Ciberseguridad
ISO-27001-Rberny-2020

ISO/IEC 27001:2013 – Rberny 2020

En anteriores publicaciones sobre ciberseguridad de mi autoría, he hablado muy poco de las normas ISO, por solicitud de colegas y amigos, haré un pequeño ensayo de acuerdo a mi experiencia con la norma ISO 27001.

Estoy seguro de que muchos ya habrán pasado o están pasando por la implementación de la ISO 27001, todos de alguna manera buscamos una manera fácil de hacerlo, pero o realidad, por experiencia los decepcionaré “No hay una manera fácil de hacerlo”, estamos hablando de la seguridad de la información, entonces no es fácil, consume mucho tiempo y recursos, pero te da la satisfacción de ofrecer servicios de calidad con seguridad, de esta manera intentaré facilitar la comprensión de este gran trabajo, cuando te encomienda esta tarea, te sientes muy orgulloso porque están depositando en ti y en tu equipo toda su confianza y su bien más preciado, su INFORMACIÓN.

De mi parte, siempre he considerado y tratado este proceso como un proyecto, porque en realidad es así, bueno como lo comenté, la implementación de ISO 27001 es un tema complejo que involucra muchas actividades y mucha gente, esta puede durar varios meses o más de un año en algunos casos, claro si no define claramente lo que se debe hacer, quién lo hará y en qué período de tiempo, es definitivamente aplicar alguna metodología en la gestión de proyectos, en mi caso he utilizado con mucho éxito PMBOOK, este en mi perfil como miembro activo de Project Management Institute.

Como todo inicio, debemos preguntarnos ¿Por dónde comenzaré?, pues bien definamos, ¿Qué es la ISO 27001?, es una norma internacional emitida por la Organización Internacional de Normalización (ISO) y describe cómo gestionar la seguridad de la información en una empresa.

Dicha normativa puede ser implementada en cualquier tipo de organización, puede o no tener fines de lucro, también puede ser privada o pública, pequeña o grande, no hace hincapié en algún tipo, para que la ISO aplique es redactada y revisada por los mejores especialistas del mundo en el tema y proporciona una metodología para implementar la gestión de la seguridad de la información en una organización, de igual manera permite que una empresa sea certificada; esto significa que una entidad de certificación independiente confirma que la seguridad de la información ha sido implementada en esa organización en cumplimiento con la norma ISO 27001, esto es bastante bueno e importante para el negocio, ya que a tus socios de negocios, clientes y entidades gubernamentales promueve que tú empresa maneja los mejores estándares de seguridad en la información, proporcionándoles confianza.

La revisión más reciente de esta norma fue publicada en 2013 y ahora su nombre completo es ISO/IEC 27001:2013, el mercado y los especialistas nos indican que se ha convertido en la principal norma a nivel mundial para la seguridad de la información y muchas empresas han certificado su cumplimiento.

La norma ISO 27001 se estructura para ser compatible con otras normas de sistemas de gestión, como la ISO 9001 (https://www.iso.org/obp/ui/es/#iso:std:iso:9001:ed-5:v1:es) y es neutral respecto a tecnología y proveedores, lo que significa que es completamente independiente de la plataforma de TI, de esta manera, todos los miembros de la organización deben ser educados sobre el significado de la norma y cómo se aplica en la empresa.

Siendo realista y con el fin de preservar la información, se ha demostrado que no es suficiente la implantación de controles y procedimientos de seguridad realizados frecuentemente sin un criterio común establecido, en torno a la compra de productos técnicos y sin considerar toda la información esencial que se debe proteger, por consiguiente, no debemos centrar la atención solamente en los sistemas informáticos por mucho que tengan, recuerda hoy en día la importancia más que relevante es el tratamiento de toda la información crítica de la empresa y nunca obviar y dejar sin proteger información que puede ser esencial para la actividad de la empresa y su ruta crítica.

Si queremos implementar un SGSI, les recomiendo tomar en cuenta adicionalmente las siguientes normas que les resultarán de mucha ayuda:


ISO 27000

Tecnologías de la información, resumen y vocabulario.

Leer más
ISO 27002

Tecnologías de la información, técnicas de seguridad, código para prácticas en materia de controles de seguridad de la información, esta norma es la que más está referenciada y ligada al diseño e implantación de los 114 controles especificados en el Anexo A de la ISO 27001.

Leer más
ISO 27005

Tecnologías de la información, técnicas de seguridad, gestión de la seguridad de la información.

Leer más

Esta es una recomendación para todos los niveles, en mi experiencia, la razón principal por la cual los proyectos de ISO 27001 fallan, es porque la Dirección y/o Administración no proporciona suficientes personas para trabajar en el proyecto o no hay suficientes recursos económicos, el que se tenga el apoyo requerido hay quienes les puede parecer bastante obvio y por lo tanto generalmente no se toma lo suficientemente en serio, por favor, que la labor de concientización y aceptación sea lo más clara posible y asentado en el plan del proyecto.

Plantearemos cuales son los Objetivos de la seguridad de la información

Confidencialidad

Los componentes del sistema permanecen inalterados a menos que sean modificados por los usuarios autorizados.

Integridad

Los usuarios deben tener disponibles todos los componentes del sistema cuando así lo requieran.

Disponibilidad

Los componentes del sistema son accesibles únicamente por los usuarios autorizados, de acuerdo al perfil establecido en el control de usuarios.

En mi experiencia agregaría, estos objetivos que perseguiría al querer implementar la ISO 27001 en mi empresa:

Control

Solo los usuarios autorizados deciden cuando y como permitir el acceso a la información de acuerdo al perfil, establecer responsabilidades y derechos.

Autenticidad

Definir que la información requerida es válida y utilizable en tiempo, forma y distribución.

No Repudio

Evita que cualquier entidad que envió o recibió información alegue, que no lo hizo.

Auditoría

Determinar qué, cuándo, cómo y quién realiza acciones sobre el sistema.

Es importante considerar que esta norma propone un marco de gestión de la seguridad de toda la información de la empresa, incluso si es información perteneciente al propio conocimiento y experiencia de las personas o la resultante en reuniones, etc.

“Siempre debemos saber hasta dónde podemos llegar, por lo que, al definir el alcance, es imperativo ser muy realistas, sin divagar y claros de la visión, misión y objetivos del negocio”

De forma general, con la información proporcionada hasta este punto, entiendo que es de nuestro conocimiento que es la ISO 27001 y que hace, bueno ahora definamos algunos conceptos base:

Gestión de la seguridad de la Información.

El nivel de seguridad que podemos alcanzar por medios técnicos es limitado e insuficiente por sí mismos, entonces para tener una gestión efectiva de la seguridad, toda la organización debe tomar parte activa, con la junta directiva al frente, considerando también a clientes y proveedores de bienes y servicios.

El modelo de gestión de la seguridad debe contemplar procedimientos adecuados y la planificación e implantación de controles de seguridad, basados en una evaluación de riesgos y en una medición de la eficacia de los mismos.

La organización debe implementar un Sistema de Gestión de Seguridad de la Información (SGSI) según la norma ISO 27001, para ello, deberá llevar a cabo una evaluación de los riesgos de la seguridad de la información para poder establecer controles que aseguren un entorno invariable bajo los criterios de disponibilidad, confidencialidad e integridad.

Gestión de Riesgos

Proceso mediante el cual se identifica, comprende, evalúa y mitiga cualquier tipo de riesgo o amenaza en la información de una determinada organización, define dos aspectos clave de las compañías en las que la información es clave para sus operaciones:

Identificar todos los activos críticos de información, un programa de gestión de riesgos que se puede ampliar para identificar a las personas críticas, los procesos de negocio y la tecnología.

Comprender por qué los activos críticos escogidos son necesarios para la operación, la realización de la misión y la continuidad de las operaciones.

De esta manera el plan de tratamiento de riesgos de seguridad de la información debe de estar apoyado por una serie de elementos que incluyan:

  • Un programa de gestión de activos.
  • El programa de gestión de la configuración.
  • Un programa de gestión del cambio.

De igual manera se podrán establecer políticas y procedimientos en relación a los objetivos de negocio de la organización, siempre intentando mantener un nivel de exposición menor al nivel de riesgo, que la propia organización ha decidido asumir.

Controles de seguridad.               (Anexo A)

En la norma se encuentran un total de 114 controles de seguridad, divididos en 12 dominios o secciones y el negocio debe elegir cuales se aplican mejor a sus necesidades, es importante entender que no solo se limita al área TI, sino que también involucra departamentos como el de recursos humanos, seguridad financiera, comunicaciones, entre otros.

12 Dominios o Secciones

  • Políticas de Seguridad de la Información.

  • Seguridad de los Recursos Humanos.

  • Organización de la Seguridad de la Información.

  • Gestión de Activos.

  • Controles de Acceso.

  • Criptografía – Cifrado y Gestión de Claves.

  • Seguridad Física y Ambiental.

  • Gestión de la Continuidad del Negocio.

  • Adquisición, Desarrollo y Mantenimiento del Sistema.

  • Gestión de Incidentes de Seguridad de la Información.

  • Seguridad de las Comunicaciones y Operaciones.

  • Cumplimiento.

Recomendación Rberny

Les recomiendo definir responsabilidades para administrar los controles, medir y monitorear la efectividad de los controles e implementar acciones correctivas cuando se detecten fallos en los controles, de tal forma que se asegure el logro de los objetivos propuestos y necesariamente una capacitación adecuada sobre la norma, esto es fundamental para establecer los controles de seguridad pertinentes.

Gestión del proyecto ISO 27001.

Reconozco que las empresas que se deciden por implementar esta normatividad, es por son conscientes de que establecer los requisitos de la norma ISO 27001 es el punto de partida de un proyecto con elementos de mayor relevancia y esto aumenta en el caso de querer implementar también un Sistema de Gestión de Seguridad de la Información (SGSI) en un tiempo y desde luego contar con un presupuesto prudente.

Es evidente que el factor clave es el compromiso de la alta dirección, pues si los altos ejecutivos no creen que obtendrán beneficio real del proyecto de inversión, quizás deberían invertir su energía en otras cuestiones, ya que se trata de un proceso que requiere establecer un papel muy activo, deben de conocerse los beneficios aplicables al negocio y debe transmitirse de manera continua este mensaje o idea a todas aquellas personas encargadas de tomar decisiones en la organización.

Documentar (Documentación).

El control documental no solo se recomienda, lo considero una obligación de cualquier departamento de tecnologías de la información, sin embargo, para el proyecto de implementación de la ISO 27001, este debe estar  basado en un sistema de gestión documental efectivo, considerando que es fundamental para el cumplimiento de las normas de calidad, entonces obtener una certificación ISO es solo el comienzo de la historia, el mantener la certificación es el aspecto más desafiante del proceso de certificación, permanecer certificado implica no solo seguir los procesos y procedimientos que se establecieron, sino que también requiere que se mejoren esos procesos y que se mantenga un registro que el que se pueda confirmar que:

  • Se cuida que la documentación esté actualizada.
  • Actualización de los procedimientos cuando los procesos cambian.
  • Demostrar que se revisan las instrucciones de trabajo cuando se descubren métodos más eficientes, que se rellenan los formularios de inspección y se completan los registros necesarios cuando se realiza formación.
  • Proporciona trazabilidad en el seguimiento a lecciones aprendidas durante y después del proceso de implementación, así como en el mantenimiento de la certificación.
  • Facilita la formación del nuevo personal, así como la auditoría del proceso que lo involucra.

Como valor añadido a las anteriores descripciones, recomiendo que se evalué la madurez de los procesos antes de planificar la estrategia de seguridad e identificar las áreas que requieren mejoras, redactar un plan de acción que aseguré que las brechas se completen mediante la implementación de controles específicos lógicos y técnicos.

El punto fino está en comprender que la seguridad de la información es parte de la gestión global del riesgo en una empresa y por lo tanto hay aspectos que se superponen con la ciberseguridad, con la gestión de la continuidad del negocio y con la tecnología de la información.

Estructura de la norma ISO 27001

¿Qué es el ciclo PDCA (PHVA)?

El ciclo de Deming de Edwards Deming, también conocido como ciclo PDCA del inglés Plan-Do-Check-Act o PHVA de la traducción oficial al español como Planificar-Hacer-Verificar-Actuar.

La forma en que está estructurada la ISO 27001 es basándose en secciones:

Sección 0

(Compatibilidad)   
         

Es la Introducción, habla sobre el objetivo de ISO 27001 y su compatibilidad con otras normas de gestión.

Sección 1   
         
(Universalidad)

Alcance

Nos muestra el propósito de la norma, así como los tipos de organizaciones para las que se ha diseñado, sus cláusulas y requisitos que una organización debe cumplir para que la organización sea considerada conforme a la norma.

La ISO 27001 está diseñada para ser aplicable a cualquier tipo de organización, independientemente del tamaño, la complejidad, el sector industrial, el propósito o la madurez, por lo que su organización puede implementar y mantener un SGSI que cumpla con dicha norma.

Sección 2


(Normas)

Referencias normativas

Hace referencia a la norma ISO/IEC 27000 como estándar en el que se proporcionan términos y definiciones, mismas que enumeran otras normas que contengan información relevante para determinar el cumplimiento de una organización con la norma referida.

Bueno esto parece un trabalenguas, algunos de los términos utilizados y/o requisitos detallados en la ISO 27001, se explican en la ISO 27000, entonces la ISO 27000 es muy útil para la comprensión de los requisitos y su cumplimiento.

Sección 3

(Definiciones)

Términos y definiciones

Muy parecida a la sección 2, hace referencia a la norma ISO/IEC 27000, ya que particularmente no hay términos y definiciones en la ISO 27001, sin embargo, se hacen referencias a la versión más reciente de la ISO 27000, así como a los sistemas de gestión de seguridad de la información.

Les recomiendo que, al redactar la documentación de su SGSI, no tienen que usar estos términos exactos, no obstante, al redefinir los términos que queremos utilizar podemos darle más claridad y significado e intención, de la misma forma es sensato y útil proporcionar un glosario junto a la documentación de su sistema.

Resumen y vocabulario, hacen referencia a la versión más reciente de dicho documento que contiene 81 términos y definiciones utilizados en la ISO 27001.

Sección 4

             (La empresa)

Contexto de la organización

Define una parte de la fase de Planificación del ciclo PHVA (ciclo PDCA) y define los requerimientos para comprender cuestiones de las partes interesadas, sus requisitos y el alcance del SGSI.

Tengan muy presente que la forma y las áreas específicas de prioridad dependerán del contexto en el que opere la organización, la norma incluye dos niveles:

Interno:
Aspectos sobre los que la organización tiene control.

Externo:
Aspectos sobre los que la organización no tiene control directo.

Recomiendo un análisis que sea cuidadoso del entorno en el que opera la organización, condicionalmente esto es fundamental para identificar los riesgos inherentes a la seguridad de sus activos de información, el resultado de dicho análisis es la base que te permitirá evaluar los procesos que necesita considerar agregar y fortalecer para construir un SGSI efectivo.

Nuevamente, les sugiero hay que documentar y/o mantener un archivo de toda la información recopilada en el análisis del contexto de la organización y las partes interesadas, tales como: conversaciones con un representante de la gerencia de la empresa, actas de reuniones o planes de negocios o en su caso un documento específico que identifique problemas internos y/o externos, así como las partes interesadas, sus necesidades y expectativas, por ejemplo, un análisis FODA, estudio PESTLE o evaluación de riesgo empresarial de alto nivel.

Sección 5

(Gestión y responsabilidades)

Liderazgo

En continuidad a la parte de la fase de Planificación del ciclo PHVA (ciclo PDCA), la cual define las responsabilidades de la dirección, el establecimiento de roles y responsabilidades y el contenido de la política de alto nivel sobre seguridad de la información.

En la práctica, definitivamente implica una participación activa en la dirección del SGSI, promover su implementación y garantizar la disponibilidad de recursos apropiados, tal es el caso de asegurar que los objetivos del SGSI sean claros y estén alineados con la estrategia general del negocio, incluye claridad sobre las responsabilidades, unificación del pensamiento basado en el riesgo, encontrando el corazón de la toma de decisiones.

Debe de existir, una comunicación clara de esta información a todas las personas dentro del alcance del SGSI, a este respecto la ISO 27001 otorga gran importancia a la participación activa de la gerencia en el sistema, basándose en el supuesto de que es crucial para garantizar la implementación y el mantenimiento efectivo de un SGSI efectivo y eficiente.

Sección 6

             (Riesgos)

Planificación

La tercera sección que forma parte de la fase de Planificación del ciclo PHVA (ciclo PDCA), en la cual define los requerimientos para la evaluación de riesgos, el tratamiento de riesgos, la declaración de aplicabilidad, el plan de tratamiento de riesgos y la determinación de los objetivos de seguridad de la información.

La ISO 27001 es una herramienta de gestión de riesgos que guía a una organización en la identificación de dichos riesgos de seguridad de la información para ser considerando en el propósito del SGSI, para lo cual:

Debemos identificar los riesgos estratégicamente importantes, obvios y ocultos pero peligrosos.

Asimismo, asegurarnos de que las actividades y los procesos operativos diarios de la organización estén diseñados, dirigidos y por supuesto tengan recursos para gestionar inherentemente esos riesgos.

Resiliencia, responder y adaptarse automáticamente a los cambios para hacer frente a los nuevos riesgos y reducir continuamente la exposición a los mismos, tiempo de recuperación.

Desarrollar y mantener un plan de acción detallado que esté alineado, actualizado y respaldado por revisiones y controles regulares, esto es decisivo.

Nota:

Les recomiendo revisar el Anexo A (8.1.1), que contiene requisitos sobre listas de activos de información, activos asociados con la información, como edificios, archivadores, equipo de cómputo e instalaciones de procesamiento de información, es un gran beneficio si se completa la evaluación de riesgos ajustando sistemáticamente los riesgos planteados para cada elemento de esta lista, entonces habrán cumplido dos requisitos dentro del mismo ejercicio, al mismo tiempo se asigna un responsable, cuidado con este detalle, el auditor externo esperará ver un registro de su evaluación de riesgos, un responsable asignado para cada riesgo identificado y los criterios que ha utilizado.

Otra recomendación en la que quiero hacer hincapié, el auditor externo solicitara también, un plan de tratamiento de dichos riesgos, por ejemplo, una lista de acciones que detalle las acciones de tratamiento de riesgos que ha implementado o planea implementar, dicho plan debe ser lo suficientemente detallado para permitir que se verifique el estado de implementación de cada acción, también será necesario que exista evidencia de que este plan ha sido aprobado por los responsables de los mismos y por la dirección de la empresa.

Sección 7

(Soporte y comunicación)

Apoyo

La cuarta sección de la fase de Planificación del ciclo PHVA (ciclo PDCA) y es donde se definen los requerimientos sobre disponibilidad de recursos, competencias, concienciación, comunicación y control de documentos y registros.

Esto se aplica a las personas, infraestructura, medioambiente, recursos físicos, materiales, herramientas, etc., recuerda todos ellos son el enfoque renovado en el conocimiento como un recurso importante dentro de la organización.

Cuando planifique sus objetivos de calidad en los servicios, una consideración importante será la capacidad actual y la capacidad de sus recursos, así como aquellos recursos de proveedores y socios de negocio externos.

Además de garantizar la competencia del personal clave en relación con la seguridad de la información, los empleados, proveedores y contratistas deberán conocer los elementos del SGSI, aspecto fundamental para establecer una cultura de soporte dentro de la organización.

En este sentido he podido observar que la mayoría de las organizaciones ya utilizan herramientas como matrices de capacitación y habilidades, evaluaciones de proveedores que pueden satisfacer el requisito de registros de competencia, al expandir las áreas cubiertas para incluirlos en la seguridad de la información.

Mi recomendación en esta sección es reconocer que los procesos en tu SGSI funcionen de manera efectiva, para ello, deberás de asegurarte de tener actividades de comunicación bien planificadas y gestionadas, es real, que la ISO 27001 indica tener bien identificado el curso de la comunicación y detalla de manera concisa al requerir que determinemos:

Definir lo que necesita ser comunicado.
Establecer tiempos, cuándo necesita ser comunicado.
Destino, a quién necesita ser comunicado.
Responsabilidad, ¿Quién está a cargo de la comunicación?
Procesos, ¿Cuáles son los medios y procesos de comunicación a utilizar?

Sección 8

             (Controles y Operación)

Funcionamiento

En esta última sección de la fase de Planificación del ciclo PHVA (ciclo PDCA), la ISO 27001, nos ayuda a definir la implementación de la evaluación y el tratamiento de riesgos, de la misma manera los controles y demás procesos necesarios para cumplir los objetivos de seguridad de la información.

Gestionar tus riesgos de seguridad de la información y alcanzar sus objetivos requiere la formalización de las actividades en un conjunto de procesos claros y coherentes, es probable que muchos de estos procesos existan y simplemente necesiten modificaciones para incluir elementos relevantes en la seguridad de la información.

Para implementar procesos efectivos, las siguientes prácticas son cruciales:

Definición clara y comunicación efectiva de las actividades requeridas para gestionar los riesgos de seguridad de la información asociados cuando ocurre un evento, por ejemplo: un nuevo empleado que se une a la empresa.

Los procesos se crean adaptando o formalizando las actividades de negocio en hábitos dentro de la organización, de igual manera, realizar la asignación clara de las responsabilidades para efectuar las actividades relacionadas.

Buscar llevar una identificación sistemática de los riesgos de seguridad de la información relevantes para cada proceso.

Evaluación rutinaria de la estabilidad con la que se sigue cada proceso y su efectividad en la gestión de riesgos de seguridad de la información, así como, la asignación de recursos para garantizar que las actividades puedan llevarse a cabo cuando sea necesario.

Definitivamente en la realidad es más fácil decirlo que hacerlo, sin embargo, en la administración de proyectos esta suele ser la tarea más arriesgada en el proyecto, por lo general significa la aplicación de nueva tecnología, si claro, pero principalmente, la implementación de un nuevo comportamiento en tu organización, regularmente se necesitan nuevas políticas y procedimientos, lo que significa que se necesita un cambio, y las personas generalmente se resisten al cambio.

Sección 9

(KPI´s)

Evaluación del desempeño

Nos define la ISO 27001, en esta sección que forma parte de la fase de Revisión del ciclo PHVA (ciclo PDCA), los requerimientos para monitoreo, medición, análisis, evaluación, auditoría interna y revisión por parte de la dirección.

En este punto, la empresa necesitará decidir qué debe controlar para asegurar que el proceso del SGSI y los controles de seguridad de la información estén funcionando según lo previsto, recuerda, “No es práctico controlar a cada momento”, si intentas hacerlo, sin duda es probable que el volumen de datos sea tan grande que sea prácticamente imposible usarlo de manera efectiva, ya que pronto, en la práctica lo he visto, se deberá tomar una decisión informada sobre qué monitorear.

No dejes de realizar las prerrogativas siguientes:

¿Qué procesos y actividades tienen las vulnerabilidades más significativas?
¿Qué procesos y actividades están sujetos a las amenazas más frecuentes y significativas?
¿Qué resultaría más práctico para controlar y generar información significativa y oportuna?
Para que cada proceso de control que implementes sea efectivo, debes definir claramente:
¿Cómo se lleva a cabo el control?, por ejemplo: esto se define en un procedimiento.
¿Cuándo se lleva realiza?
¿Quién es el responsable de realizarlo?
¿Cómo se informan los resultados, cuándo y a quién y cual su destino?

Tener presente que, si los resultados del control identifican un desempeño inaceptable, ¿cuál es el proceso o procedimiento para afrontar esta situación?
Recomiendo que se les debe asignar el tiempo suficiente para realizar la auditoría y asegurar la cooperación de los empleados y/o usuarios, por lo que debe mantener un plan de auditorías internas.

Sin embargo, en la certificación el auditor externo verificará que dicho plan es para garantizar que todos los procesos del SGSI se auditen durante un ciclo de tres años y debe incluir:

Evidencias de bajo rendimiento, a través de auditorías previas, monitoreando resultados o incidentes de seguridad de la información.

La gestión de riesgos de seguridad de la información.
Los procesos que se auditan con mayor frecuencia.
No cometas el error de subestimar tareas, comúnmente alguien dirá: si no puede medir lo que se ha hecho, ¿Cómo puede estar seguro de haber cumplido el propósito?, entonces, asegúrate de definir cómo vas a medir el cumplimiento de los objetivos que han establecido tanto para el SGSI completo como para cada control en la Declaración de Aplicabilidad.

Sección 10

          (Mejora continua)

Mejora

Sección de continuo refinamiento que forma parte de la fase de Mejora del ciclo PHVA (ciclo PDCA) y define los requerimientos para el tratamiento de no conformidades, correcciones, medidas correctivas y mejora continua.

El objetivo de la implementación del SGSI, debe ser reducir la probabilidad de que ocurran eventos de seguridad de la información, así como minimizar su impacto, es evidente que SGSI es perfecto, sin embargo, dichos sistemas de gestión mejoran con el tiempo y aumentarán la resistencia frente a los ataques de seguridad de la información.

Lecciones aprendidas, bueno, esto emerge de la metodología de administración de proyectos, en la práctica, la mejora se consigue aprendiendo de los incidentes de seguridad, de los problemas identificados en las auditorías, en los problemas de rendimiento, desde luego en las quejas de las partes interesadas y las ideas generadas durante las revisiones por la dirección.Si eres el responsable, cuando tengas un evento, debes observar:

¿Qué ocurrió?
¿Es una vulnerabilidad identificada?
Mantener los registros de los eventos
Si el evento tuvo consecuencias indeseables, qué acciones se tomaron para controlarlo y mitigarlo.
Un ágil análisis para identificar la causa raíz del evento, claro si se determina como tal.
De acuerdo al plan, la acción tomada para eliminar la causa raíz, ¿es necesaria?, ¿Adecuada?
Dimensionar y evaluar la efectividad de cualquier acción tomada.
¿Se solucionó evento con o sin impacto?

Anexo A

Este anexo proporciona un catálogo de 114 controles, los cuales incluyen las medidas de seguridad, distribuidos en 14 secciones (secciones A.5 a A.18).

Anexo SL

Uno de los mayores cambios introducidos en la revisión de la ISO 27001 del 2013 es la adopción de la estructura del Anexo SL, antes conocido como Guía 83 ISO, este es utilizado por los autores de las normas ISO para proporcionar una estructura común a las normas de sistemas de gestión.

Revisiones y actualizaciones

Las normas ISO están sujetas a una revisión cada 5 años para evaluar la necesidad de actualizaciones.

¿Qué es un SGSI?

Un Sistema de Gestión de la Seguridad de la Información es una dirección sistemática para la gestión segura de los activos de información de una empresa, entonces este sistema incluye al personal, procesos y tecnologías de la información, aplicando un proceso de gestión de riesgos, puede ayudar a empresas de cualquier tamaño y sector a preservar de forma segura sus activos de información.

Nota:

Los auditores externos esperarán que se haya considerado la información de la ISO 27000 en el desarrollo e implantación de su SGSI (Obviamente).

¿Qué es un proceso?

Lo defino de la siguiente manera aplicado a un SGSI, considero que un proceso es la transformación de una entrada en una salida, que tienen lugar como consecuencia una serie de pasos o actividades que tiene objetivos planificados, he visto que frecuentemente, la salida de un proceso se convierte en la entrada de otro proceso posterior y he constatado que muy pocos procesos actúan de forma aislada, en procesos todos son proveedores y a su vez clientes de algún proceso.

¿Qué son los stakeholders o partes interesadas?

Una parte interesada es cualquier persona que sea, pueda ser o se considere afectada por una acción u omisión de su organización, dichas partes interesadas serán claras a través del proceso de llevar a cabo un análisis exhaustivo de los problemas internos y externos, probable y regularmente incluirán accionistas, propietarios, reguladores, clientes, empleados, además pueden extenderse al público en general y al medio ambiente, dependiendo de la naturaleza del negocio, recomiendo no tratar de comprender o satisfacer todos sus caprichos o requerimientos no fundamentados, vagos y sin sentido para ser aplicados en un SGSI, pero sí es primordial determinar cuáles de sus necesidades y expectativas, recuerda estas son relevantes para implementar correctamente el SGSI y por consiguiente el proceso de la ISO 27001.

Roles y responsabilidades ISO 27001

Para que las actividades de seguridad de la información formen parte de las actividades cotidianas para el personal de la organización, las responsabilidades que tienen deben definirse y comunicarse claramente, aun cuando, no hay ningún requisito en la norma respecto al nombramiento de un representante de Seguridad de la Información, es recomendable y útil para algunas organizaciones designar un responsable para dirigir el equipo de seguridad de la información y que coordine la capacitación, el control de los controles y la presentación de informes sobre el desempeño del SGSI a la presidencia o dirección de la empresa, este elemento puede ser el responsable de la protección de datos y servicios de TI, en mi opinión en muchos casos si se considera así, es ser juez y parte, por ello recomiendo que, para realizar esta función de manera efectiva, lo ideal sería que fuese miembro de la gerencia, con conocimientos de la gestión de seguridad de la información.

¿Qué es la Evaluación de Riesgos en ISO 27001?

No voy a mentir, la evaluación de riesgos es la tarea más compleja en el proyecto ISO 27001, ya que el punto es definir las reglas para identificar los activos, las vulnerabilidades, las amenazas, los impactos y la probabilidad y por ende definir el nivel aceptable de riesgo, recuerda, si esas reglas no se definieron claramente, es posible que se encuentre en una situación en la que obtenga resultados inutilizables.

Mediante nos adentramos más en el tema, es evidente que la evaluación de riesgos es el núcleo de cualquier SGSI eficaz, no debemos perder esto de vista, incluso la organización con más recursos no puede descartar la posibilidad de sufrir un incidente de seguridad de la información, la mayoría de los marcos de evaluación de riesgos consisten en una tabla que contiene los resultados de los elementos con una tabla complementaria, una vez identificada su importancia, en mi experiencia considero que la evaluación de riesgos es esencial para:

  • Aumentar la probabilidad de identificar riesgos potenciales mediante la participación de personal que utiliza técnicas de evaluación sistemática y proporcionar aviso de la revisión de activos, grupos de activos, procesos, tipos de información, verificando la presencia de amenazas y vulnerabilidades comunes y registrando los controles que actualmente tiene implementados para administrarlos.
  • Suministrar un marco para evaluar la probabilidad de que el riesgo ocurra de manera persistente una vez al mes, una vez al año o como se haya acordado en el alcance (Incertidumbre).
  • Asignar recursos para abordar las áreas de mayor prioridad, así como, tomar decisiones estratégicas sobre cómo gestionar los riesgos de seguridad de la información significativos y lograr así los objetivos planteados.
  • Facilita un marco para evaluar las consecuencias de cada riesgo que ocurra de manera consistente, por ejemplo, pérdidas de capital monetario.
  • Utiliza un marco para calificar o categorizar cada riesgo identificado, por ejemplo, alto/medio/bajo, teniendo en cuenta su evaluación de probabilidad y las consecuencias.

Recomendación Rberny

Recomiendo Implantar criterios que sean bien documentados y que especifiquen, para cada categoría de riesgo, qué tipo de acción debe tomarse y el nivel o prioridad que se le asigna.

Como dato y para trazabilidad, considero que en este sentido las propias personas pueden ser tratadas en el SGSI como activos de información, si así se cree conveniente.

Algo muy importante para cada peligro identificado en su evaluación de riesgos, deberá aplicar criterios para determinar si:

  • Acepta el Riesgo.
  • Tratamiento de riesgos.

Con las siguientes opciones:

Evasión:

Dejar de realizar la actividad o procesar la información que está expuesta al riesgo.

Eliminación:

Eliminar la fuente del riesgo.

Cambio de probabilidad:

Implementar un control que reduzca los incidentes de seguridad de la información.

Cambio en las consecuencias:

Implemente un control que disminuya el impacto si ocurre un incidente.

Transferencia del riesgo:

Externalizar la actividad a un tercero que tenga mayor capacidad para gestionar el riesgo.

Aceptar el Riesgo:

Si no hay un tratamiento de riesgo práctico disponible para la organización, o si se considera que el costo del tratamiento de riesgo es mayor que el costo del impacto, puede tomar la decisión de aceptar el riesgo, este punto necesariamente debe ser aprobado por los altos mandos de la empresa.

Para lograr muchos de los puntos vistos en el presente artículo, les recomiendo que se mejoren las formas de comunicar los objetivos de seguridad de la información, deben ser eficaces y estas deben incluir cubrir todos los temas para la formación, establecerlos como objetivos de los empleados o incluirlos en las evaluaciones de los empleados, establecerlos en acuerdos de nivel de servicio con proveedores o evaluar el desempeño con respecto a ellos en las revisiones de desempeño del proveedor.

Si pensamos que ya teníamos resuelto todos de los documentos relacionados con el riesgo, pues no y aquí viene otro:

                Plan de tratamiento de riegos

Su propósito es definir exactamente cómo se implementarán los controles, quién lo hará, cuándo y con qué presupuesto, etc., en la práctica este documento es en realidad un plan de implementación centrado en sus controles, sin el cual no podrías coordinar más pasos en el proyecto, no es lo mismo, el plan de tratamiento de riesgos y proceso de tratamiento de riesgos.

Operar el SGSI

Sin duda, esta es la parte donde ISO 27001, se convierte en una rutina diaria en la organización, bueno aquí el concepto fundamental son los registros, recuerda a los auditores les encantan los registros y sin registros, les resultará muy difícil demostrar que realmente se ha realizado alguna actividad, sin embargo, los registros deberían ayudar en primer lugar, al usarlos puede monitorear lo que está sucediendo y realmente sabrá con certeza si los empleados, clientes y/o proveedores están realizando sus tareas según sea necesario.

¿Qué es la declaración de aplicabilidad?

Pues bien, una vez que haya finalizado tu proceso de tratamiento de riesgos, sabrás exactamente qué controles del Anexo necesitas, recuerda hay un total de 114 controles, pero probablemente no los necesitará todos, entonces, el propósito de este documento a menudo denominado SoA, es enumerar todos los controles y definir cuáles son aplicables y cuáles no, así como, las razones de tal decisión, los objetivos que se deben alcanzar con los controles y una descripción de cómo son implementados.

Estoy seguro que la Declaración de Aplicabilidad también es el documento más adecuado para obtener la autorización de la gerencia para la implementación del SGSI.

¿A qué se le llama competencia en ISO 27001?

La implementación de controles efectivos de seguridad de la información depende del conocimiento y las habilidades de sus empleados, proveedores y contratistas, lo cual es necesario para asegurar y promueve una base adecuada de conocimientos y habilidades, siguiendo estas 3 actividades:

  • Definir qué conocimientos y habilidades se requieren (General).
  • Determinar quién necesita del conocimiento y habilidades (Individual).
  • Establecer cómo evaluar que las personas adecuadas tengan los conocimientos y habilidades adecuados (Competencias).             

Hay que tener presente que tu auditor esperará que tengas los documentos que detallen los requisitos de conocimientos y habilidades, cuando crea que se cumplen los requisitos, será necesario respaldarlo con registros como certificados de capacitación, registros de asistencia al curso o evaluaciones de competencia interna.

Va muy de la mano con la comunicación, si tus requisitos de comunicación están bien definidos en los procesos, políticas y procedimientos, entonces no necesita hacer nada más para satisfacer este requisito, pero, si no lo están, debes considerar documentar las actividades clave de comunicación en forma de una tabla o procedimiento que incluya los títulos detallados anteriormente, recuerda que el contenido de estos documentos también debe ser comunicado.

Revisión por la dirección

Es un elemento esencial del SGSI, es el punto formal en el que la gerencia revisa la efectividad del SGSI y asegura su alineación con la dirección estratégica de la organización, por lo que las revisiones por la dirección deben realizarse a intervalos planificados y el programa de revisión general debe cubrir como mínimo una lista de áreas básicas especificadas en la cláusula 9.3 de la norma ISO 27001.

Es imperativo conservar información documentada de dichas revisiones por la dirección, normalmente expresadas como actas de reuniones o tal vez grabaciones de llamadas, claro, si se realizan teleconferencias, considero que no es necesario extenderse mucho, pero deben contener un registro de las decisiones tomadas y las acciones acordadas, incluyendo responsabilidades y plazos.

Me permito comentarle que la administración no tiene que configurar su firewall, pero debe saber lo que está sucediendo en el SGSI, dicho de otra manera, si todos cumplieron con sus obligaciones, si el SGSI está logrando los resultados deseados, etc., ya que basado en eso, la gerencia puede tomar algunas decisiones de impacto al negocio.

Análisis de causa-raíz

Para identificar acciones correctivas efectivas, es recomendable completar un análisis de causa raíz del problema, ¿Qué es esto?, bueno, si no llega al fondo de por qué o cómo sucedió, es probable que cualquier solución que implemente no sea completamente efectiva, entonces el enfoque de los “5 por qué” es una buena herramienta de análisis de causa raíz, te recomiendo comenzar con el problema y luego pregúntate “por qué” hasta llegar a la causa raíz.

Por lo general, con 5 pregunta es suficiente, pero los problemas complejos pueden requerir más preguntas.

Por ejemplo:

  • Declaración del problema:
    • La organización estaba infectada por el virus Sircam.
  • ¿Por qué?
    • Alguien hizo clic en un enlace de un e-mail y descargó el virus que infectó su computadora.
  • ¿Por qué?
    • No recibieron ninguna formación sobre enlaces en e-mails sospechosos y el trabajo en internet.
  • ¿Por qué?
    • No hay una correcta comunicación entre áreas.
  • ¿Por qué?
    • El área de Recursos humanos, no considera incluir estos datos en la inducción de nuevo personal y el área de Tecnologías de la información no tiene una base de conocimiento en intranet y entre las dos áreas no hay elaborados perfiles, ya que el usuario que se infectó no debe tener acceso al correo y a la web por sus actividades.

Nota:

El ejemplo de los 5 porque, no es una realidad, es obra de la casualidad, que sucede muy seguido y la casualidad dice que por ello se desestabiliza la seguridad de la información, no tengo nada encentra de ningún área, soy gerente de un área de tecnologías de la información y por experiencia la casualidad existe.

Regresando al punto, es posible que no tengas suficientes recursos para realizar el análisis de causa raíz en cada evento, entonces, para priorizar esfuerzos, primero debes considerar completar una evaluación de riesgo simple y luego realizar un análisis de causa raíz solo para aquellos riesgos de valor medio o alto.

Política de seguridad de la información

También llamada Política del SGSI, es el documento de más alto nivel en tu SGSI; no debe ser muy detallado, pero debe definir algunos problemas básicos para la seguridad de la información en tu organización, reflexionemos, ¿Pero ¿cuál es su propósito si no se detalla?, sencillo, tiene el propósito es que la gerencia defina lo que quiere lograr y cómo controlarlo, por ello debemos preguntarnos ¿Qué debemos escribir en la Política de seguridad de la información de acuerdo con ISO 27001?

Implementar programas de capacitación y sensibilización

capacitación Rberny 2020.
capacitación Rberny 2020.

En efecto, lo que queremos es que el personal implemente todas las nuevas políticas y procedimientos, para lograrlo, primero debemos explicarles por qué son necesarios y capacitar a dicho personal para que pueda desempeñarse como se espera, recomiendo que esto no se haga a un lado, recuerda la ausencia de estas actividades es la segunda razón más común para la falla del proyecto ISO 27001.

Monitoreo del SGSI

Seguro todos consideramos estas preguntas:

  •  ¿Qué está pasando en el SGSI?
  • ¿Cuántos incidentes tiene, de qué tipo?
  • ¿Se llevan a cabo todos los procedimientos correctamente?
  • ¿Es conocido o desconocido el evento?
  • ¿Es interno o externo?
  • ¿Impacto?
  • ¿Cuántos eventos no solucionados y por qué?

Aquí es donde se unen los objetivos de los controles y la metodología de medición, debemos verificar si los resultados que obtiene están logrando lo que ha establecido en sus objetivos, en contramedida, sabes que algo está mal y por lo tanto se deben realizar acciones preventivas, correctivas, de mantenimiento, informativo de los eventos que así lo requieran.

Auditoría interna

En realidad, en estos momentos no estoy muy seguro que sea así, sin embargo, muy a menudo las personas no son conscientes de que están haciendo algo mal por otro lado, a veces lo hacen, pero no quieren que nadie se entere, mi directriz es que no ser consciente de los problemas existentes o potenciales puede perjudicar a la organización y esto debe de proporcionárseles en la inducción y reglamento de la empresa, entonces se debe realizar una auditoría interna para descubrir tales cosas de las que se manifiesta no conocer, recomiendo un punto de criterio, no es iniciar acciones disciplinarias, sino tomar acciones correctivas y / o preventivas, aprender de ello y generar los cambios de mejora, también depende mucho de la intención y del daño provocado.

Acciones correctivas y preventivas.

El propósito del sistema de gestión es garantizar que todo lo que se puede considerar un fallo o un evento o las clásicas llamadas de soporte, las cuales llamaremos “no conformidades”, se corrijan, se evite, se prevenga, se minimice, en esta parte de la ciencia no entra la suerte, es o no es, así de sencillo, entonces, se requiere que las acciones correctivas y preventivas se realicen sistemáticamente, lo que significa que la causa raíz de una “no conformidad” debe ser identificada, y luego resuelta, verificada, documentada y si es el caso comunicada

Espero que este artículo explique de forma general lo que hay que hacer en este tipo de proyecto, aun cuando implementar la norma ISO 27001 no es una tarea fácil, no es necesariamente complicada y solo tienes que planificar cada paso con cuidado y no te preocupes, obtendrá tu empresa su certificado.

Saludos

Firma2020Rberny
Firma2020Rberny

Bibliografía

Norma ISO 27001

  • ISO/IEC 20000-1:2011, Information technology — Service management — Part 1: Service management system requirements
  • ISO/IEC 27001, Information technology — Security techniques — Information security management systems — Requirements
  • ISO/IEC 27002, Information technology — Security techniques — Code of practice for information security controls
  • ISO/IEC 27003, Information technology — Security techniques — Information security management — Guidance
  • ISO/IEC 27004, Information technology — Security techniques — Information security management — Monitoring, measurement, analysis and evaluation
  • ISO/IEC 27005, Information technology — Security techniques — Information security risk management

John Bendermarcher. “Perspectivas y percepciones globales. Auditoría Interna y auditoría externa [en línea]”. THE INSTITUTE OF INTERNATIONAL AUDITORS. Edición 8. Fecha de Publicación: noviembre de 2017.

https://na.theiia.org/translations/PublicDocuments/GPIDistinctive-Roles-in-Organizational-Governance-Spanish.pdf

Quintero Arias, Andrés. Conclusiones y Lecciones Aprendidas. Auditoría informática. Fecha del artículo: 22 de noviembre 2015.

https://chaui201521701020289.wordpress.com/

ARIS, Y. B. W. y N.A.A. JALIL 2016 “Antecedents in Developing a Risk Culture in Public Listed Companies (PLCs): Introduction to Enterprise Risk Management (ERM)”. En: PEYEMAN, J., W.E.W. RASHID, A. HANIF, et al. (editores). Proceedings of the 1st AAGBS International Conference on Business Management 2014 (AiCoBM 2014). Singapur: Springer, pp. 201-208.

SALAMANCA, Gehiner 2009 Basilea II, la pérdida esperada e inesperada, su diseño, cálculo, uso e impacto sobre el riesgo, la cultura corporativa y la rentabilidad.

PATEL, N. 2016 “International trade finance and the cost channel of monetary policy in open economies. Bank For International Settelments-BIS, working papers n.° 539.

PINTO, J. y G. WINCH 2016 “The unsettling of “settled science:” The past and future of the management of projects”. En: International Journal of Project Management, vol. 34, n.°2, pp. 237-245. Visitado el 26 de abril de 2016.

http://www.sciencedirect.com/science/article/pii/S0263786315001325

NIST – National Institute of Standards and Technology, NIST SP 800-30, Risk Management Guide for Information Technology Systems. NIST Special Publication, 2012. NIST SP 800-12. An Introduction to Computer Security: the NIST Handbook. NIST Special Publication.

http://www.nist.gov

Seguridad de la información: Official (ISC). Guide to the CISSP Exam. S. Hansche, J. Berti, C. Hare. (ISC)2. 2014. CISSP Exam Guide: All In One 3rd Edition. S. Harris. McGraw-Hill/Osborne, 2016.

The Internet Engineering Task Force (IETF) RFC 2196 Site Security Handbook.

http://www.ietf.org/

Metodología de estimación por casos de uso (Use Case Points)

Cockburn, Alistair. Writing Effective Use Cases. Addison-Wesley, 2001.

http://alistair.cockburn.us/get/2465

Ribu, Kirsten. Estimating Object-Oriented Software Projects with Use Cases. Master of Science Thesis. University of Oslo, Department of Informatics. 2001.

http://www.bfpug.com.br/Artigos/UCP/Ribu-Estimating_O-O_SW_Projects_with_Use_Cases.pdf

Gómez, Julián. Método de Estimación Puntos Casos de Uso (Use Case Points). 14 de febrero de 2013

Cohn, Mike. Estimating with Use Case Points.

http://www.cs.cmu.edu/~jhm/Readings/Cohn%20-%20Estimating%20with%20Use%20Case%20Points_v2%2012-24-50-761.pdf

Deja una respuesta

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.