ISO 27001 & BS 25999

En estos días, WikiLeaks se transformó en una historia extraordinaria por un buen motivo: no es muy habitual encontrar publicados en Internet documentos confidenciales del gobierno más poderoso del mundo. Y algunos de estos documentos son, para decirlo respetuosamente, embarazosos.

No voy a escribir aquí sobre si fue legal o no que WikiLeaks publicara esa información, si la información debería haberse dado a conocer o no porque es de interés público, qué sucederá con el fundador de WikiLeaks (al momento de redactar este artículo, Julian Assange se encontraba detenido), etc.

El problema es que si WikiLeaks es cerrado, aparecerá un nuevo WikiLeaks. En otras palabras, la amenaza de fuga de información a la opinión pública aumenta constantemente (A propósito, antes de ser encarcelado, Julian Assange había anunciado que publicaría información discriminatoria sobre uno de los principales bancos de EE. UU. y sobre negligencias en sus actividades).

Aquí quiero tocar el punto de vista corporativo. ¿Qué pasaría si somos nosotros el próximo objetivo de WikiLeaks o de su clon? ¿Cómo garantizar la seguridad de nuestra información y evitar el daño de un incidente tan importante?

Un simple ejemplo

¿Pero cómo es la seguridad de la información en la práctica? Tomemos un simple ejemplo. Por ejemplo, usted deja con frecuencia su ordenador portátil en su automóvil, sobre el asiento trasero. Es muy probable que, tarde o temprano, se lo roben.

¿Qué puede hacer para disminuir ese riesgo? Ante todo, puede crear una regla (redactando un procedimiento o una política) que establezca que los ordenadores personales no pueden ser dejados en un vehículo desatendido; o que se debe estacionar el vehículo en un lugar que tenga algún tipo de protección física. Segundo, puede proteger su información configurando una clave segura y encriptando sus datos. Además, puede exigirles a sus empleados que firmen una declaración por medio de la cual se hacen legalmente responsables por el daño que pueda resultar. Pero ninguna de estas medidas será efectiva si no les explicó las reglas a sus empleados a través de una breve capacitación.

¿Qué conclusiones puede sacar de este ejemplo? La seguridad de la información nunca es una única medida de seguridad, siempre abarca varias juntas. Y estas medidas de seguridad no son solamente relacionadas con TI, sino que también involucran cuestiones organizativas, gestión de recursos humanos, seguridad física y protección legal.

El problema es que esto fue sólo un ejemplo de un único ordenador personal, sin amenazas internas. Ahora piense qué tan complejo es proteger la información en su empresa, donde la información se archiva no solamente en sus ordenadores sino también en diversos servidores; no solamente en los cajones de su escritorio sino en todos sus teléfonos móviles; no solamente en unidades USB sino también en la cabeza de todos los empleados. Y es posible que tenga algún empleado descontento.

¿Parece una tarea imposible? Difícil, sí. Pero no imposible.

¿Cómo encararlo?

Lo que necesita para resolver este complejo problema es un marco referencial. La buena noticia es que ese marco referencial ya existe bajo la forma de normas. La más divulgada es la ISO 27001, la principal norma internacional para gestión de seguridad de información, pero también hay otras: COBIT, serie SP 800 de NIST, PCI DSS, etc.

Me enfocaré aquí en la norma ISO 27001; pienso que le otorga una buena base para edificar el sistema de seguridad de la información porque suministra un catálogo de 133 controles de seguridad y ofrece flexibilidad para aplicar solamente aquellos controles que son realmente necesarios en relación con los riesgos. Pero lo mejor que tiene es que define un marco referencial de gestión para controlar y atender los asuntos de seguridad, logrando, de esta forma, que la gestión de la seguridad sea parte de la gestión general de una organización.

Resumiendo, esta norma le permite tomar en cuenta toda la información en diversos formatos y todos los riesgos y le ofrece una guía para resolver cada problema potencial y para mantener segura su información.

Consecuencias para el negocio

Entonces, ¿deberían las corporaciones temer que se filtre a la opinión pública su información? Si están haciendo algo ilegal o no ético, seguramente que sí.

Sin embargo, las empresas que trabajan legalmente, si desean proteger su negocio, no pueden pensar únicamente en términos de rendimiento de la inversión, participación de mercado, capacidades principales y visión a largo plazo. Su estrategia también debe comprender temas de seguridad ya que tener información insegura les puede costar mucho más que, por ejemplo, el lanzamiento fallido de un nuevo producto. Por seguridad no me refiero solamente a seguridad física, simplemente porque ya no es suficiente; la tecnología hace posible que se filtre información de diversas formas.

Lo que se necesita es un enfoque integral de seguridad de la información; no importa si utiliza la norma ISO 27001, COBIT o algún otro marco referencial, siempre y cuando lo haga en forma sistemática. Y no es un esfuerzo de una única vez, es un trabajo permanente. Y sí, no es algo que su gente de TI pueda hacer sola. Es algo en lo que debe participar toda la empresa, comenzando por la junta directiva.

Si usted está empezando a implementar la norma ISO 27001, probablemente esté buscando una forma sencilla para hacerlo. Permítame desilusionarlo: no existe una forma sencilla para lograrlo. Sin embargo, intentaré facilitarle el trabajo. Este es un listado de dieciséis pasos que deberá seguir si desea obtener la certificación ISO 27001:

1. Obtener el apoyo de la dirección

Esto puede parecer un tanto obvio y, generalmente, no es tomado con la seriedad que merece. Pero, de acuerdo con mi experiencia, es el principal motivo en el fracaso de los proyectos para la implementación de la norma ISO 27001 ya que la dirección no destina suficientes recursos humanos para que trabajen en el proyecto ni suficiente dinero. (Lea Cuatro beneficios clave de la implementación de la norma ISO 27001 para presentarle el tema a la dirección)

2. Tomarlo como un proyecto

Como ya se ha dicho, la implementación de la norma ISO 27001 es un tema complejo que involucra diversas actividades, a muchas personas y puede demandar varios meses (o más de un año). Si no define claramente qué es lo que se hará, quién lo hará y en qué período de tiempo (por ej., aplicar la gestión del proyecto), es probable que nunca termine el trabajo.

3. Definir el alcance

Si se trata de una gran organización, probablemente tenga sentido implementar la norma ISO 27001 solamente en una parte de la misma, reduciendo significativamente de esta forma, los riesgos del proyecto. (Problemas para definir el alcance de la norma ISO 27001)

4. Redactar una Política de SGSI

La Política de SGSI es el documento más importante en su SGSI: no debe ser demasiado detallado pero debe definir algunos temas básicos sobre la seguridad de la información en su organización. Pero ¿cuál es su objetivo si no es minucioso? El objetivo es que la dirección defina qué desea lograr y cómo controlarlo. (Política de Seguridad de la Información: ¿qué nivel de detalle debería tener?)

5. Definir la metodología de Evaluación de riesgos

La evaluación de riesgos es la tarea más compleja del proyecto para la norma ISO 27001; su objetivo es definir las reglas para identificar los activos, las vulnerabilidades, las amenazas, las consecuencias y las probabilidades, como también definir el nivel aceptable de riesgo. Si esas reglas no están definidas claramente, usted podría encontrarse en una situación en la que obtendría resultados inservibles. (Consejos sobre la evaluación de riesgos para empresas pequeñas)

6. Realizar la evaluación y el tratamiento de riesgos

Aquí, usted tiene que implementar lo que definió en el paso anterior. En organizaciones más grandes puede demandar varios meses, por lo tanto, debe coordinar esta tarea con mucho cuidado. Lo importante es obtener una visión integral de los peligros sobre la información de su organización.

El objetivo del proceso de tratamiento de riesgos es reducir los riesgos no aceptables (generalmente se hace planificando el uso de controles del Anexo A).

En este paso, se debe redactar un Informe sobre la evaluación de riesgos que documente todos los pasos tomados durante el proceso de evaluación y tratamiento de riesgos. También es necesario conseguir la aprobación de los riesgos residuales; ya sea en un documento separado o como parte de la Declaración de aplicabilidad.

7. Redactar la Declaración de aplicabilidad

Luego de finalizar su proceso de tratamiento de riesgos, sabrá exactamente qué controles del Anexo necesita (hay un total de 133 controles pero, probablemente, no los necesite a todos). El objetivo de este documento (generalmente denominado DdA) es enumerar todos los controles, definir cuáles son aplicables y cuáles no, definir los motivos de esa decisión, los objetivos que se lograrán con los controles y describir cómo se implementarán.

La Declaración de aplicabilidad también es el documento más apropiado para obtener la autorización de la dirección para implementar el SGSI.

8. Redactar el Plan de tratamiento del riesgo

Justo cuando pensaba que había resuelto todos los documentos relacionados con el riesgo, aquí aparece otro. El objetivo del Plan de tratamiento del riesgo es definir claramente cómo se implementarán los controles de la DdA, quién lo hará, cuándo, con qué presupuesto, etc. Este documento es, en realidad, un plan de implementación enfocado sobre sus controles; sin el cual, usted no podría coordinar los pasos siguientes del proyecto.

9. Determinar cómo medir la eficacia de los controles

Otra tarea que, generalmente, es subestimada. El tema aquí es, si usted no puede medir lo que ha hecho, ¿cómo puede estar seguro de que ha logrado el objetivo? Por lo tanto, asegúrese de determinar cómo medirá el logro de los objetivos establecidos tanto para todo el SGSI como para cada control aplicable de la Declaración de aplicabilidad.

10. Implementación de controles y procedimientos obligatorios

Es más fácil decirlo que hacerlo. Aquí es cuando debe implementar los cuatro procedimientos obligatorios y los controles correspondientes del Anexo A.

Esta es, habitualmente, la tarea más riesgosa de su proyecto ya que, generalmente, implica la aplicación de nuevas tecnologías pero, sobre todo, la implementación de nuevas conductas en su organización. Muchas veces las nuevas políticas y procedimientos son necesarios (en el sentido que el cambio es necesario) y las personas, generalmente, se resisten al cambio; es por ello que la siguiente tarea (capacitación y concienciación) es vital para prevenir ese riesgo.

11. Implementar programas de capacitación y concienciación

Si quiere que sus empleados implementen todas las nuevas políticas y procedimientos, primero debe explicarles por qué son necesarios y debe capacitarlos para que puedan actuar según lo esperado. La falta de estas actividades es el segundo motivo principal por el fracaso del proyecto para la implementación de la norma ISO 27001.

12. Hacer funcionar el SGSI

Esta es la parte en que ISO 27001 se transforma en una rutina diaria dentro de su organización. La palabra más importante aquí es: “registros”. A los auditores les encantan los registros; sin registros le resultará muy difícil probar que una actividad se haya realizado realmente. Pero, ante todo, los registros deberían ayudarle. Con ellos, usted puede supervisar qué está sucediendo, sabrá realmente si sus empleados (y proveedores) están realizando sus tareas según lo requerido.

13. Supervisión del SGSI

¿Qué está sucediendo en su SGSI? ¿Cuántos incidentes tiene? ¿De qué tipo? ¿Todos los procedimientos se efectúan correctamente?

Aquí es donde se cruzan los objetivos de los controles con la metodología de medición; debe verificar si los resultados que obtiene cumplen con lo que se estableció en los objetivos. Si no se cumplen, es evidente que algo está mal y debe aplicar medidas correctivas y/o preventivas.

14. Auditoría interna

Muchas veces las personas no son conscientes de que están haciendo algo mal (por otro lado, a veces sí lo saben pero no quieren que nadie lo descubra). Pero no ser consciente de los problemas existentes o potenciales puede dañar a su organización, por eso debe realizar auditorías internas para descubrir este tipo de cosas. Lo importante aquí no es activar medidas disciplinarias, sino aplicar medidas correctivas y/o preventivas. (Dilemas con los auditores internos de las normas ISO 27001 y BS 25999-2)

15. Revisión por parte de la dirección

La dirección no tiene que configurar el cortafuegos, pero sí debe saber qué está sucediendo en el SGSI; es decir, si todo el mundo ejecutó sus tareas, si el SGSI obtiene los resultados deseados, etc. En base a estos aspectos, la dirección debe tomar algunas decisiones importantes.

16. Medidas correctivas y preventivas

El objetivo del sistema de gestión es garantizar que todo lo que está mal (las denominadas “no conformidades”) sea corregido o, con algo de suerte, evitado. Por lo tanto, la norma ISO 27001 requiere que las medidas correctivas y preventivas se apliquen sistemáticamente; es decir, que se identifique la raíz de una no conformidad y se solucione y se controle.

Tal vez, este artículo haya aclarado qué es necesario hacer. Aunque implementar la norma ISO 27001 no sea una tarea sencilla, no necesariamente tiene que ser tan complicado. Solamente debe planificar detalladamente cada paso, y no se preocupe… obtendrá su certificado.

Aquí puede descargar el diagrama del proceso de implementación de la norma ISO 27001 que muestra todos estos pasos junto con la documentación requerida.

¿Alguna vez ha intentado convencer a los directores de su empresa de que financien la implementación de la seguridad de la información? Si lo ha hecho, probablemente sepa qué se siente: le preguntarán cuánto cuesta y, si les parece muy caro, le dirán que no.

En realidad, no debería culparlos; después de todo, su principal responsabilidad es la rentabilidad de la empresa. Esto quiere decir que cada decisión que tomen se basará en la relación entre inversión y beneficio; o, para expresarlo en el lenguaje de gestión, tendrá en cuenta el ROI (rendimiento de la inversión).

Esto significa que debe hacer un trabajo previo antes de proponer una inversión de este tipo: piense detenidamente cómo presentar los beneficios utilizando un idioma que los directivos comprendan y apoyen.

Intentaré ayudarle. Los beneficios de la seguridad de la información, especialmente la implementación de la norma ISO 27001, son muchos. Pero, por experiencia, creo que estos cuatro son los más importantes:

1. Cumplimiento

Puede resultar extraño mencionar este beneficio en primer lugar, pero, generalmente, es el que demuestra el “rendimiento de la inversión” más rápidamente. Si una organización debe cumplir con diversas normas sobre protección de datos, privacidad y control de TI (especialmente si se trata de una organización financiera, de salud o gubernamental), la norma ISO 27001 puede aportar la metodología que permita hacerlo de la manera más eficiente.

2. Ventaja de comercialización

En un mercado cada vez más competitivo, a veces es muy difícil encontrar algo que lo diferencie ante la percepción de sus clientes. La norma ISO 27001 puede ser un verdadero punto a favor, especialmente si usted administra información sensible de sus clientes.

3. Disminución de gastos

Generalmente, se considera a la seguridad de la información como un costo sin una ganancia financiera evidente. Sin embargo, hay una ganancia financiera si usted disminuye los gastos ocasionados por incidentes. Probablemente sí se produzcan en su empresa interrupciones de servicio o esporádicos filtrados de datos, o tengan empleados descontentos. O ex empleados descontentos.

La verdad es que aún no existe una metodología ni tecnología que pueda calcular cuánto dinero se puede ahorrar si evita ese tipo de incidentes. Pero siempre es oportuno alertar a la dirección sobre estos casos.

4. Ordenamiento de su negocio

Probablemente, éste sea el beneficio más subestimado; pero si su empresa ha tenido un crecimiento continuo durante los últimos años, es posible que tenga problemas para determinar quién decide qué cosas, quién es responsable de determinados activos de la información, quién debe autorizar el acceso a los sistemas de información, etc.

La norma ISO 27001 es especialmente útil para resolver estas cuestiones: le obligará a definir de forma muy precisa tanto las responsabilidades como las obligaciones y, de esta forma, ayudará a reforzar su organización interna.

Para finalizar, la norma ISO 27001 puede aportar muchos beneficios, además de ser sólo otro certificado colgado en su pared. En la mayoría de los casos, si usted presenta esos beneficios de forma clara, los directores comenzarán a prestarle atención.

También puede dar un vistazo a nuestro webinar Responsabilidades en la gestión de ISO 27001 y BS 25999-2: ¿Qué tiene que saber la dirección? (es un curso de capacitación disponible para la venta).

Uno podría pensar que estos dos términos son sinónimos; después de todo, ¿la seguridad de la información no tiene que ver con las computadoras?

En realidad, no. El punto principal es el siguiente: usted puede tener medidas de seguridad de TI perfectas, pero un sólo acto malicioso realizado por, digamos, un administrador, puede hacer caer todo el sistema de TI. Este riesgo no tiene nada que ver con las computadoras, está relacionado con personas, procesos, supervisión, etc.

Además, la información importante inclusive podría no estar en formato digital, también puede estar en formato de papel; por ejemplo, un importante contrato firmado con el mayor cliente, notas personales del director principal o contraseñas impresas de administrador guardadas en una caja fuerte.

Por lo tanto, siempre me gusta decirles a mis clientes que la seguridad de TI es 50% seguridad de la información, porque este aspecto también incluye seguridad física, gestión de recursos humanos, protección legal, organización, proceso, etc. El objetivo de la seguridad de la información es crear un sistema que tenga en cuenta todos los riesgos posibles sobre la seguridad de la información (relacionada o no con TI) e implementar controles integrales que reduzcan todos los tipos de riesgos inaceptables.

Este enfoque integrado sobre la seguridad de la información está bien definido en la norma ISO 27001, la principal norma internacional sobre gestión de seguridad de la información. En conclusión, es necesario realizar la evaluación de riesgos sobre todos los activos de la organización, incluyendo hardware, software, documentación, personal, proveedores, socios, etc., y escoger los controles adecuados para disminuir esos riesgos.

La norma ISO 27001 ofrece 133 controles en su Anexo A. He realizado un breve análisis sobre esos controles y estos son los resultados:

• Controles relacionados con TI: 46%
• Controles relacionados con la organización o documentación: 30%
• Controles sobre seguridad física: 9%
• Protección legal: 6%
• Controles relacionados con la relación con proveedores y clientes: 5%
• Controles sobre la gestión de recursos humanos: 4%

¿Qué significa todo esto en términos de implementación de seguridad de la información y de la ISO 27001? Este tipo de proyectos no debe ser visto como un proyecto de TI porque, como tal, es probable que no todas las partes de la organización estén dispuestas a participar en él. Debe ser encarado como un proyecto que involucre a toda la empresa, en el que la gente importante de todas las unidades comerciales deben formar parte: la alta gerencia, personal de TI, asesores legales, gerentes de recursos humanos, personal de seguridad física, el lado comercial de la organización, etc. Sin este enfoque, terminará trabajando en la seguridad de TI y, de esta forma, no estará protegido ante los mayores riesgos.

También puede dar un vistazo a nuestro webinar Fundamentos de ISO 27001 – Parte 3: Resumen del Anexo A (es un curso de capacitación disponible para la venta).

A primera vista, la seguridad de la información y la continuidad del negocio no tienen mucho en común. Alguien podría agregar que la única semejanza es que ambas están relacionadas con TI.

La mejor definición de la gestión de la seguridad de la información se encuentra en la norma internacional ISO/IEC 27001, mientras que la gestión de la continuidad del negocio está mejor definida en la norma británica BS 25999-2; por lo tanto, si deseamos comparar ambos temas, lo más inteligente sería darle una mirada a lo que dicen ambas normas.

Primero, la TI de una parte importante tanto en la ISO 27001 como en la BS 25999-2, pero de ninguna forma estas normas se refieren solamente a TI, el énfasis está puesto sobre procesos y activos comerciales y los riesgos relacionados. Es verdad que la TI es la principal herramienta para procesar los datos, pero es un hecho que los mayores riesgos siguen estando relacionados con las actividades maliciosas e involuntarias de las personas. Por lo tanto, los riesgos asociados con la seguridad de la información o con la continuidad del negocio no pueden resolverse sólo con tecnología de la información; es mucho más importante definir la organización, los procesos y las responsabilidades dentro de la organización.

Pero ¿qué es básicamente la seguridad de la información? La norma ISO 27001 la define como “preservación de confidencialidad, integridad y disponibilidad de la información”. Por otro lado, la norma BS 25999-2 define la continuidad del negocio como la “capacidad estratégica y táctica de la organización para planificar y responder ante los incidentes e interrupciones del negocio con el fin de permitir la continuación de las actividades comerciales en un nivel aceptable, previamente definido”.

No parecen muy similares. Sin embargo, hay algo que las asemeja mucho: la disponibilidad. El enfoque de ambas, de la seguridad de la información y de la continuidad del negocio, es mantener disponible la información para aquellos que la necesitan; en ese sentido, el Anexo A de la ISO 27001 ofrece algunos controles dedicados exclusivamente a la continuidad del negocio.

Además, ambas normas requieren la realización de una evaluación de riesgos para identificar potenciales problemas relacionados con la información; como también demandan gestión de documentación, la realización de auditorías internas, revisiones por parte de la gerencia y medidas correctivas y preventivas. Esto quiere decir que si usted ya tiene documentación para la ISO 27001, puede utilizar esos mismos procedimientos para la BS 25999-2 (con algunas pequeñas adaptaciones).

¿Cuáles son las diferencias? La principal diferencia radica en el nivel de detalle. La norma ISO 27001 abarca un área mucho más amplia y, por lo tanto, no es muy precisa respecto de la continuidad del negocio. Por otro lado, la norma BS 25999-2 describe detalladamente cómo hacer un análisis de impactos en el negocio, cómo definir una estrategia de continuidad del negocio o cómo debe ser el contenido de los planes de continuidad del negocio, entre otras cosas.

Para cerrar, lo importante aquí es que usted pueda pensar en la continuidad del negocio como parte de la seguridad de la información. El uso práctico de ello, es que en el momento de la implementación de la continuidad del negocio en el marco de la ISO 27001, es mejor usar la norma BS 25999-2 como directriz.

También puede dar un vistazo a nuestro webinar gratuito ISO 27001 y BS 25999-2: ¿Por qué es importante implementarlas juntas?.