Ponencia Tema: El estándar ISO 27001 y su aplicación en... a. Brindar una rápida visión ...

Anuncio
Ponencia
Tema: El estándar ISO 27001 y su aplicación en las PYMES
El estándar ISO 27001 y su aplicación en las PYMES.
Disertante: Alejandro Corletti Estrada
e-mail: acorletti@hotmail.com
Empresa: Network Centric Software (NCS)
Objetivos:
a.
b.
Brindar una rápida visión del objetivo REAL de esta norma, su intención, alcance y propuesta al
medio plazo para cualquier PyME.
Desarrollar brevemente el concepto de SGSI (Sistema de Gestión de la Seguridad de la Información)
y el de “Controles” que impone la norma.
Duración: 40 minutos.
RESUMEN
El análisis del estándar ISO 27001, deja la sensación que se está gestando con toda rigurosidad la necesidad
de implementar metodologías normalizadas en temas de seguridad, lo cual no es de extrañar, pues las
empresas necesitan cada vez más para su supervivencia y competitividad, compartir sus activos de
información entre ellas, lo cual requiere imperiosamente una cierta uniformidad en el nivel de riesgo expuesto
entre sí. Este estándar por primera vez, es una verdadera solución a este problema, por lo que se puede
prever, que la certificación ISO-27001, será casi una obligación de cualquier empresa Europea en el
corto plazo, como lo es la familia ISO 9000 en la actualidad.
En este texto, se tratarán los conceptos fundamentales de la norma, para que sea comprensible y poder
avanzar sobre la metodología que puede seguir cualquier PyME que crea conveniente su implementación. Al
final se describe brevemente las ventajas que ofrece la certificación ISO 27001.
Temario
1.
2.
3.
4.
5.
6.
Alejandro Corletti Estrada
Orígenes de esta norma.
Novedades que propone.
El SGSI y los controles.
Visión de la UE y situación en España.
Metodología de implantación y certificación en las PYMES.
Beneficios de una PYME certificada en ISO 27001.
Ponencia
1.
Tema: El estándar ISO 27001 y su aplicación en las PYMES
Desarrollo

Orígenes de esta norma.

La norma ISO-27001, forma parte de una familia
de estándares denominado ISO-27000. Tiene su
origen remoto en la norma BS-7799 y la última
versión es la ISO-27001:2005, que aparece en
octubre de ese año y deroga la anterior. Es la
primera vez que un estándar de seguridad tiene
una acogida masiva por parte de las
organizaciones. Lo verdaderamente novedoso es
que permite demostrar homogeneización entre la
seguridad de los sistemas informáticos, lo cual en
este siglo es “imprescindible”, si se desea
compartir información entre empresas (Situación
ás que necesaria para competir en el mercado
actual).
En España, AENOR, se encuentra trabajando en
esta norma y prevé tenerla traducida al castellano
este año, la que se denominará ISO/AENOR
27001. Este es un hito importante, pues facilita y
abre el camino para cualquier PYME que desee
certificarse con ella, pues no debería tener la
necesidad de recurrir a consultores y/o auditores
formados en el extranjero lo cual impone un coste
considerable. Este estándar no pretende llegar
únicamente a grandes empresas, sino que
necesariamente deberá ser aplicado en las PYMES
que deseen trabajar como socias de negocio de
cualquier otra grande o pequeña empresa.
El estándar ISO/IEC 27001 es el nuevo estándar
oficial, su título completo en realidad es: BS
7799-2:2005 (ISO/IEC 27001:2005). También
fue preparado por este JTC 1 y en el subcomité
SC 27, IT “Security Techniques”. La versión que
se considerará en este texto es la primera edición,
de fecha 15 de octubre de 2005, si bien en febrero
de 2006 acaba de salir la versión cuatro del
mismo.
1870 organizaciones en 57 países han reconocido
la importancia y los beneficios de esta nueva
norma.
El conjunto de estándares que aportan
información de la familia ISO-2700x que se puede
tener en cuenta son:

ISO/IEC 27000 Fundamentals and
vocabulary
Alejandro Corletti Estrada
ISO/IEC 27001 SGSI - Requirements
(revised BS 7799 Part 2:2005) – Publicado el
15 de octubre del 2005
ISO/IEC 27002 Code of practice for
information security management Actualmente ISO/IEC 17799:2005,
publicado el 15 de junio del 2005
ISO/IEC 27003 SGSI implementation
guidance (bajo desarrollo)
ISO/IEC 27004 Information security
management measurement (bajo desarrollo)
ISO/IEC 27005 Information security risk
management (basado e incorporado a
ISO/IEC 13335 MICTS Part 2) (bajo
desarrollo)



Actualmente el ISO-27001:2005 es el único
estándar aceptado internacionalmente para la
administración de la seguridad de la información y
aplica a todo tipo de organizaciones, tanto por su
tamaño como por su actividad
2.
Novedades que propone.
La propuesta de esta norma, no está orientada a
despliegues tecnológicos o de infraestructura, sino
a aspectos netamente organizativos, es decir, la
frase que podría definir su propósito es “Organizar
la seguridad de la información”, por ello propone
toda una secuencia de acciones tendientes al
“establecimiento, implementación, operación,
monitorización, revisión, mantenimiento y mejora
del SGSI (Sistema de Gestión de la Seguridad de
la Información)”. El SGSI, es el punto fuerte de
este estándar.
Los detalles que conforman el cuerpo de esta
norma, se podrían agrupar en tres grandes líneas:
-
Valoración de riegos (Risk Assesment)
SGSI
Controles
La valoración de riesgos puede ser desarrollada
con cualquier tipo de metodología (pública o
particular), siempre y cuando sea completa y
metódica, por esa razón no será motivo de esta
charla. Lo único que sí se desea remarcar, es que
en definitiva, el resultado final de un análisis de
riesgo, es:
Ponencia
-
-
-
-
Una clara identificación, definición y
descripción de los activos.
El impacto (Riesgo, grado de exposición,
popularidad,, etc.) que podría ocasionar
cualquier problema sobre cada uno de ellos.
Conjunto de acciones que pueden realizarse
(En lo posible agrupadas por similitud o
área).
Propuesta de varios cursos de acción
posibles (desde el de máxima, intermedios al
de mínima).
Finalmente: Elección y Aprobación de un
curso de acción por parte de la Dirección. Es
decir, el compromiso que asume en virtud
de
su
propia
estrategia
(Coste/beneficio/Negocio), para tratar las
acciones de ese curso de acción y ASUMIR
el riesgo residual que quedará con lo que no
esté dispuesto a abordar el máximo nivel de
la empresa (o en definitiva a pagar….).
Este último paso que se trató es el más
importante de todos, pues recién a partir
de este, es que se puede iniciar el
conjunto de medidas para minimizar los
riesgos, y a su vez para ir solucionando
los impactos que SÍ este dispuesta a
abordar la Dirección (“por escrito”). Lo
cual dará como resultado un nuevo
análisis de riesgo, para ver como
evolucionaron las acciones, y los nuevos
riesgos
residuales….y
las
nuevas
decisiones
estratégicas……….y
las
nuevas acciones……….y las nuevas
mejoras……….y las nuevas…………..al
fin y al cabo de esto se trata la idea de
ciclo, gestión o PDCA como se ve a
continuación.
Tema: El estándar ISO 27001 y su aplicación en las PYMES
Por lo tanto el trabajo importante es saber
resumir/concretar el trabajo, de muchas
semanas o meses que conlleva esta tarea,
entre cuatro/ocho CURSOS DE ACCIÓN, y
una vez adoptada la decisión directiva,
encontrar todos los medios de llevar
adelante esta determinación (y por supuesto,
generar el correspondiente “feedback”)
Sobre lo que sí se hará hincapié en este texto es en
los dos aspectos que conforman los otros puntos
clave de este estándar.
En la implementación de esta norma es donde se
presentará con detalle, el conjunto de pasos a
seguir para implantar un SGSI al completo, el
cual no deja de ser un ciclo permanente regulado
por lo que se propone como PDCA (Plan – Do –
Check – Act), y cada uno de estas actividades
quedará regulada, normalizada y auditada
mediante los correspondientes “Controles”.
-
-
-
Jamás debe olvidarse: La Alta Dirección, no
tiene por qué tener la menor idea de los
aspectos técnicos de la Seguridad Informática
(es más, sería un error que le dedique tiempo a
aprender estas cosas… hasta es mejor que
juegue al golf y concrete grandes negocios..).
Lo que tiene clarísimo es la relación:
Coste/beneficio/Negocio con una visión global
de la empresa.
Y ahí sí sabrá elegir cual es el mejor curso de
Acción que deberá adoptar para su Negocio
global (si se lo ha sabido presentar
debidamente).
Alejandro Corletti Estrada
Plan (Establecer el SGSI): Implica,
establecer la política SGSI, sus objetivos,
procesos, procedimientos relevantes para la
administración de riesgos y mejoras para la
seguridad de la información, entregando
resultados acordes a las políticas y objetivos
de toda la organización.
Do (Implementar y operar el SGSI):
Representa la forma en que se debe operar e
implementar la política, controles, procesos y
procedimientos.
Check (Monitorizar y revisar el SGSI):
Analizar y medir donde sea aplicable, los
procesos ejecutados con relación a la política
del SGSI, evaluar objetivos, experiencias e
informar los resultados a la administración
para su revisión.
Act (Mantener y mejorar el SGSI): Realizar
las acciones preventivas y correctivas,
basados en las auditorías internas y
revisiones del SGSI o cualquier otra
información relevante para permitir la
continua mejora del SGSI.
3. El SGSI y los controles.
3.1. El SGSI.
En el punto cuatro de la norma, se establecen los
conceptos rectores del SGSI.
Ponencia
Punto 4.1. Requerimientos generales:
La organización, establecerá, implementará,
operará, monitorizará, revisará, mantendrá y
mejorará un documentado SGSI en el
contexto de su propia organización para las
actividades globales de su negocio y de cara
a los riesgos. Para este propósito, el proceso
está basado en el modelo PDCA
(recientemente comentado).
Punto 4.3.2. Control de documentos:
Todos los documentos requeridos por el
SGSI serán protegidos y controlados. Un
procedimiento
documentado
deberá
establecer las acciones de administración
necesarias para:
Aprobar documentos y prioridades o
clasificación de empleo.
Revisiones,
actualizaciones
y
reaprobaciones de documentos.
Asegurar que los cambios y las revisiones
de documentos sean identificados.
Asegurar que las últimas versiones de los
documentos
aplicables
estén
disponibles y listas para ser usadas.
Asegurar
que
los
documentos
permanezcan legibles y fácilmente
identificables.
Asegurar que los documentos estén
disponibles para quien los necesite y
sean
transferidos,
guardados
y
finalmente dispuestos acorde a los
procedimientos
aplicables
a
su
clasificación.
Asegurar que los documentos de origen
externo sean identificados.
Asegurar el control de la distribución de
documentos.
Prevenir el empleo no deseado de
documentos obsoletos y aplicar una
clara identificación para poder acceder
a ellos y que queden almacenados para
cualquier propósito
3.2. Los Controles.
Al
escuchar
la
palabra
“Control”,
automáticamente viene a la mente la idea de
alarma,
hito,
evento,
medición,
monitorización, etc., se piensa en algo muy
Alejandro Corletti Estrada
Tema: El estándar ISO 27001 y su aplicación en las PYMES
técnico o acción. En el caso de este estándar,
el concepto de “Control”, es mucho más que
eso, pues abarca todo el conjunto de acciones,
documentos,
medidas
a
adoptar,
procedimientos, medidas técnicas, etc.
Un “Control” es lo que permite garantizar que
cada aspecto, que se valoró con un cierto
riesgo,
queda
cubierto
y
auditable
¿Cómo?

De muchas formas posibles.
Estas formas son las que el estándar agrupa en
el “Anexo A” dentro de once categorías,
sumando un total de ciento treinta y tres
controles, que son los que se describirán
durante la exposición. Este anexo los numera
tal cual se presentan a continuación:
A.5 Política de seguridad
A.6 Organización de la información de
seguridad
A.7 Administración de recursos
A.8 Seguridad de los recursos humanos
A.9 Seguridad física y del entorno
A.10 Administración de las comunicaciones y
operaciones
A.11 Control de accesos
A.12 Adquisición de sistemas de información,
desarrollo y mantenimiento
A.13 Administración de los incidentes de
seguridad
A.14 Administración de la continuidad de
negocio
A.15 Marco legal y buenas prácticas
Si se deseara resumir aún más, como una
visión estrictamente personal y abierta a
cualquier tipo de debates , a mi juicio, prefiero
plantear estos once grupos como conjuntos de
tareas, de la siguiente forma:
1) Organizacionales.
2) Seguridad Técnica.
3) Contrataciones.
4) Incidencias.
5) RRHH y Legales.
Los cuales se presentan de esta forma a
continuación:
1) Organizacionales:
A.5 Política de seguridad
Este grupo está constituido por dos controles y
es justamente el primer caso que se puede
Ponencia
Tema: El estándar ISO 27001 y su aplicación en las PYMES
poner de manifiesto sobre el mencionado
“Desconcepto” sobre lo que uno piensa que es
un control, pues aquí se puede apreciar
claramente la complejidad que representa el
diseño,
planificación,
preparación,
implementación y revisiones de una Política de
Seguridad (la revisión es justamente el
segundo control que propone)……….como se
mencionó “un Control es mucho (pero
mucho), mas que eso…”
-
Partes externas: Riesgos relacionados con
terceros, gobierno de la seguridad respecto
a clientes y socios de negocio
Lo más importante a destacar de este
grupo son dos cosas fundamentales que
abarcan a ambos subgrupos:
Todo aquel que haya sido responsable alguna
vez de esta tarea, sabrá de lo que se está
hablando. La Política de Seguridad, para ser
riguroso, en realidad debería dividirse en dos
documentos:
-
-
Política de seguridad (Nivel político
o estratégico de la organización): Es
la mayor línea rectora, la alta
dirección. Define las grandes líneas
a seguir y el nivel de compromiso de
la dirección con ellas.
Una “Política de Seguridad” bien planteada,
diseñada, y desarrollada cubre la gran mayoría
de los aspectos que hacen falta para un
verdadero SGSI.
Organizar y Mantener actualizada la
cadena de contactos (internos y
externos), con el mayor detalle
posible (Personas, responsabilidades,
activos,
necesidades,
acuerdos,
riesgos, etc.).

Derechos
y
obligaciones
cualquiera de los involucrados.
de
A.7 Administración de recursos
Este
grupo cubre cinco controles y se
encuentra subdividido en:
Plan de Seguridad (Nivel de
planeamiento o táctico): Define el
“Cómo”. Es decir, baja a un nivel
más de detalle, para dar inicio al
conjunto de acciones o líneas
rectoras que se deberán cumplir.
Algo sobre lo que generalmente no se suele
reflexionar o remarcar es que:

-
Responsabilidad en los recursos:
Inventario y propietario de los recursos,
empleo aceptable de los mismos.
-
Clasificación de la información: Guías
de clasificación y Denominación,
identificación y tratamiento de la
información.
Este grupo es eminentemente procedimental y
no aporta nada al aspecto ya conocido en
seguridad de la información, en cuanto a que
todo recurso debe estar perfectamente
inventariado con el máximo detalle posible,
que se debe documentar el “uso adecuado de
los recursos” y que toda la información deberá
ser tratada de acuerdo a su nivel.
2) Seguridad Técnica
A.6 Organización de la información de
seguridad
-
Organización Interna: Compromiso de la
Dirección, coordinaciones, responsabilidades, autorizaciones, acuerdos de confidencialidad, contactos con autoridades y
grupos de interés en temas de seguridad,
revisiones independientes.
Alejandro Corletti Estrada
A.9 Seguridad física y del entorno
Este grupo cubre trece controles y también se
encuentra subdividido en:
-
Áreas de seguridad: Seguridad física y
perimetral, control físico de entradas,
seguridad de locales edificios y recursos,
protección contra amenazas externas y del
Ponencia
Tema: El estándar ISO 27001 y su aplicación en las PYMES
entorno, el trabajo en áreas e seguridad,
accesos públicos, áreas de entrega y carga.
-
- Resguardo: El objetivo de esta apartado
conceptualmente es muy similar al
anterior, comprende un solo control que
remarca la necesidad de las copias de
respaldo y recuperación.
Seguridad de elementos: Ubicación y
protección de equipos, elementos de
soporte a los equipos, seguridad en el
cableado, mantenimiento de equipos,
seguridad en el equipamiento fuera de la
organización,
seguridad
en
la
redistribución
o
reutilización
de
equipamiento, borrado de información y/o
software.
- Administración de la seguridad de redes:
Los dos controles que conforman este
apartado hacen hincapié en la necesidad de
administrar y controlar lo que sucede en
nuestra red, es decir, implementar todas las
medidas posibles para evitar amenazas,
manteniendo la seguridad de los sistemas y
aplicaciones a través del conocimiento de
la información que circula por ella.
A juicio del autor, uno de los mejores
resultados que se pueden obtener en la
organización de una infraestructura de
seguridad de la información, está en
plantearla siempre por niveles. Tal vez no
sea necesario hacerlo con el detalle de los
siete niveles del modelo ISO/OSI, pero sí
por lo menos de acuerdo al modelo
TCP/IP que algunos consideran de cuatro
(Integrando físico y enlace) y otros de
cinco niveles.
A.10 Administración de las comunicaciones
y operaciones
-
-
Intercambios de información: Este grupo
contempla el conjunto de medidas a
considerar para cualquier tipo de intercambio
de información, tanto en línea como fuera de
ella, y para movimientos internos o externos
de la organización.
-
Servicios de comercio electrónico: Este
grupo, supone que la empresa sea la
prestadora de servicios de comercio
electrónico, es decir, no aplica a que los
empleados realicen una transacción, por
parte de la empresa o por cuenta propia, con
un servidor ajeno a la misma.
-
Monitorización: Este apartado tiene como
objetivo la detección de actividades no
autorizadas en la red y reúne seis controles.
Este grupo comprende treinta y dos controles,
es el más extenso de todos y se divide en:
- Procedimientos operacionales y responsabilidades: Tiene como objetivo asegurar la
correcta y segura operación de la
información
- Administración de prestación de servicios
de terceras partes: Abarca tres controles, se
refiere fundamentalmente, como su nombre
lo indica, a los casos en los cuales se
encuentran tercerizadas
determinadas
tareas o servicios del propio sistema
informático.
- Planificación y aceptación de sistemas: El
objetivo es realizar una adecuada
metodología para que al entrar en
producción cualquier sistema, se pueda
minimizar el riesgo de fallos.
- Protección contra código móvil y maligno:
el objetivo de este apartado es la protección
de la integridad del software y la
información almacenada en los sistemas.
Alejandro Corletti Estrada
Manejo de medios: En esta traducción,
como “medio” debe entenderse todo
elemento capaz de almacenar información
(discos, cintas, papeles, etc. tanto fijos
como removibles). Por lo tanto el objetivo
de este grupo es, a través de sus cuatro
controles,
prevenir
la
difusión,
modificación, borrado o destrucción de
cualquiera de ellos o lo que en ellos se
guarda.
A.11 Control de accesos
No se debe confundir la actividad de control
de accesos con autenticación, esta última tiene
por misión identificar que verdaderamente
“sea, quien dice ser”. El control de acceso es
posterior a la autenticación y debe regular que
el usuario autenticado, acceda únicamente a
los recursos sobre los cuales tenga derecho y a
Ponencia
Tema: El estándar ISO 27001 y su aplicación en las PYMES
ningún otro, es decir que tiene dos tareas
derivadas:


Encauzar (o enjaular) al usuario
debidamente.
Verificar el desvío de cualquier
acceso, fuera de lo correcto.
El control de acceso es una de las actividades
más importantes de la arquitectura de
seguridad de un sistema. Al igual que sucede
en el mundo de la seguridad física, cualquiera
que ha tenido que acceder a una caja de
seguridad bancaria vivió como a medida que
uno de llegando a áreas de mayor criticidad,
las medidas de control de acceso se
incrementan, en un sistema informático
debería ser igual.
en la salida de datos, para asegurar que
los datos procesados, y su posterior
tratamiento o almacenamiento, sea
apropiado a los requerimientos de esa
aplicación.
Controles criptográficos: Nuevamente se
recalca este objetivo de la criptografía de
proteger la integridad , confidencialidad
y autenticidad de la información. En este
caso, a través de dos controles, lo que
propone es desarrollar una adecuada
política de empleo de estos controles
criptográficos y administrar las calves
que se emplean de forma consciente.
Seguridad en los sistemas de archivos: La
Seguridad en los sistemas de archivos,
independientemente que existan sistemas
operativos más robustos que otros en sus
técnicas de archivos y directorios, es una
de las actividades sobre las que se debe
hacer un esfuerzo técnico adicional, pues
en general existen muchas herramientas
para robustecerlos, pero no suelen usarse.
Seguridad en el desarrollo y soporte a
procesos: Este apartado cubre cinco
controles cuya finalidad está orientada
hacia los cambios que sufre todo sistema.
Administración
técnica
de
vulnerabilidades: Toda vulnerabilidad
que sucede en un sistema de información,
tarde o temprano se describe con todo
lujo de detalles en Internet. Las palabras
claves de esto son “tarde o temprano”,
pues cuanto antes se tenga conocimiento
de una debilidad y las medidas adecuadas
para solucionarlas, mejor será para la
organización.
-
-
3) Contrataciones
A.12
Adquisición
de
sistemas
de
información, desarrollo y mantenimiento
-
Este grupo reúne dieciseis controles.
-
-
Requerimientos de seguridad de los
sistemas de información: Este primer
grupo que incluye un solo control,
plantea la necesidad de realizar un
análisis de los requerimientos que deben
exigirse a los sistemas de información,
desde el punto de vista de la seguridad
para cumplir con las necesidades del
negocio de cada empresa en particular,
para poder garantizar que la seguridad
sea una parte integral de los sistemas.
Procesamiento correcto en aplicaciones:
En este grupo se presentan cuatro
controles, cuya misión es el correcto
tratamiento de la información en las
aplicaciones de la empresa. Para ello las
medidas a adoptar son, validación en la
entrada de datos, la implementación de
controles internos en el procesamiento de
al información para verificar o detectar
cualquier corrupción de la información a
través de los procesos, tanto por error
como intencionalmente, la adopción de
medidas par asegurar y proteger los
mensajes
de
integridad
de
las
aplicaciones. Y por último la validación
Alejandro Corletti Estrada
-
4) Incidencias
A.13 Administración de los incidentes de
seguridad
Todo lo relativo a incidentes de seguridad
queda resumido a dos formas de proceder:
-
Proteger y proceder.
Seguir y perseguir.
Este viejo planteo (que hemos mencionado
varias veces), viene desde la RFC (Request
For Comments) 1244, que fue uno de los
Ponencia
Tema: El estándar ISO 27001 y su aplicación en las PYMES
primeros estándares que regularizó la Política
de Seguridad. Tal vez no sea la mejor
traducción de estos dos procederes, pero lo que
trata de poner de manifiesto es que ante un
incidente, quien no posea la capacidad
suficiente solo puede “Proceder y proteger”, es
decir cerrar, apagar, desconectar, etc…con ello
momentáneamente solucionará el problema,
pero al volver sus sistemas al régimen de
trabajo normal el problema tarde o temprano
volverá pues no se erradicaron sus causas. La
segunda opción, en cambio, propone
verdaderamente “Convivir con el enemigo”, y
permite ir analizando paso a paso su accionar,
llegar a comprender todo el detalle de su tarea
y entonces sí erradicarlo definitivamente. Por
supuesto este último trabajo, requiere estar
preparado y contar con los medios y recursos
suficientes.
En definitiva, es esto lo que trata de dejar
claro este punto de la norma a través de
los cinco controles que agrupa, y
subdivide en:
-
Reportes de eventos de seguridad de
la información y debilidades.
Como su nombre lo indica, este
apartado define el desarrollo de una
metodología eficiente para la
generación,
monitorización
y
seguimiento de reportes, los cuales
deben reflejar, tanto eventos de
seguridad como debilidades de los
sistemas.
-
Administración de incidentes de
seguridad de la información y
mejoras.
Si se poseen los dos mecanismos
mencionados en el punto anterior, la
siguiente tarea es disponer de una
metodología de administración de
incidentes, lo cual no es nada más
que un procedimiento que describa
claramente:
pasos,
acciones,
responsabilidades, funciones y
medidas concretas.
A.14 Administración de la continuidad de
negocio
Alejandro Corletti Estrada
Este grupo cubre nuevamente cinco controles
y los presenta a través de un solo grupo:
-
Aspectos
de seguridad de la
información en la continuidad del
negocio.
Este grupo tiene como objetivo
contemplar todas las medidas tendientes
a que los sistemas no hagan sufrir
interrupciones sobre la actividad que
realiza la empresa.
5) RRHH y Legales
A.8 Seguridad de los recursos humanos
Este grupo cubre nueve controles y también
se encuentra subdividido en:
-
Antes del empleo: Responsabilidades y
roles,
verificaciones
curriculares,
términos y condiciones de empleo.
-
Durante el empleo: Administración de
responsabilidades,
preparación,
educación y entrenamiento en seguridad
de
la
información,
medidas
disciplinarias.
-
Finalización o cambio de empleo:
Finalización
de
responsabilidades,
devolución de recursos, revocación de
derechos.
Este grupo, en la actualidad, debe ser el gran
ausente en la mayoría de las organizaciones.
Se trata de un serio trabajo a realizar entre
RRHH y los responsables de Seguridad de la
Información de la organización.
A.15 Marco legal y buenas prácticas
Este grupo cubre diez controles. Es uno de
los aspectos más débiles que en estos
momentos posee la norma, pues la aplicación
de la misma en cada País, debe estar de
acuerdo a las bases y regulaciones legales del
mismo, las cuales sólo son consideradas, una
vez que las organizaciones de estandarización
correspondientes adecuan el estándar Inglés a
cada País respectivo. Se encuentra subdividido
en:
Ponencia
-
Cumplimiento de requerimientos legales.
Lo primero a considerar aquí es la
identificación de la legislación aplicable
a la empresa, definiendo explícitamente y
documentando todo lo que guarde
relación con estos aspectos.
-
Cumplimiento de políticas de seguridad,
estándares y técnicas de buenas prácticas.
En este grupo a través de dos controles,
la norma trata de hacer hincapié en el
control del cumplimiento de estas
medidas, pues de nada sirve tener todo en
regla con los aspectos legales, si luego el
personal involucrado no da cumplimiento
a
las medidas y en definitiva, la
implementación falla.
-
Consideraciones sobre auditorías de sistemas
de información.
Las auditorías de los sistemas de
información son imprescindibles, las dos
grandes consideraciones son realizarla de
forma externa o interna.
4. Visión de la UE y situación en España.
Todo proceso tecnológico en Europa, se encuentra
en una situación de necesidad de demostrar,
garantizar y justificar su “Calidad”.
Tema: El estándar ISO 27001 y su aplicación en las PYMES
Hoy en día, en casi todos los productos, el usuario
final tiene una muy clara visión de lo que está
comprando, y sabe casi con certeza, si se trata de
un producto de buena, de dudosa, y/o de escasa
calidad.
Todo ello se debe a una serie de
medidas, acciones, denominaciones, controles,
garantías y por supuesto la gran mayoría de ellos
pasa por organismos reguladores, a los cuales
ciertas industrias se esfuerzan por “escuchar y
seguir” y otras no.
Al usuario final le llega esta imagen, gracias a
toda una cadena industrial, que va desde la
materia prima hasta el producto final. No cabe
ninguna duda que en este siglo XXI, uno de los
pilares de esta cadena es la informática, por lo
tanto si se está hablando de una cadena de
eslabones compuestos por calidad, no queda más
que volver al viejo dicho “una cadena se corta
por el eslabón más fino”.
En este siglo, dentro de la Comunidad Europea, ya
no se podrá admitir más que el eslabón más fino
sea la informática, y cuando se habla de
informática, la seguridad es uno de los pilares
fundamentales que le da sustento, pues de nada
sirve el mejor sistema, si este no está Disponible,
No es Confiable, Su información es errónea o
imprecisa, compromete a otras empresas o permite
borrar hechos o transacciones, etc…. De esto se
trata ISO 27001.
Si tuviera que reducirse toda la norma en una frase
sería :
ISO 27701 “Pone calidad a la seguridad”
Calidad, esa es la palabra clave de la Industria
competitiva de este Continente.
No se quiere decir con esto que no lo sea también
en otros, pero evidentemente en la Comunidad
Europea, toda industria necesita respetar cada vez
más una serie de medidas, que lo que tratan de
hacer en definitiva, es salvaguardar al cliente final
de lo que consume. Esto se ve reflejado en todo
ámbito, desde el medio ambiente, los
medicamentos,
la
industria
alimenticia,
automotriz, los servicios, las telecomunicaciones,
etc.
Desde ya que esto no es la panacea, pues
como es lógico, siguen y seguirán apareciendo
excepciones, ambigüedades, evasiones, etc. Pero
poco a poco, la Calidad va imponiéndose en cada
uno de los temas.
Alejandro Corletti Estrada
Y, como se ha dicho hacia esto tiende toda la
Unión Europea.
Esto no quiere decir, que el hecho de certificar una
empresa en ISO 27001, garantice que esa empresa
posee una “Excelente Calidad en sus niveles de
seguridad”,
tampoco una persona por ser
Ingeniero, Master o Doctor, garantiza que sea un
excelente profesional, sólo puede garantizar que
se ha realizado un serio y metódico esfuerzo
por tratar de serlo, y esto ya es un muy buen
punto de partida.
5. Metodología de implantación y certificación
en las PYMES.
Ponencia
Tema: El estándar ISO 27001 y su aplicación en las PYMES
Como se mencionó en uno de los objetivos de esta
exposición, la idea de la misma es ofrecer un claro
curso de acción y apoyo para las PyMEs. No está
orientada a las grandes empresas, pues cualquiera
de ellas está en condiciones de contratar esta
consultoría a una empresa externa, asumiendo los
grandes costes que ello implica. Por esta razón,
es que se tratará de hacer una fuerte diferencia
entre la “Necesidad de certificar” y el “Negocio
de la Certificación”, que es la finalidad última de
todo el temario, pues bien entendidas estas
posturas es lo que les permitirá implementar a las
PyMEs la mayoría de sus puntos de este estándar,
con gran independencia del “Negocio de la
Certificación” que se gesta alrededor de todo
estándar certificable.
Para serles sinceros, si se poseen los
conocimientos y capacidades necesarias,
afirmaría que se puede “Dibujar” una
certificación ISO 27001 (y lo que acabo de
afirmar, es muy, pero muy atrevido….). Lo
que también afirmo y con mucha más
contundencia, es que será imposible de
mantener esta mentira.
Lo que se trata de reflejar en el cuadro anterior es
la decisión que deberá adoptar todo responsable
de sistemas en los próximos años, es decir:
¿Busco sólo la
chapa?
Evidentemente, necesito certificar
ISO 27001 en el corto plazo:
¿Lo hago como
se debe?
Tal vez parezca
cruda realidad
ampliamente a
determinaciones
certeza) .
cruel, o poco serio, pero es la
(a veces la realidad supera
la ficción, y en este tipo de
puedo asegurarlo con mucha
Se puede encarar esta ardua tarea, con la intención
de aprovechar el esfuerzo o simplemente, para
cumplir con un requisito que permita a la empresa
seguir fielmente las exigencias del mercado y
Alejandro Corletti Estrada
hacer el mínimo esfuerzo posible, tratando de (fría
y crudamente) engañar al auditor…..(Lo que
recuerden que, también afirmo y con mucha más
contundencia, es que será imposible de
mantener esta mentira). Puedo garantizar que
será humanamente imposible volver a demostrar,
año tras año, que el SGSI sigue rodando (la
mentira tiene patas cortas). Es decir, no merece
la pena tratar de encarar una futura certificación
ISO 27001 si no se tiene como objetivo
fundamental y sincero:
“Implementar un VERDADERO SGSI”
Esto se desmorona muy rápidamente si se partió
de pilares débiles, engañosos o falsos, tratando
meramente de obtener el sello de “ISO 27001”
como única meta.
Por lo tanto, primer “consejo” (si se
puede llamar así): No se autoengañen,
encaren esta tarea con la sana
intención de aprovechar al máximo
cada esfuerzo que esta les requiera.
Una vez comprendido esto, creo necesario avanzar
un poco más aún, pues esto afecta de lleno a las
PyMEs y tal vez no tanto a una gran empresa.
Todo responsable de implementar ISO 27001 en
una PyME, “SÍ o SÍ” ¡¡ debe MOJARSE !!
Una gran empresa, tal vez pueda darse el lujo de
tercerizar todo el proceso, el mantenimiento y las
acciones a futuro……….una PyME seguro que
no.
A lo sumo, si desea invertir una
considerable suma de dinero, puede contratar una
consultora que le analice, diseñe, planifique e
implemente inicialmente desde el vamos, todo el
SGSI, pero es casi seguro que no podrá
subcontratar el mantenimiento diario que un SGSI
requiere (que no es trivial), esta tarea implica
poseer un claro entendimiento de lo que se hizo y
el funcionamiento de todo el SGSI, por lo tanto,
en cualquier caso alguien, responsable de la
PyME deberá intervenir en profundidad.
El responsable de seguridad de la PyME deberá
“Mojarse” desde el inicio.
Puede hacerlo,
embebiéndose del Estándar, e ir preparando poco
a poco su empresa (que es lo que se trata de
aconsejar en esta presentación) con un mínimo
apoyo de algún especialista, que inclusive si
realmente lo hace con seriedad y preocupación
Ponencia
esta figura hasta puede aportarla AENOR misma,
en lo que ellos llaman “Auditoría previa o
Preauditoría”, tarea que dejará un claro rumbo de
lo que está bien y lo que se debe mejorar antes de
realizar la auditoría final (y en definitiva es la
colaboración que sinceramente quiere hacer
AENOR, para lograr una eficiente certificación en
España). Este curso de acción, requiere un mayor
esfuerzo de los administradores de informática de
la empresa (y de su responsable), pero es el que
mayor experiencia les aportará y sin lugar a dudas,
los resultados, si se ponen ganas, serán los
mejores y dejarán muy claros los pasos a futuro
para
mantener
el
SGSI
funcionando
perfectamente.
La segunda opción que puede tener el responsable
de seguridad de una PyME, es contratar un
consultor para que lo guíe paso a paso en todo el
proceso, ¡¡ ojo !!, no estoy diciendo que haga
todo el trabajo, sino que vaya guiando a la
empresa en cómo hacerlo, pues si lo hace el
consultor, se cae en la mentira anteriormente
mencionado, pues una vez que se retire el
consultor, el SGSI no podrá ser mantenido. Por
lo tanto lo más importante a reflexionar sobre esta
segunda opción es que no es “lavarse las manos”,
sino trabajar codo a codo con el consultor, para
aprovechar al máximo la experiencia de éste en
cada paso, y ser capaz de tener un claro
conocimiento de todo lo realizado, para
mantenerlo en funcionamiento, se reitera que de
esto se trata: “un ciclo de vida continuo”.
En cualquiera de los dos casos, es perfectamente
posible preparar una empresa para luego solicitar
a los auditores acreditados la certificación ISO
27001.
Para aclarar más aún este tema, la solicitud de
certificación ISO 27001 por ejemplo, con AENOR
para una PyME en concreto, radica en tomar
contacto con ellos, los cuales solicitarán cierta
información de la empresa (Alcance, sistemas
involucrados, servidores, infraestructura global,
personal interviniente, tipos de servicios: Intranet,
aplicaciones, transacciones electrónicas, etc.).
Con esta información entregarán un presupuesto,
que para dar una idea, en el caso de una PyME de
unos cien empleados con una infraestructura
informática de diez servidores, con los servicios
normales de cualquier empresa, rondará en unos
2.000 euros.
Este presupuesto contempla
aproximadamente dos días de “Auditoría previa”,
Alejandro Corletti Estrada
Tema: El estándar ISO 27001 y su aplicación en las PYMES
que no es otra cosa que una visión preliminar de
cómo va encaminada la preparación de la PyME,
y proporciona un enorme valor agregado, pues
permite definir acciones correctivas y mejoras de
lo que se está haciendo. Esta tarea puede ser
realizado “in situ” o con tiempo compartido entre
el dedicado en la empresa y el análisis documental
en AENOR.
Es conveniente, luego de esta
actividad, que la empresa se tome su tiempo (unos
meses más), para ajustar todo lo propuesto por
AENOR para evitar futuras no conformidades.
Cuando la empresa considere que ya se encuentra
lista, debería solicitar la segunda parte que es la
“auditoría final”, en la cual, en aproximadamente
otros dos días, se realizarán todas las tareas de
análisis y verificación del cumplimiento de lo que
establece el estándar. El resultado puede ser que
esté conforme con la certificación, ante lo cual se
extiende el certificado correspondiente, que no
satisfaga algunas conformidades, pero que las
mismas no impliquen la negación de la
certificación, si bien deberán ser corregidas, o que
las no conformidades alcancen una magnitud, que
no pueda ser emitido el certificado, caso en el que
se otorgará un tiempo adicional (y muy
probablemente también un coste), para pasar una
segunda auditoría sobre lo detectado.
6. Beneficios de una PYME certificada en ISO
27001.
Se debe tener en cuenta que la seguridad al 100%
no existe, la norma establece una metodología y
una serie de medidas que por lo menos busca una
mejora continua y que, sin lugar a dudas,
aumentará el porcentaje actual de cualquier
empresa. Esta mejora en la seguridad se ve
reflejada en una serie de beneficios que se
describen a continuación.
Competitividad (Para ser sinceros)
Si se trata de ser sinceros……este es el primer
factor que le interesa a cualquier empresa. Esta
norma, como se mencionó varias veces, será en el
mediano plazo Europeo, tan importante como hoy
lo es ISO 9000. Es decir, poco a poco las grandes
empresas, los clientes y partners comenzarán a
exigir esta certificación para abrir y compartir sus
sistemas con cualquier PyME.
Es natural y
lógico que así sea, pues es el único modo que
Ponencia
puede garantizar un equilibrio en las medidas de
seguridad entre esas partes. Y para decirlo
crudamente, quien no la tenga, se quedará afuera.
Ahorro económico (¿¿¿….???) (¿Será el segundo
factor en importancia?)
Las medidas contra incendios: ¿Son un coste o
una inversión?, ¿Cuánto vale la pérdida de
información?
Es muy difícil cuantificar este concepto, pero
cualquier empresario que sea consciente del coste
que poseen sus sistemas informáticos, sabe
fehacientemente, que cualquier daño, caída,
pérdida, robo, falsificación, suplantación, fallo,
error, inconsistencia, virus, demora, saturación,
escucha, intrusión, acceso erróneo, respuesta
errónea, atentado, catástrofe………..puede ser
grave. Lo sabe, es más, le teme no sólo al daño
concreto, sino a la pérdida potencial que esto
implica: imagen, difusión, desconfianza, pérdida
de negocios e inversiones, etc.
La
certificación,
reduce
enormemente
estas
situaciones.
La implementación de la norma, implica una
visión de detalle de los sistemas, lo cual hará que
las inversiones en tecnología se ajusten a las
prioridades que se han impuesto, por lo tanto no
habrá gastos innecesarios, inesperados, ni
sobredimensionados. Se evitan muchos errores o
se detectan a tiempo gracias a los controles
adecuados; y si se producen, se cuenta con los
planes de incidencias para dar respuesta efectiva y
en el tiempo mínimo.
Se evita fuga de
información o dependencia con personas internas
y externas.
Tema: El estándar ISO 27001 y su aplicación en las PYMES
el conjunto de acciones adoptadas reducirá al
mínimo todo riesgo por robo, fraude, error
humano (intencionado o no), mal uso de
instalaciones y equipo a los cuales está expuesto
el manejo de información.
Concienciación y compromiso
El estándar crea conciencia y compromiso de
seguridad en todos los niveles de la empresa, no
solo al implantarla, sino que será permanente pues
se rata de un ciclo.
Cumplimiento de la legislación vigente
Todos los aspectos de conformidades legales de la
norma, deben responder a la legislación del País, y
se verifica su adecuación y cumplimiento. Por lo
tanto la certificación, garantiza este hecho y a su
vez seguramente cree un marco legal que
protegerá a la empresa en muchos flancos que
antes no los tenía cubiertos.
Visión externa y metódica del sistema
Todo el trabajo realizado para la implementación
de la norma, implica una serie de medidas de
auditoría interna que ofrecen ya de por sí un
importante valor agregado, cada una de ellas
responde a una secuencia metódica de controles.
Un aspecto a considerar de este trabajo es la
tensión y responsabilidad que impone al personal
de la empresa, el hecho de estar pendientes de una
futura certificación, como objetivo común. A su
vez, llegado el momento de la certificación, los
auditores, siguiendo los mismos pasos, darán una
visión externa, independiente y totalmente ajena a
la rutina de la empresa, que siempre aporta
muchos elementos de juicio y acciones de mejora.
Calidad a la seguridad
La implementación de un verdadero SGSI,
transforma la seguridad en una actividad de
gestión. Este concepto por trivial que parezca es
trascendente, pues deja de lado un conjunto de
actividades técnicas más o menos organizadas,
para transformarse en un ciclo de vida metódico y
controlado. Es lo que se mencionó al principio,
pone “calidad a la seguridad”, que en definitiva,
“calidad” es lo que se busca y exige hoy en toda
empresa seria.
Reduce riesgos
Partiendo del análisis de riesgo que impone la
norma, hasta la implementación de los controles,
Alejandro Corletti Estrada
Supervivencia de mercado
Según un artículo publicado en ComputerWeekly,
uno de los principales motores que están llevando
al incremento de certificaciones ISO 27001 está
siendo la aparición en contratos de sugerencias al
proveedor respecto a estar certificado en esta
norma.
cada vez más contratos, al principio sólo
gubernamentales pero también cada vez más en el
sector privado, estipulan ya que el proveedor
apropiado debería tener la certificación en ISO
27001 de Seguridad de la Información.
Ponencia
Tema: El estándar ISO 27001 y su aplicación en las PYMES
De hecho, algunas empresas que ya tienen la
certificación ISO 27001 harán de lobby a favor de
incluirlo como requisito en las ofertas de los
clientes, obstaculizando a cualquier rival que no la
tenga."
Por tanto y como nueva motivación, la
certificación de la seguridad puede ser una
oportunidad de negocio más que un coste.
Madrid, febrero de 2007.
Alejandro Corletti Estrada
CORLETTI ESTRADA, Alejandro.
Lugar de nacimiento: Córdoba, Argentina.
Fecha de nacimiento: 25 de diciembre de 1959.
Es Ingeniero en Informática, MBA y está
finalizando el Doctorado en ingeniería. Fue
militar, Jefe de Redes del Ejército Argentino y
profesor universitario de las materias Redes y
Comunicaciones. Vino a Madrid en el año 2000,
lugar donde actualmente vive. Formó parte del
Grupo Altran, y en la actualidad es responsable de
la división seguridad de la empresa NCS. Ha
disertado en varios congresos internacionales y
publicado artículos, siempre relacionados a
Seguridad y Redes de ordenadores.
Alejandro Corletti Estrada
Documentos relacionados
Descargar