. Para usted, que redactó este documento, puede parecer sencillo y evidente, pero para ellos puede asemejarse a una cirugía cerebral.

¿Fin de la historia?

Si usted pensó que había llegado al final de la historia de la implementación de su documento, está equivocado. El viaje recién empieza. No es suficiente tener una política o procedimiento perfectos que a todos les encanta, también es necesario mantenerlo.

Alguien debe velar por que este documento sea actualizado y mejorado, en caso contrario, nadie lo seguirá teniendo en cuenta; y esa persona es, generalmente, la misma que lo ha redactado. No sólo eso, alguien debe evaluar si este documento ha logrado su objetivo; nuevamente, esta persona podría ser usted.

Como puede haber notado al leer este artículo, no es suficiente tener una buena plantilla para contar con una política o procedimiento exitosos. Lo que se necesita es un enfoque sistemático para su implementación. Y al hacerlo, no se olvide de lo más importante: el documento no es un fin en sí mismo; es solamente una herramienta para hacer que sus actividades y procesos se ejecuten sin problemas. No deje que ocurra lo contrario; que un documento de este tipo dificulte la ejecución de esas actividades y procesos.

También puede dar un vistazo a nuestro tutorial en vídeo Cómo redactar el Procedimiento para control de documentos según ISO 27001 e ISO 22301 (es un vídeo comercial disponible para la venta).

Si usted está empezando a implementar la norma ISO 27001, probablemente esté buscando una forma sencilla para hacerlo. Permítame desilusionarlo: no existe una forma sencilla para lograrlo. Sin embargo, intentaré facilitarle el trabajo. Este es un listado de dieciséis pasos que deberá seguir si desea obtener la certificación ISO 27001:

1. Obtener el apoyo de la dirección

Esto puede parecer un tanto obvio y, generalmente, no es tomado con la seriedad que merece. Pero, de acuerdo con mi experiencia, es el principal motivo en el fracaso de los proyectos para la implementación de la norma ISO 27001 ya que la dirección no destina suficientes recursos humanos para que trabajen en el proyecto ni suficiente dinero. (Lea Cuatro beneficios clave de la implementación de la norma ISO 27001 para presentarle el tema a la dirección)

2. Tomarlo como un proyecto

Como ya se ha dicho, la implementación de la norma ISO 27001 es un tema complejo que involucra diversas actividades, a muchas personas y puede demandar varios meses (o más de un año). Si no define claramente qué es lo que se hará, quién lo hará y en qué período de tiempo (por ej., aplicar la gestión del proyecto), es probable que nunca termine el trabajo.

3. Definir el alcance

Si se trata de una gran organización, probablemente tenga sentido implementar la norma ISO 27001 solamente en una parte de la misma, reduciendo significativamente de esta forma, los riesgos del proyecto. (Problemas para definir el alcance de la norma ISO 27001)

4. Redactar una Política de SGSI

La Política de SGSI es el documento más importante en su SGSI: no debe ser demasiado detallado pero debe definir algunos temas básicos sobre la seguridad de la información en su organización. Pero ¿cuál es su objetivo si no es minucioso? El objetivo es que la dirección defina qué desea lograr y cómo controlarlo. (Política de Seguridad de la Información: ¿qué nivel de detalle debería tener?)

5. Definir la metodología de Evaluación de riesgos

La evaluación de riesgos es la tarea más compleja del proyecto para la norma ISO 27001; su objetivo es definir las reglas para identificar los activos, las vulnerabilidades, las amenazas, las consecuencias y las probabilidades, como también definir el nivel aceptable de riesgo. Si esas reglas no están definidas claramente, usted podría encontrarse en una situación en la que obtendría resultados inservibles. (Consejos sobre la evaluación de riesgos para empresas pequeñas)

6. Realizar la evaluación y el tratamiento de riesgos

Aquí, usted tiene que implementar lo que definió en el paso anterior. En organizaciones más grandes puede demandar varios meses, por lo tanto, debe coordinar esta tarea con mucho cuidado. Lo importante es obtener una visión integral de los peligros sobre la información de su organización.

El objetivo del proceso de tratamiento de riesgos es reducir los riesgos no aceptables (generalmente se hace planificando el uso de controles del Anexo A).

En este paso, se debe redactar un Informe sobre la evaluación de riesgos que documente todos los pasos tomados durante el proceso de evaluación y tratamiento de riesgos. También es necesario conseguir la aprobación de los riesgos residuales; ya sea en un documento separado o como parte de la Declaración de aplicabilidad.

7. Redactar la Declaración de aplicabilidad

Luego de finalizar su proceso de tratamiento de riesgos, sabrá exactamente qué controles del Anexo necesita (hay un total de 133 controles pero, probablemente, no los necesite a todos). El objetivo de este documento (generalmente denominado DdA) es enumerar todos los controles, definir cuáles son aplicables y cuáles no, definir los motivos de esa decisión, los objetivos que se lograrán con los controles y describir cómo se implementarán.

La Declaración de aplicabilidad también es el documento más apropiado para obtener la autorización de la dirección para implementar el SGSI.

8. Redactar el Plan de tratamiento del riesgo

Justo cuando pensaba que había resuelto todos los documentos relacionados con el riesgo, aquí aparece otro. El objetivo del Plan de tratamiento del riesgo es definir claramente cómo se implementarán los controles de la DdA, quién lo hará, cuándo, con qué presupuesto, etc. Este documento es, en realidad, un plan de implementación enfocado sobre sus controles; sin el cual, usted no podría coordinar los pasos siguientes del proyecto.

9. Determinar cómo medir la eficacia de los controles

Otra tarea que, generalmente, es subestimada. El tema aquí es, si usted no puede medir lo que ha hecho, ¿cómo puede estar seguro de que ha logrado el objetivo? Por lo tanto, asegúrese de determinar cómo medirá el logro de los objetivos establecidos tanto para todo el SGSI como para cada control aplicable de la Declaración de aplicabilidad.

10. Implementación de controles y procedimientos obligatorios

Es más fácil decirlo que hacerlo. Aquí es cuando debe implementar los cuatro procedimientos obligatorios y los controles correspondientes del Anexo A.

Esta es, habitualmente, la tarea más riesgosa de su proyecto ya que, generalmente, implica la aplicación de nuevas tecnologías pero, sobre todo, la implementación de nuevas conductas en su organización. Muchas veces las nuevas políticas y procedimientos son necesarios (en el sentido que el cambio es necesario) y las personas, generalmente, se resisten al cambio; es por ello que la siguiente tarea (capacitación y concienciación) es vital para prevenir ese riesgo.

11. Implementar programas de capacitación y concienciación

Si quiere que sus empleados implementen todas las nuevas políticas y procedimientos, primero debe explicarles por qué son necesarios y debe capacitarlos para que puedan actuar según lo esperado. La falta de estas actividades es el segundo motivo principal por el fracaso del proyecto para la implementación de la norma ISO 27001.

12. Hacer funcionar el SGSI

Esta es la parte en que ISO 27001 se transforma en una rutina diaria dentro de su organización. La palabra más importante aquí es: “registros”. A los auditores les encantan los registros; sin registros le resultará muy difícil probar que una actividad se haya realizado realmente. Pero, ante todo, los registros deberían ayudarle. Con ellos, usted puede supervisar qué está sucediendo, sabrá realmente si sus empleados (y proveedores) están realizando sus tareas según lo requerido.

13. Supervisión del SGSI

¿Qué está sucediendo en su SGSI? ¿Cuántos incidentes tiene? ¿De qué tipo? ¿Todos los procedimientos se efectúan correctamente?

Aquí es donde se cruzan los objetivos de los controles con la metodología de medición; debe verificar si los resultados que obtiene cumplen con lo que se estableció en los objetivos. Si no se cumplen, es evidente que algo está mal y debe aplicar medidas correctivas y/o preventivas.

14. Auditoría interna

Muchas veces las personas no son conscientes de que están haciendo algo mal (por otro lado, a veces sí lo saben pero no quieren que nadie lo descubra). Pero no ser consciente de los problemas existentes o potenciales puede dañar a su organización, por eso debe realizar auditorías internas para descubrir este tipo de cosas. Lo importante aquí no es activar medidas disciplinarias, sino aplicar medidas correctivas y/o preventivas. (Dilemas con los auditores internos de las normas ISO 27001 y BS 25999-2)

15. Revisión por parte de la dirección

La dirección no tiene que configurar el cortafuegos, pero sí debe saber qué está sucediendo en el SGSI; es decir, si todo el mundo ejecutó sus tareas, si el SGSI obtiene los resultados deseados, etc. En base a estos aspectos, la dirección debe tomar algunas decisiones importantes.

16. Medidas correctivas y preventivas

El objetivo del sistema de gestión es garantizar que todo lo que está mal (las denominadas “no conformidades”) sea corregido o, con algo de suerte, evitado. Por lo tanto, la norma ISO 27001 requiere que las medidas correctivas y preventivas se apliquen sistemáticamente; es decir, que se identifique la raíz de una no conformidad y se solucione y se controle.

Tal vez, este artículo haya aclarado qué es necesario hacer. Aunque implementar la norma ISO 27001 no sea una tarea sencilla, no necesariamente tiene que ser tan complicado. Solamente debe planificar detalladamente cada paso, y no se preocupe… obtendrá su certificado.

Aquí puede descargar el diagrama del proceso de implementación de la norma ISO 27001 que muestra todos estos pasos junto con la documentación requerida.

Muy a menudo observo políticas de seguridad de la información redactadas en forma muy detallada y que intentan abarcar absolutamente todo, desde los objetivos estratégicos hasta cuántos dígitos numéricos debería contener una contraseña. El único problema con este tipo de políticas es que cuentan con 50 o más páginas y, en realidad, nadie las toma seriamente. Generalmente terminan siendo documentos artificiales cuyo único objetivo es satisfacer al auditor.

Pero, ¿por qué son tan difíciles de implementar ese tipo de políticas? Porque son demasiado ambiciosas; tratan de cubrir demasiados temas y están dirigidas a un amplio círculo de gente.

Por eso mismo es que la ISO 27001, la norma líder en seguridad de la información, define diferentes niveles de políticas de seguridad de la información:

• Políticas de alto nivel (como la Política del sistema de gestión de seguridad de la información): estas políticas generalmente definen la intención, los objetivos y demás aspectos estratégicos.
• Políticas detalladas: este tipo de políticas generalmente describe detalladamente un área específica de la seguridad de la información, con responsabilidades definidas, etc.

La norma ISO 27001 requiere que la Política de gestión de la seguridad de la información (SGSI), al ser el documento más importante, contenga lo siguiente: el marco para establecer objetivos, tomando en cuenta los diferentes requisitos y obligaciones, la alineación con la realidad de la organización respecto de la gestión estratégica del riesgo y el establecimiento de criterios de evaluación. Una política de estas características, en realidad, debería ser muy corta (tal vez una o dos páginas) porque tiene como objetivo principal que la alta gerencia puede controlar su SGSI.

Por otro lado, las políticas detalladas deben estar orientadas al uso operativo y enfocadas en un campo más acotado de actividades de seguridad. Algunos ejemplos de este tipo de políticas son: Política de clasificación, Política sobre el uso aceptado de los activos de información, Política de creación de copias de seguridad, Política de control de acceso, Política de contraseñas, Política de escritorio y pantalla despejados, Política de uso de redes, Política sobre equipos móviles, Política sobre el uso de controles criptográficos, etc. Nota: la norma ISO 27001 no requiere la implementación ni la documentación de todas estas políticas porque la decisión de si corresponden dichos controles, y con qué alcance, depende de los resultados de la evaluación de riesgos.

Como estas políticas deben incluir más detalles, generalmente son más largas; de hasta 10 páginas. Si fueran mucho más largas, sería muy difícil implementarlas y mantenerlas.

En otras palabras, la seguridad de la información es un tema muy complejo para poder definirlo en una única política: debería haber diferentes políticas sobre los diferentes aspectos del SGSI y para los diferentes “destinatarios”. Las organizaciones medianas, normalmente elaboran hasta quince políticas sobre para su SGSI.

Se podría discutir que esta cantidad de políticas no significa más que gastos operativos para una empresa. Seguramente estaría de acuerdo si tales políticas son redactadas sólo pensando en la auditoría de certificación; de esta forma sólo producirían más burocracia. Sin embargo, si una política es redactada con la intención de disminuir los riesgos, más que seguro demostrará su valor, tal vez no de inmediato sino probablemente en dos o tres años, disminuyendo la cantidad de incidentes.

También puede dar un vistazo a nuestro tutorial en vídeo Cómo redactar la Política del SGSI según ISO 27001 (es un vídeo comercial disponible para la venta).