ISO 27001 & BS 25999

Probablemente, usted ya sabía que el primer paso en la implementación de la norma ISO 27001 era la definición del alcance. Lo que tal vez no sabía era que este paso, aunque parezca sencillo a primera vista, a veces le puede ocasionar bastantes problemas. Por ejemplo, muchas compañías tratan de disminuir sus costos de implementación acotando el alcance, pero, generalmente, se encuentran con que ese alcance termina siendo un dolor de cabeza.

Entonces, ¿dónde está el problema?

El problema que se presenta cuando el alcance de la ISO 27001 no abarca a toda la organización es que el Sistema de Gestión de Seguridad de la Información (SGSI) tiene que interactuar con el mundo “exterior”. En ese contexto, el mundo exterior no son sólo los clientes, socios, proveedores, etc., sino también los departamentos de la organización que no están dentro del alcance definido. Puede parecer gracioso, pero un departamento que no está incluido en el alcance debe ser tratado de la misma forma que un proveedor externo.

Por ejemplo, si decide que sólo el departamento de TI esté dentro del alcance, y este departamento utiliza los servicios del sector Compras, el departamento de TI debe realizar la evaluación de riesgos sobre el sector Compras para identificar si existe algún riesgo para la información de la que es responsable el departamento de TI. Además, ambas áreas deben firmar acuerdos de términos y condiciones por los servicios brindados.

¿Por qué es necesario este gasto operativo? Póngase en el lugar del organismo de certificación: debe certificar que, dentro del alcance definido, usted puede administrar la información de forma segura, pero no puede verificar ninguno de los otros departamentos que están fuera del alcance. La única forma de manejar una situación de este tipo es tratando a esos departamentos como si fueran compañías externas. (Aclaración: a los auditores de certificación no les gusta un alcance acotado.)

Pero este no es todo el problema. A veces, un alcance muy acotado directamente no es posible porque no hay interacción con el mundo exterior. Por ejemplo, si los empleados de áreas que se encuentran dentro y fuera del alcance trabajan en la misma habitación, un alcance de este tipo es muy poco factible. Si ambos empleados utilizan la misma red local (sin división) y tienen acceso a diversos servicios de red, un alcance definido de esta forma, definitivamente, no es posible; no hay forma de que usted pueda controlar el flujo de información solamente dentro del ámbito del alcance que ha definido.

El punto aquí es que, a veces, resulta imposible acotar el alcance de su SGSI y, en la mayoría de los casos, le ocasionará costos operativos innecesarios. Por lo tanto, lo que inicialmente no parecía una buena idea podría ser, después de todo, la solución óptima: intente extender el alcance a toda la organización. Como regla general: si su organización tiene no más de unos pocos cientos de empleados y una o unas pocas ubicaciones, lo mejor sería que el SGSI cubra a toda la organización.

En cambio, si realmente no es posible incluir a toda la organización dentro del alcance de su SGSI, intente acotarlo a una unidad de la organización que sea suficientemente independiente. Intente resolver las relaciones con otras unidades que se encuentran afuera del alcance determinando sus servicios mediante documentos internos (políticas, procedimientos, etc.) que podrían utilizarse como “acuerdos”; de esta forma, podría documentar las obligaciones de esas unidades de la organización de una forma que sea útil para las actividades diarias.

Ahí lo tiene, ha resuelto el primer paso en la implementación de la norma ISO 27001.

También puede dar un vistazo a nuestro tutorial en vídeo Cómo definir y documentar el alcance del SGSI según ISO 27001 (es un vídeo comercial disponible para la venta).

Muy a menudo observo políticas de seguridad de la información redactadas en forma muy detallada y que intentan abarcar absolutamente todo, desde los objetivos estratégicos hasta cuántos dígitos numéricos debería contener una contraseña. El único problema con este tipo de políticas es que cuentan con 50 o más páginas y, en realidad, nadie las toma seriamente. Generalmente terminan siendo documentos artificiales cuyo único objetivo es satisfacer al auditor.

Pero, ¿por qué son tan difíciles de implementar ese tipo de políticas? Porque son demasiado ambiciosas; tratan de cubrir demasiados temas y están dirigidas a un amplio círculo de gente.

Por eso mismo es que la ISO 27001, la norma líder en seguridad de la información, define diferentes niveles de políticas de seguridad de la información:

• Políticas de alto nivel (como la Política del sistema de gestión de seguridad de la información): estas políticas generalmente definen la intención, los objetivos y demás aspectos estratégicos.
• Políticas detalladas: este tipo de políticas generalmente describe detalladamente un área específica de la seguridad de la información, con responsabilidades definidas, etc.

La norma ISO 27001 requiere que la Política de gestión de la seguridad de la información (SGSI), al ser el documento más importante, contenga lo siguiente: el marco para establecer objetivos, tomando en cuenta los diferentes requisitos y obligaciones, la alineación con la realidad de la organización respecto de la gestión estratégica del riesgo y el establecimiento de criterios de evaluación. Una política de estas características, en realidad, debería ser muy corta (tal vez una o dos páginas) porque tiene como objetivo principal que la alta gerencia puede controlar su SGSI.

Por otro lado, las políticas detalladas deben estar orientadas al uso operativo y enfocadas en un campo más acotado de actividades de seguridad. Algunos ejemplos de este tipo de políticas son: Política de clasificación, Política sobre el uso aceptado de los activos de información, Política de creación de copias de seguridad, Política de control de acceso, Política de contraseñas, Política de escritorio y pantalla despejados, Política de uso de redes, Política sobre equipos móviles, Política sobre el uso de controles criptográficos, etc. Nota: la norma ISO 27001 no requiere la implementación ni la documentación de todas estas políticas porque la decisión de si corresponden dichos controles, y con qué alcance, depende de los resultados de la evaluación de riesgos.

Como estas políticas deben incluir más detalles, generalmente son más largas; de hasta 10 páginas. Si fueran mucho más largas, sería muy difícil implementarlas y mantenerlas.

En otras palabras, la seguridad de la información es un tema muy complejo para poder definirlo en una única política: debería haber diferentes políticas sobre los diferentes aspectos del SGSI y para los diferentes “destinatarios”. Las organizaciones medianas, normalmente elaboran hasta quince políticas sobre para su SGSI.

Se podría discutir que esta cantidad de políticas no significa más que gastos operativos para una empresa. Seguramente estaría de acuerdo si tales políticas son redactadas sólo pensando en la auditoría de certificación; de esta forma sólo producirían más burocracia. Sin embargo, si una política es redactada con la intención de disminuir los riesgos, más que seguro demostrará su valor, tal vez no de inmediato sino probablemente en dos o tres años, disminuyendo la cantidad de incidentes.

También puede dar un vistazo a nuestro tutorial en vídeo Cómo redactar la Política del SGSI según ISO 27001 (es un vídeo comercial disponible para la venta).

Si esta es la primera vez que se cruza con la idea de un auditor interno, probablemente se encuentre desconcertado: ¿para qué necesito otro control? ¿Quién lo va a pagar? ¿A quién debo emplear para que lo realice? Es una real pérdida de tiempo…

Bueno, no tiene que ser tan malo; además de dar conformidad a las normas ISO 27001 y BS 25999-2, las auditorías internas pueden ser bastante útiles para sus demás temas comerciales (estén, o no, relacionados con la seguridad de la información o la continuidad del negocio).

El punto con las auditorías internas es que descubran problemas que de otra forma permanecerían ocultos y, por consiguiente, perjudicarían el negocio. Seamos realistas, cometer errores es humano; por lo tanto, es imposible tener un sistema sin fallas; aunque sí es posible tener un sistema que se mejore a sí mismo y que aprenda de sus errores. Las auditorías internas son una parte crucial de ese tipo de sistemas.

Existen unos pocos pasos para realizar una auditoría interna:

a)      Emplear un auditor interno a tiempo completo: esto sólo es posible en organizaciones grandes que podrían tener suficiente trabajo para esta persona (algunos tipos de organizaciones, por ejemplo los bancos, están obligados por ley a tener estos puestos).

b)      Emplear auditores internos a tiempo parcial: esta es la situación más común, las organizaciones utilizan a sus propios empleados para realizar auditorías internas al mismo tiempo que cumplen sus funciones laborales habituales. Una cuestión importante a tener en cuenta: para evitar el conflicto de intereses (los auditores no pueden auditar su propio trabajo), debe haber al menos dos auditores internos para que uno pueda auditar el trabajo habitual del otro.

c)      Emplear auditores internos fuera de la organización: aunque esta persona no sea empleada de la organización, también se la considera auditor interno porque la auditoría es realizada por la misma organización, siguiendo sus propias reglas. Generalmente, esto lo hace una persona experimentada en este campo (consultor independiente, etc.).

Sin embargo, por mi experiencia como auditor, la triste verdad es que la mayoría de las organizaciones realiza auditorías internas solamente para cumplir con la entidad de certificación. El resultado que se obtiene de este tipo de auditorías internas son algunos incumplimientos que no llegan a los problemas reales de los sistemas de gestión de seguridad de la información (SGSI) o de gestión de la continuidad del negocio (SGCN). Esto es una pérdida de tiempo; si las empresas hubieran invertido tiempo de sus auditores internos para realizar estos trabajos, habrían obtenido algunos beneficios.

Pero, entonces, ¿cuál es el enfoque correcto sobre las auditorías internas? Estas son algunas ideas:

1. La gerencia debe ver la auditoría interna como una de las mejores herramientas para mejorar el sistema, no sólo como un medio para obtener la certificación.
2. Los auditores internos deben estar capacitados: esto significa que deben tener experiencia en seguridad de la información, en tecnología de la información y en técnicas de auditoría. No significa que el auditor debe ser un experto en esas áreas.
3. La auditoría interna debe ser realizada en forma positiva: el objetivo debería ser mejorar el sistema, no culpar a los empleados por sus errores.

Por el lado positivo, como auditor de certificación he visto a algunas organizaciones realizar auditorías internas correctamente. Aunque sus empleados se sintieron un poco incómodos porque alguien controlaba sus actividades, enseguida vieron los beneficios de este enfoque: los problemas salieron a la luz y fueron resueltos bastante rápido.

También puede dar un vistazo a nuestro tutorial en vídeo Cómo redactar el Procedimiento de auditoría interna y el Programa de auditoría según ISO 27001 e ISO 22301 (es un vídeo comercial disponible para la venta).

Usted ya ha dedicado un período bastante considerable a la implementación de la ISO 27001, ha invertido bastante en capacitación, consultoría e implementación de diversos controles. Ahora llega el auditor de la entidad de certificación. ¿Aprobará la certificación?

Esta ansiedad es normal, usted nunca puede saber si su SGSI (sistema de gestión de la seguridad de la información) tiene todo lo que la entidad certificadora solicita. Pero ¿qué es exactamente lo que busca el auditor?

Primero, el auditor llevará a cabo la Fase 1 de auditoría, también denominada “Revisión de la documentación”. En esta auditoría, el auditor buscará la documentación sobre el alcance, la política y los objetivos del SGSI, la descripción de la metodología de evaluación de riesgos, el Informe sobre la evaluación de riesgos, la Declaración de aplicabilidad, el Plan de tratamiento del riesgo, los procedimientos para el control de documentos, las medidas correctivas y preventivas y la auditoría interna. Usted también deberá documentar algunos de los controles del Anexo A (sólo si los considera aplicables en la Declaración de aplicabilidad): inventario de activos (A.7.1.1), uso aceptable de activos (A.7.1.3), tareas y responsabilidades de los empleados, contratistas y terceros (A.8.1.1), términos generales de empleo (A.8.1.3), procedimientos para el funcionamiento de las instalaciones de procesamiento de la información (A.10.1.1), política de control de acceso (A.11.1.1) e identificación de la legislación aplicable (A.15.1.1). También necesitará registros de, al menos, una auditoría interna y una revisión por parte de la gerencia.

Si falta alguno de estos elementos, significa que no está listo para la Fase 2 de auditoría. Obviamente que usted podría tener muchos más documentos si lo considera necesario, pero la lista anterior contiene los requerimientos mínimos.

A la Fase 2 de auditoría también se la denomina “auditoría principal” y, generalmente, se realiza unas semanas después de la Fase 1. En esta auditoría el enfoque no va a ser sobre la documentación sino en si su organización realmente está haciendo lo que sus documentos y la ISO 27001 dicen que tiene que hacer. En otras palabras, el auditor verificará si su SGSI verdaderamente se ha materializado en su organización o si sólo se trata de letra muerta. El auditor lo verificará mediante la observación y entrevistas con sus empleados pero principalmente controlando sus registros. Entre los registros obligatorios se incluyen los de formación, capacitación, habilidades, experiencias y calificaciones (5.2.2), auditoría interna (6), revisión por parte de la gerencia (7.1) y medidas correctivas (8.2) y preventivas (8.3). Sin embargo, el auditor esperará ver muchos más registros como resultado de la realización de los procedimientos.

Por favor, tenga cuidado sobre este punto; cualquier auditor experimentado se dará cuenta al instante si alguna parte de su SGSI es ficticio y confeccionado solamente para los fines de la auditoría.

Perfecto, ya sabía todo esto. Pero aún sucede: el auditor encontró un incumplimiento grave y le informó que no se emitirá el certificado ISO 27001. ¿Es el fin del mundo?

Por supuesto que no. El proceso es el siguiente: el auditor informará los resultados (incluyendo el incumplimiento grave) en el informe de auditoría y le dará un plazo en el cual deberá solucionar el incumplimiento (generalmente son 90 días). Su trabajo es tomar las medidas correctivas correspondientes, pero debe tener cuidado ya que esta acción debe solucionar el origen del incumplimiento; en caso contrario, el auditor podría no aceptar lo que se ha hecho. Una vez que esté seguro de haber tomado las medidas correctas, debe notificarle al auditor y enviarle la evidencia de lo que ha hecho. En la mayoría de los casos, si ha hecho su trabajo concienzudamente, el auditor aceptará su medida correctiva y activará el proceso de emisión del certificado.

Ahora sí, demandó tiempo pero ahora usted es el orgulloso propietario del certificado ISO/IEC 27001. (Tenga cuidado, el certificado tiene una validez de tres años solamente, y puede ser suspendido durante dicho período si la entidad de certificación identifica algún otro incumplimiento grave en las visitas de control.)

También puede dar un vistazo a nuestra serie de tutoriales en vídeo sobre ISO 27001, que explica cada paso de la implementación de esta norma (son vídeos comerciales disponibles para la venta).