Ponencia Tema: El estándar ISO 27001 y su aplicación en las PYMES El estándar ISO 27001 y su aplicación en las PYMES. Disertante: Alejandro Corletti Estrada e-mail: acorletti@hotmail.com Empresa: Network Centric Software (NCS) Objetivos: a. b. Brindar una rápida visión del objetivo REAL de esta norma, su intención, alcance y propuesta al medio plazo para cualquier PyME. Desarrollar brevemente el concepto de SGSI (Sistema de Gestión de la Seguridad de la Información) y el de “Controles” que impone la norma. Duración: 40 minutos. RESUMEN El análisis del estándar ISO 27001, deja la sensación que se está gestando con toda rigurosidad la necesidad de implementar metodologías normalizadas en temas de seguridad, lo cual no es de extrañar, pues las empresas necesitan cada vez más para su supervivencia y competitividad, compartir sus activos de información entre ellas, lo cual requiere imperiosamente una cierta uniformidad en el nivel de riesgo expuesto entre sí. Este estándar por primera vez, es una verdadera solución a este problema, por lo que se puede prever, que la certificación ISO-27001, será casi una obligación de cualquier empresa Europea en el corto plazo, como lo es la familia ISO 9000 en la actualidad. En este texto, se tratarán los conceptos fundamentales de la norma, para que sea comprensible y poder avanzar sobre la metodología que puede seguir cualquier PyME que crea conveniente su implementación. Al final se describe brevemente las ventajas que ofrece la certificación ISO 27001. Temario 1. 2. 3. 4. 5. 6. Alejandro Corletti Estrada Orígenes de esta norma. Novedades que propone. El SGSI y los controles. Visión de la UE y situación en España. Metodología de implantación y certificación en las PYMES. Beneficios de una PYME certificada en ISO 27001. Ponencia 1. Tema: El estándar ISO 27001 y su aplicación en las PYMES Desarrollo Orígenes de esta norma. La norma ISO-27001, forma parte de una familia de estándares denominado ISO-27000. Tiene su origen remoto en la norma BS-7799 y la última versión es la ISO-27001:2005, que aparece en octubre de ese año y deroga la anterior. Es la primera vez que un estándar de seguridad tiene una acogida masiva por parte de las organizaciones. Lo verdaderamente novedoso es que permite demostrar homogeneización entre la seguridad de los sistemas informáticos, lo cual en este siglo es “imprescindible”, si se desea compartir información entre empresas (Situación ás que necesaria para competir en el mercado actual). En España, AENOR, se encuentra trabajando en esta norma y prevé tenerla traducida al castellano este año, la que se denominará ISO/AENOR 27001. Este es un hito importante, pues facilita y abre el camino para cualquier PYME que desee certificarse con ella, pues no debería tener la necesidad de recurrir a consultores y/o auditores formados en el extranjero lo cual impone un coste considerable. Este estándar no pretende llegar únicamente a grandes empresas, sino que necesariamente deberá ser aplicado en las PYMES que deseen trabajar como socias de negocio de cualquier otra grande o pequeña empresa. El estándar ISO/IEC 27001 es el nuevo estándar oficial, su título completo en realidad es: BS 7799-2:2005 (ISO/IEC 27001:2005). También fue preparado por este JTC 1 y en el subcomité SC 27, IT “Security Techniques”. La versión que se considerará en este texto es la primera edición, de fecha 15 de octubre de 2005, si bien en febrero de 2006 acaba de salir la versión cuatro del mismo. 1870 organizaciones en 57 países han reconocido la importancia y los beneficios de esta nueva norma. El conjunto de estándares que aportan información de la familia ISO-2700x que se puede tener en cuenta son: ISO/IEC 27000 Fundamentals and vocabulary Alejandro Corletti Estrada ISO/IEC 27001 SGSI - Requirements (revised BS 7799 Part 2:2005) – Publicado el 15 de octubre del 2005 ISO/IEC 27002 Code of practice for information security management Actualmente ISO/IEC 17799:2005, publicado el 15 de junio del 2005 ISO/IEC 27003 SGSI implementation guidance (bajo desarrollo) ISO/IEC 27004 Information security management measurement (bajo desarrollo) ISO/IEC 27005 Information security risk management (basado e incorporado a ISO/IEC 13335 MICTS Part 2) (bajo desarrollo) Actualmente el ISO-27001:2005 es el único estándar aceptado internacionalmente para la administración de la seguridad de la información y aplica a todo tipo de organizaciones, tanto por su tamaño como por su actividad 2. Novedades que propone. La propuesta de esta norma, no está orientada a despliegues tecnológicos o de infraestructura, sino a aspectos netamente organizativos, es decir, la frase que podría definir su propósito es “Organizar la seguridad de la información”, por ello propone toda una secuencia de acciones tendientes al “establecimiento, implementación, operación, monitorización, revisión, mantenimiento y mejora del SGSI (Sistema de Gestión de la Seguridad de la Información)”. El SGSI, es el punto fuerte de este estándar. Los detalles que conforman el cuerpo de esta norma, se podrían agrupar en tres grandes líneas: - Valoración de riegos (Risk Assesment) SGSI Controles La valoración de riesgos puede ser desarrollada con cualquier tipo de metodología (pública o particular), siempre y cuando sea completa y metódica, por esa razón no será motivo de esta charla. Lo único que sí se desea remarcar, es que en definitiva, el resultado final de un análisis de riesgo, es: Ponencia - - - - Una clara identificación, definición y descripción de los activos. El impacto (Riesgo, grado de exposición, popularidad,, etc.) que podría ocasionar cualquier problema sobre cada uno de ellos. Conjunto de acciones que pueden realizarse (En lo posible agrupadas por similitud o área). Propuesta de varios cursos de acción posibles (desde el de máxima, intermedios al de mínima). Finalmente: Elección y Aprobación de un curso de acción por parte de la Dirección. Es decir, el compromiso que asume en virtud de su propia estrategia (Coste/beneficio/Negocio), para tratar las acciones de ese curso de acción y ASUMIR el riesgo residual que quedará con lo que no esté dispuesto a abordar el máximo nivel de la empresa (o en definitiva a pagar….). Este último paso que se trató es el más importante de todos, pues recién a partir de este, es que se puede iniciar el conjunto de medidas para minimizar los riesgos, y a su vez para ir solucionando los impactos que SÍ este dispuesta a abordar la Dirección (“por escrito”). Lo cual dará como resultado un nuevo análisis de riesgo, para ver como evolucionaron las acciones, y los nuevos riesgos residuales….y las nuevas decisiones estratégicas……….y las nuevas acciones……….y las nuevas mejoras……….y las nuevas…………..al fin y al cabo de esto se trata la idea de ciclo, gestión o PDCA como se ve a continuación. Tema: El estándar ISO 27001 y su aplicación en las PYMES Por lo tanto el trabajo importante es saber resumir/concretar el trabajo, de muchas semanas o meses que conlleva esta tarea, entre cuatro/ocho CURSOS DE ACCIÓN, y una vez adoptada la decisión directiva, encontrar todos los medios de llevar adelante esta determinación (y por supuesto, generar el correspondiente “feedback”) Sobre lo que sí se hará hincapié en este texto es en los dos aspectos que conforman los otros puntos clave de este estándar. En la implementación de esta norma es donde se presentará con detalle, el conjunto de pasos a seguir para implantar un SGSI al completo, el cual no deja de ser un ciclo permanente regulado por lo que se propone como PDCA (Plan – Do – Check – Act), y cada uno de estas actividades quedará regulada, normalizada y auditada mediante los correspondientes “Controles”. - - - Jamás debe olvidarse: La Alta Dirección, no tiene por qué tener la menor idea de los aspectos técnicos de la Seguridad Informática (es más, sería un error que le dedique tiempo a aprender estas cosas… hasta es mejor que juegue al golf y concrete grandes negocios..). Lo que tiene clarísimo es la relación: Coste/beneficio/Negocio con una visión global de la empresa. Y ahí sí sabrá elegir cual es el mejor curso de Acción que deberá adoptar para su Negocio global (si se lo ha sabido presentar debidamente). Alejandro Corletti Estrada Plan (Establecer el SGSI): Implica, establecer la política SGSI, sus objetivos, procesos, procedimientos relevantes para la administración de riesgos y mejoras para la seguridad de la información, entregando resultados acordes a las políticas y objetivos de toda la organización. Do (Implementar y operar el SGSI): Representa la forma en que se debe operar e implementar la política, controles, procesos y procedimientos. Check (Monitorizar y revisar el SGSI): Analizar y medir donde sea aplicable, los procesos ejecutados con relación a la política del SGSI, evaluar objetivos, experiencias e informar los resultados a la administración para su revisión. Act (Mantener y mejorar el SGSI): Realizar las acciones preventivas y correctivas, basados en las auditorías internas y revisiones del SGSI o cualquier otra información relevante para permitir la continua mejora del SGSI. 3. El SGSI y los controles. 3.1. El SGSI. En el punto cuatro de la norma, se establecen los conceptos rectores del SGSI. Ponencia Punto 4.1. Requerimientos generales: La organización, establecerá, implementará, operará, monitorizará, revisará, mantendrá y mejorará un documentado SGSI en el contexto de su propia organización para las actividades globales de su negocio y de cara a los riesgos. Para este propósito, el proceso está basado en el modelo PDCA (recientemente comentado). Punto 4.3.2. Control de documentos: Todos los documentos requeridos por el SGSI serán protegidos y controlados. Un procedimiento documentado deberá establecer las acciones de administración necesarias para: Aprobar documentos y prioridades o clasificación de empleo. Revisiones, actualizaciones y reaprobaciones de documentos. Asegurar que los cambios y las revisiones de documentos sean identificados. Asegurar que las últimas versiones de los documentos aplicables estén disponibles y listas para ser usadas. Asegurar que los documentos permanezcan legibles y fácilmente identificables. Asegurar que los documentos estén disponibles para quien los necesite y sean transferidos, guardados y finalmente dispuestos acorde a los procedimientos aplicables a su clasificación. Asegurar que los documentos de origen externo sean identificados. Asegurar el control de la distribución de documentos. Prevenir el empleo no deseado de documentos obsoletos y aplicar una clara identificación para poder acceder a ellos y que queden almacenados para cualquier propósito 3.2. Los Controles. Al escuchar la palabra “Control”, automáticamente viene a la mente la idea de alarma, hito, evento, medición, monitorización, etc., se piensa en algo muy Alejandro Corletti Estrada Tema: El estándar ISO 27001 y su aplicación en las PYMES técnico o acción. En el caso de este estándar, el concepto de “Control”, es mucho más que eso, pues abarca todo el conjunto de acciones, documentos, medidas a adoptar, procedimientos, medidas técnicas, etc. Un “Control” es lo que permite garantizar que cada aspecto, que se valoró con un cierto riesgo, queda cubierto y auditable ¿Cómo? De muchas formas posibles. Estas formas son las que el estándar agrupa en el “Anexo A” dentro de once categorías, sumando un total de ciento treinta y tres controles, que son los que se describirán durante la exposición. Este anexo los numera tal cual se presentan a continuación: A.5 Política de seguridad A.6 Organización de la información de seguridad A.7 Administración de recursos A.8 Seguridad de los recursos humanos A.9 Seguridad física y del entorno A.10 Administración de las comunicaciones y operaciones A.11 Control de accesos A.12 Adquisición de sistemas de información, desarrollo y mantenimiento A.13 Administración de los incidentes de seguridad A.14 Administración de la continuidad de negocio A.15 Marco legal y buenas prácticas Si se deseara resumir aún más, como una visión estrictamente personal y abierta a cualquier tipo de debates , a mi juicio, prefiero plantear estos once grupos como conjuntos de tareas, de la siguiente forma: 1) Organizacionales. 2) Seguridad Técnica. 3) Contrataciones. 4) Incidencias. 5) RRHH y Legales. Los cuales se presentan de esta forma a continuación: 1) Organizacionales: A.5 Política de seguridad Este grupo está constituido por dos controles y es justamente el primer caso que se puede Ponencia Tema: El estándar ISO 27001 y su aplicación en las PYMES poner de manifiesto sobre el mencionado “Desconcepto” sobre lo que uno piensa que es un control, pues aquí se puede apreciar claramente la complejidad que representa el diseño, planificación, preparación, implementación y revisiones de una Política de Seguridad (la revisión es justamente el segundo control que propone)……….como se mencionó “un Control es mucho (pero mucho), mas que eso…” - Partes externas: Riesgos relacionados con terceros, gobierno de la seguridad respecto a clientes y socios de negocio Lo más importante a destacar de este grupo son dos cosas fundamentales que abarcan a ambos subgrupos: Todo aquel que haya sido responsable alguna vez de esta tarea, sabrá de lo que se está hablando. La Política de Seguridad, para ser riguroso, en realidad debería dividirse en dos documentos: - - Política de seguridad (Nivel político o estratégico de la organización): Es la mayor línea rectora, la alta dirección. Define las grandes líneas a seguir y el nivel de compromiso de la dirección con ellas. Una “Política de Seguridad” bien planteada, diseñada, y desarrollada cubre la gran mayoría de los aspectos que hacen falta para un verdadero SGSI. Organizar y Mantener actualizada la cadena de contactos (internos y externos), con el mayor detalle posible (Personas, responsabilidades, activos, necesidades, acuerdos, riesgos, etc.). Derechos y obligaciones cualquiera de los involucrados. de A.7 Administración de recursos Este grupo cubre cinco controles y se encuentra subdividido en: Plan de Seguridad (Nivel de planeamiento o táctico): Define el “Cómo”. Es decir, baja a un nivel más de detalle, para dar inicio al conjunto de acciones o líneas rectoras que se deberán cumplir. Algo sobre lo que generalmente no se suele reflexionar o remarcar es que: - Responsabilidad en los recursos: Inventario y propietario de los recursos, empleo aceptable de los mismos. - Clasificación de la información: Guías de clasificación y Denominación, identificación y tratamiento de la información. Este grupo es eminentemente procedimental y no aporta nada al aspecto ya conocido en seguridad de la información, en cuanto a que todo recurso debe estar perfectamente inventariado con el máximo detalle posible, que se debe documentar el “uso adecuado de los recursos” y que toda la información deberá ser tratada de acuerdo a su nivel. 2) Seguridad Técnica A.6 Organización de la información de seguridad - Organización Interna: Compromiso de la Dirección, coordinaciones, responsabilidades, autorizaciones, acuerdos de confidencialidad, contactos con autoridades y grupos de interés en temas de seguridad, revisiones independientes. Alejandro Corletti Estrada A.9 Seguridad física y del entorno Este grupo cubre trece controles y también se encuentra subdividido en: - Áreas de seguridad: Seguridad física y perimetral, control físico de entradas, seguridad de locales edificios y recursos, protección contra amenazas externas y del Ponencia Tema: El estándar ISO 27001 y su aplicación en las PYMES entorno, el trabajo en áreas e seguridad, accesos públicos, áreas de entrega y carga. - - Resguardo: El objetivo de esta apartado conceptualmente es muy similar al anterior, comprende un solo control que remarca la necesidad de las copias de respaldo y recuperación. Seguridad de elementos: Ubicación y protección de equipos, elementos de soporte a los equipos, seguridad en el cableado, mantenimiento de equipos, seguridad en el equipamiento fuera de la organización, seguridad en la redistribución o reutilización de equipamiento, borrado de información y/o software. - Administración de la seguridad de redes: Los dos controles que conforman este apartado hacen hincapié en la necesidad de administrar y controlar lo que sucede en nuestra red, es decir, implementar todas las medidas posibles para evitar amenazas, manteniendo la seguridad de los sistemas y aplicaciones a través del conocimiento de la información que circula por ella. A juicio del autor, uno de los mejores resultados que se pueden obtener en la organización de una infraestructura de seguridad de la información, está en plantearla siempre por niveles. Tal vez no sea necesario hacerlo con el detalle de los siete niveles del modelo ISO/OSI, pero sí por lo menos de acuerdo al modelo TCP/IP que algunos consideran de cuatro (Integrando físico y enlace) y otros de cinco niveles. A.10 Administración de las comunicaciones y operaciones - - Intercambios de información: Este grupo contempla el conjunto de medidas a considerar para cualquier tipo de intercambio de información, tanto en línea como fuera de ella, y para movimientos internos o externos de la organización. - Servicios de comercio electrónico: Este grupo, supone que la empresa sea la prestadora de servicios de comercio electrónico, es decir, no aplica a que los empleados realicen una transacción, por parte de la empresa o por cuenta propia, con un servidor ajeno a la misma. - Monitorización: Este apartado tiene como objetivo la detección de actividades no autorizadas en la red y reúne seis controles. Este grupo comprende treinta y dos controles, es el más extenso de todos y se divide en: - Procedimientos operacionales y responsabilidades: Tiene como objetivo asegurar la correcta y segura operación de la información - Administración de prestación de servicios de terceras partes: Abarca tres controles, se refiere fundamentalmente, como su nombre lo indica, a los casos en los cuales se encuentran tercerizadas determinadas tareas o servicios del propio sistema informático. - Planificación y aceptación de sistemas: El objetivo es realizar una adecuada metodología para que al entrar en producción cualquier sistema, se pueda minimizar el riesgo de fallos. - Protección contra código móvil y maligno: el objetivo de este apartado es la protección de la integridad del software y la información almacenada en los sistemas. Alejandro Corletti Estrada Manejo de medios: En esta traducción, como “medio” debe entenderse todo elemento capaz de almacenar información (discos, cintas, papeles, etc. tanto fijos como removibles). Por lo tanto el objetivo de este grupo es, a través de sus cuatro controles, prevenir la difusión, modificación, borrado o destrucción de cualquiera de ellos o lo que en ellos se guarda. A.11 Control de accesos No se debe confundir la actividad de control de accesos con autenticación, esta última tiene por misión identificar que verdaderamente “sea, quien dice ser”. El control de acceso es posterior a la autenticación y debe regular que el usuario autenticado, acceda únicamente a los recursos sobre los cuales tenga derecho y a Ponencia Tema: El estándar ISO 27001 y su aplicación en las PYMES ningún otro, es decir que tiene dos tareas derivadas: Encauzar (o enjaular) al usuario debidamente. Verificar el desvío de cualquier acceso, fuera de lo correcto. El control de acceso es una de las actividades más importantes de la arquitectura de seguridad de un sistema. Al igual que sucede en el mundo de la seguridad física, cualquiera que ha tenido que acceder a una caja de seguridad bancaria vivió como a medida que uno de llegando a áreas de mayor criticidad, las medidas de control de acceso se incrementan, en un sistema informático debería ser igual. en la salida de datos, para asegurar que los datos procesados, y su posterior tratamiento o almacenamiento, sea apropiado a los requerimientos de esa aplicación. Controles criptográficos: Nuevamente se recalca este objetivo de la criptografía de proteger la integridad , confidencialidad y autenticidad de la información. En este caso, a través de dos controles, lo que propone es desarrollar una adecuada política de empleo de estos controles criptográficos y administrar las calves que se emplean de forma consciente. Seguridad en los sistemas de archivos: La Seguridad en los sistemas de archivos, independientemente que existan sistemas operativos más robustos que otros en sus técnicas de archivos y directorios, es una de las actividades sobre las que se debe hacer un esfuerzo técnico adicional, pues en general existen muchas herramientas para robustecerlos, pero no suelen usarse. Seguridad en el desarrollo y soporte a procesos: Este apartado cubre cinco controles cuya finalidad está orientada hacia los cambios que sufre todo sistema. Administración técnica de vulnerabilidades: Toda vulnerabilidad que sucede en un sistema de información, tarde o temprano se describe con todo lujo de detalles en Internet. Las palabras claves de esto son “tarde o temprano”, pues cuanto antes se tenga conocimiento de una debilidad y las medidas adecuadas para solucionarlas, mejor será para la organización. - - 3) Contrataciones A.12 Adquisición de sistemas de información, desarrollo y mantenimiento - Este grupo reúne dieciseis controles. - - Requerimientos de seguridad de los sistemas de información: Este primer grupo que incluye un solo control, plantea la necesidad de realizar un análisis de los requerimientos que deben exigirse a los sistemas de información, desde el punto de vista de la seguridad para cumplir con las necesidades del negocio de cada empresa en particular, para poder garantizar que la seguridad sea una parte integral de los sistemas. Procesamiento correcto en aplicaciones: En este grupo se presentan cuatro controles, cuya misión es el correcto tratamiento de la información en las aplicaciones de la empresa. Para ello las medidas a adoptar son, validación en la entrada de datos, la implementación de controles internos en el procesamiento de al información para verificar o detectar cualquier corrupción de la información a través de los procesos, tanto por error como intencionalmente, la adopción de medidas par asegurar y proteger los mensajes de integridad de las aplicaciones. Y por último la validación Alejandro Corletti Estrada - 4) Incidencias A.13 Administración de los incidentes de seguridad Todo lo relativo a incidentes de seguridad queda resumido a dos formas de proceder: - Proteger y proceder. Seguir y perseguir. Este viejo planteo (que hemos mencionado varias veces), viene desde la RFC (Request For Comments) 1244, que fue uno de los Ponencia Tema: El estándar ISO 27001 y su aplicación en las PYMES primeros estándares que regularizó la Política de Seguridad. Tal vez no sea la mejor traducción de estos dos procederes, pero lo que trata de poner de manifiesto es que ante un incidente, quien no posea la capacidad suficiente solo puede “Proceder y proteger”, es decir cerrar, apagar, desconectar, etc…con ello momentáneamente solucionará el problema, pero al volver sus sistemas al régimen de trabajo normal el problema tarde o temprano volverá pues no se erradicaron sus causas. La segunda opción, en cambio, propone verdaderamente “Convivir con el enemigo”, y permite ir analizando paso a paso su accionar, llegar a comprender todo el detalle de su tarea y entonces sí erradicarlo definitivamente. Por supuesto este último trabajo, requiere estar preparado y contar con los medios y recursos suficientes. En definitiva, es esto lo que trata de dejar claro este punto de la norma a través de los cinco controles que agrupa, y subdivide en: - Reportes de eventos de seguridad de la información y debilidades. Como su nombre lo indica, este apartado define el desarrollo de una metodología eficiente para la generación, monitorización y seguimiento de reportes, los cuales deben reflejar, tanto eventos de seguridad como debilidades de los sistemas. - Administración de incidentes de seguridad de la información y mejoras. Si se poseen los dos mecanismos mencionados en el punto anterior, la siguiente tarea es disponer de una metodología de administración de incidentes, lo cual no es nada más que un procedimiento que describa claramente: pasos, acciones, responsabilidades, funciones y medidas concretas. A.14 Administración de la continuidad de negocio Alejandro Corletti Estrada Este grupo cubre nuevamente cinco controles y los presenta a través de un solo grupo: - Aspectos de seguridad de la información en la continuidad del negocio. Este grupo tiene como objetivo contemplar todas las medidas tendientes a que los sistemas no hagan sufrir interrupciones sobre la actividad que realiza la empresa. 5) RRHH y Legales A.8 Seguridad de los recursos humanos Este grupo cubre nueve controles y también se encuentra subdividido en: - Antes del empleo: Responsabilidades y roles, verificaciones curriculares, términos y condiciones de empleo. - Durante el empleo: Administración de responsabilidades, preparación, educación y entrenamiento en seguridad de la información, medidas disciplinarias. - Finalización o cambio de empleo: Finalización de responsabilidades, devolución de recursos, revocación de derechos. Este grupo, en la actualidad, debe ser el gran ausente en la mayoría de las organizaciones. Se trata de un serio trabajo a realizar entre RRHH y los responsables de Seguridad de la Información de la organización. A.15 Marco legal y buenas prácticas Este grupo cubre diez controles. Es uno de los aspectos más débiles que en estos momentos posee la norma, pues la aplicación de la misma en cada País, debe estar de acuerdo a las bases y regulaciones legales del mismo, las cuales sólo son consideradas, una vez que las organizaciones de estandarización correspondientes adecuan el estándar Inglés a cada País respectivo. Se encuentra subdividido en: Ponencia - Cumplimiento de requerimientos legales. Lo primero a considerar aquí es la identificación de la legislación aplicable a la empresa, definiendo explícitamente y documentando todo lo que guarde relación con estos aspectos. - Cumplimiento de políticas de seguridad, estándares y técnicas de buenas prácticas. En este grupo a través de dos controles, la norma trata de hacer hincapié en el control del cumplimiento de estas medidas, pues de nada sirve tener todo en regla con los aspectos legales, si luego el personal involucrado no da cumplimiento a las medidas y en definitiva, la implementación falla. - Consideraciones sobre auditorías de sistemas de información. Las auditorías de los sistemas de información son imprescindibles, las dos grandes consideraciones son realizarla de forma externa o interna. 4. Visión de la UE y situación en España. Todo proceso tecnológico en Europa, se encuentra en una situación de necesidad de demostrar, garantizar y justificar su “Calidad”. Tema: El estándar ISO 27001 y su aplicación en las PYMES Hoy en día, en casi todos los productos, el usuario final tiene una muy clara visión de lo que está comprando, y sabe casi con certeza, si se trata de un producto de buena, de dudosa, y/o de escasa calidad. Todo ello se debe a una serie de medidas, acciones, denominaciones, controles, garantías y por supuesto la gran mayoría de ellos pasa por organismos reguladores, a los cuales ciertas industrias se esfuerzan por “escuchar y seguir” y otras no. Al usuario final le llega esta imagen, gracias a toda una cadena industrial, que va desde la materia prima hasta el producto final. No cabe ninguna duda que en este siglo XXI, uno de los pilares de esta cadena es la informática, por lo tanto si se está hablando de una cadena de eslabones compuestos por calidad, no queda más que volver al viejo dicho “una cadena se corta por el eslabón más fino”. En este siglo, dentro de la Comunidad Europea, ya no se podrá admitir más que el eslabón más fino sea la informática, y cuando se habla de informática, la seguridad es uno de los pilares fundamentales que le da sustento, pues de nada sirve el mejor sistema, si este no está Disponible, No es Confiable, Su información es errónea o imprecisa, compromete a otras empresas o permite borrar hechos o transacciones, etc…. De esto se trata ISO 27001. Si tuviera que reducirse toda la norma en una frase sería : ISO 27701 “Pone calidad a la seguridad” Calidad, esa es la palabra clave de la Industria competitiva de este Continente. No se quiere decir con esto que no lo sea también en otros, pero evidentemente en la Comunidad Europea, toda industria necesita respetar cada vez más una serie de medidas, que lo que tratan de hacer en definitiva, es salvaguardar al cliente final de lo que consume. Esto se ve reflejado en todo ámbito, desde el medio ambiente, los medicamentos, la industria alimenticia, automotriz, los servicios, las telecomunicaciones, etc. Desde ya que esto no es la panacea, pues como es lógico, siguen y seguirán apareciendo excepciones, ambigüedades, evasiones, etc. Pero poco a poco, la Calidad va imponiéndose en cada uno de los temas. Alejandro Corletti Estrada Y, como se ha dicho hacia esto tiende toda la Unión Europea. Esto no quiere decir, que el hecho de certificar una empresa en ISO 27001, garantice que esa empresa posee una “Excelente Calidad en sus niveles de seguridad”, tampoco una persona por ser Ingeniero, Master o Doctor, garantiza que sea un excelente profesional, sólo puede garantizar que se ha realizado un serio y metódico esfuerzo por tratar de serlo, y esto ya es un muy buen punto de partida. 5. Metodología de implantación y certificación en las PYMES. Ponencia Tema: El estándar ISO 27001 y su aplicación en las PYMES Como se mencionó en uno de los objetivos de esta exposición, la idea de la misma es ofrecer un claro curso de acción y apoyo para las PyMEs. No está orientada a las grandes empresas, pues cualquiera de ellas está en condiciones de contratar esta consultoría a una empresa externa, asumiendo los grandes costes que ello implica. Por esta razón, es que se tratará de hacer una fuerte diferencia entre la “Necesidad de certificar” y el “Negocio de la Certificación”, que es la finalidad última de todo el temario, pues bien entendidas estas posturas es lo que les permitirá implementar a las PyMEs la mayoría de sus puntos de este estándar, con gran independencia del “Negocio de la Certificación” que se gesta alrededor de todo estándar certificable. Para serles sinceros, si se poseen los conocimientos y capacidades necesarias, afirmaría que se puede “Dibujar” una certificación ISO 27001 (y lo que acabo de afirmar, es muy, pero muy atrevido….). Lo que también afirmo y con mucha más contundencia, es que será imposible de mantener esta mentira. Lo que se trata de reflejar en el cuadro anterior es la decisión que deberá adoptar todo responsable de sistemas en los próximos años, es decir: ¿Busco sólo la chapa? Evidentemente, necesito certificar ISO 27001 en el corto plazo: ¿Lo hago como se debe? Tal vez parezca cruda realidad ampliamente a determinaciones certeza) . cruel, o poco serio, pero es la (a veces la realidad supera la ficción, y en este tipo de puedo asegurarlo con mucha Se puede encarar esta ardua tarea, con la intención de aprovechar el esfuerzo o simplemente, para cumplir con un requisito que permita a la empresa seguir fielmente las exigencias del mercado y Alejandro Corletti Estrada hacer el mínimo esfuerzo posible, tratando de (fría y crudamente) engañar al auditor…..(Lo que recuerden que, también afirmo y con mucha más contundencia, es que será imposible de mantener esta mentira). Puedo garantizar que será humanamente imposible volver a demostrar, año tras año, que el SGSI sigue rodando (la mentira tiene patas cortas). Es decir, no merece la pena tratar de encarar una futura certificación ISO 27001 si no se tiene como objetivo fundamental y sincero: “Implementar un VERDADERO SGSI” Esto se desmorona muy rápidamente si se partió de pilares débiles, engañosos o falsos, tratando meramente de obtener el sello de “ISO 27001” como única meta. Por lo tanto, primer “consejo” (si se puede llamar así): No se autoengañen, encaren esta tarea con la sana intención de aprovechar al máximo cada esfuerzo que esta les requiera. Una vez comprendido esto, creo necesario avanzar un poco más aún, pues esto afecta de lleno a las PyMEs y tal vez no tanto a una gran empresa. Todo responsable de implementar ISO 27001 en una PyME, “SÍ o SÍ” ¡¡ debe MOJARSE !! Una gran empresa, tal vez pueda darse el lujo de tercerizar todo el proceso, el mantenimiento y las acciones a futuro……….una PyME seguro que no. A lo sumo, si desea invertir una considerable suma de dinero, puede contratar una consultora que le analice, diseñe, planifique e implemente inicialmente desde el vamos, todo el SGSI, pero es casi seguro que no podrá subcontratar el mantenimiento diario que un SGSI requiere (que no es trivial), esta tarea implica poseer un claro entendimiento de lo que se hizo y el funcionamiento de todo el SGSI, por lo tanto, en cualquier caso alguien, responsable de la PyME deberá intervenir en profundidad. El responsable de seguridad de la PyME deberá “Mojarse” desde el inicio. Puede hacerlo, embebiéndose del Estándar, e ir preparando poco a poco su empresa (que es lo que se trata de aconsejar en esta presentación) con un mínimo apoyo de algún especialista, que inclusive si realmente lo hace con seriedad y preocupación Ponencia esta figura hasta puede aportarla AENOR misma, en lo que ellos llaman “Auditoría previa o Preauditoría”, tarea que dejará un claro rumbo de lo que está bien y lo que se debe mejorar antes de realizar la auditoría final (y en definitiva es la colaboración que sinceramente quiere hacer AENOR, para lograr una eficiente certificación en España). Este curso de acción, requiere un mayor esfuerzo de los administradores de informática de la empresa (y de su responsable), pero es el que mayor experiencia les aportará y sin lugar a dudas, los resultados, si se ponen ganas, serán los mejores y dejarán muy claros los pasos a futuro para mantener el SGSI funcionando perfectamente. La segunda opción que puede tener el responsable de seguridad de una PyME, es contratar un consultor para que lo guíe paso a paso en todo el proceso, ¡¡ ojo !!, no estoy diciendo que haga todo el trabajo, sino que vaya guiando a la empresa en cómo hacerlo, pues si lo hace el consultor, se cae en la mentira anteriormente mencionado, pues una vez que se retire el consultor, el SGSI no podrá ser mantenido. Por lo tanto lo más importante a reflexionar sobre esta segunda opción es que no es “lavarse las manos”, sino trabajar codo a codo con el consultor, para aprovechar al máximo la experiencia de éste en cada paso, y ser capaz de tener un claro conocimiento de todo lo realizado, para mantenerlo en funcionamiento, se reitera que de esto se trata: “un ciclo de vida continuo”. En cualquiera de los dos casos, es perfectamente posible preparar una empresa para luego solicitar a los auditores acreditados la certificación ISO 27001. Para aclarar más aún este tema, la solicitud de certificación ISO 27001 por ejemplo, con AENOR para una PyME en concreto, radica en tomar contacto con ellos, los cuales solicitarán cierta información de la empresa (Alcance, sistemas involucrados, servidores, infraestructura global, personal interviniente, tipos de servicios: Intranet, aplicaciones, transacciones electrónicas, etc.). Con esta información entregarán un presupuesto, que para dar una idea, en el caso de una PyME de unos cien empleados con una infraestructura informática de diez servidores, con los servicios normales de cualquier empresa, rondará en unos 2.000 euros. Este presupuesto contempla aproximadamente dos días de “Auditoría previa”, Alejandro Corletti Estrada Tema: El estándar ISO 27001 y su aplicación en las PYMES que no es otra cosa que una visión preliminar de cómo va encaminada la preparación de la PyME, y proporciona un enorme valor agregado, pues permite definir acciones correctivas y mejoras de lo que se está haciendo. Esta tarea puede ser realizado “in situ” o con tiempo compartido entre el dedicado en la empresa y el análisis documental en AENOR. Es conveniente, luego de esta actividad, que la empresa se tome su tiempo (unos meses más), para ajustar todo lo propuesto por AENOR para evitar futuras no conformidades. Cuando la empresa considere que ya se encuentra lista, debería solicitar la segunda parte que es la “auditoría final”, en la cual, en aproximadamente otros dos días, se realizarán todas las tareas de análisis y verificación del cumplimiento de lo que establece el estándar. El resultado puede ser que esté conforme con la certificación, ante lo cual se extiende el certificado correspondiente, que no satisfaga algunas conformidades, pero que las mismas no impliquen la negación de la certificación, si bien deberán ser corregidas, o que las no conformidades alcancen una magnitud, que no pueda ser emitido el certificado, caso en el que se otorgará un tiempo adicional (y muy probablemente también un coste), para pasar una segunda auditoría sobre lo detectado. 6. Beneficios de una PYME certificada en ISO 27001. Se debe tener en cuenta que la seguridad al 100% no existe, la norma establece una metodología y una serie de medidas que por lo menos busca una mejora continua y que, sin lugar a dudas, aumentará el porcentaje actual de cualquier empresa. Esta mejora en la seguridad se ve reflejada en una serie de beneficios que se describen a continuación. Competitividad (Para ser sinceros) Si se trata de ser sinceros……este es el primer factor que le interesa a cualquier empresa. Esta norma, como se mencionó varias veces, será en el mediano plazo Europeo, tan importante como hoy lo es ISO 9000. Es decir, poco a poco las grandes empresas, los clientes y partners comenzarán a exigir esta certificación para abrir y compartir sus sistemas con cualquier PyME. Es natural y lógico que así sea, pues es el único modo que Ponencia puede garantizar un equilibrio en las medidas de seguridad entre esas partes. Y para decirlo crudamente, quien no la tenga, se quedará afuera. Ahorro económico (¿¿¿….???) (¿Será el segundo factor en importancia?) Las medidas contra incendios: ¿Son un coste o una inversión?, ¿Cuánto vale la pérdida de información? Es muy difícil cuantificar este concepto, pero cualquier empresario que sea consciente del coste que poseen sus sistemas informáticos, sabe fehacientemente, que cualquier daño, caída, pérdida, robo, falsificación, suplantación, fallo, error, inconsistencia, virus, demora, saturación, escucha, intrusión, acceso erróneo, respuesta errónea, atentado, catástrofe………..puede ser grave. Lo sabe, es más, le teme no sólo al daño concreto, sino a la pérdida potencial que esto implica: imagen, difusión, desconfianza, pérdida de negocios e inversiones, etc. La certificación, reduce enormemente estas situaciones. La implementación de la norma, implica una visión de detalle de los sistemas, lo cual hará que las inversiones en tecnología se ajusten a las prioridades que se han impuesto, por lo tanto no habrá gastos innecesarios, inesperados, ni sobredimensionados. Se evitan muchos errores o se detectan a tiempo gracias a los controles adecuados; y si se producen, se cuenta con los planes de incidencias para dar respuesta efectiva y en el tiempo mínimo. Se evita fuga de información o dependencia con personas internas y externas. Tema: El estándar ISO 27001 y su aplicación en las PYMES el conjunto de acciones adoptadas reducirá al mínimo todo riesgo por robo, fraude, error humano (intencionado o no), mal uso de instalaciones y equipo a los cuales está expuesto el manejo de información. Concienciación y compromiso El estándar crea conciencia y compromiso de seguridad en todos los niveles de la empresa, no solo al implantarla, sino que será permanente pues se rata de un ciclo. Cumplimiento de la legislación vigente Todos los aspectos de conformidades legales de la norma, deben responder a la legislación del País, y se verifica su adecuación y cumplimiento. Por lo tanto la certificación, garantiza este hecho y a su vez seguramente cree un marco legal que protegerá a la empresa en muchos flancos que antes no los tenía cubiertos. Visión externa y metódica del sistema Todo el trabajo realizado para la implementación de la norma, implica una serie de medidas de auditoría interna que ofrecen ya de por sí un importante valor agregado, cada una de ellas responde a una secuencia metódica de controles. Un aspecto a considerar de este trabajo es la tensión y responsabilidad que impone al personal de la empresa, el hecho de estar pendientes de una futura certificación, como objetivo común. A su vez, llegado el momento de la certificación, los auditores, siguiendo los mismos pasos, darán una visión externa, independiente y totalmente ajena a la rutina de la empresa, que siempre aporta muchos elementos de juicio y acciones de mejora. Calidad a la seguridad La implementación de un verdadero SGSI, transforma la seguridad en una actividad de gestión. Este concepto por trivial que parezca es trascendente, pues deja de lado un conjunto de actividades técnicas más o menos organizadas, para transformarse en un ciclo de vida metódico y controlado. Es lo que se mencionó al principio, pone “calidad a la seguridad”, que en definitiva, “calidad” es lo que se busca y exige hoy en toda empresa seria. Reduce riesgos Partiendo del análisis de riesgo que impone la norma, hasta la implementación de los controles, Alejandro Corletti Estrada Supervivencia de mercado Según un artículo publicado en ComputerWeekly, uno de los principales motores que están llevando al incremento de certificaciones ISO 27001 está siendo la aparición en contratos de sugerencias al proveedor respecto a estar certificado en esta norma. cada vez más contratos, al principio sólo gubernamentales pero también cada vez más en el sector privado, estipulan ya que el proveedor apropiado debería tener la certificación en ISO 27001 de Seguridad de la Información. Ponencia Tema: El estándar ISO 27001 y su aplicación en las PYMES De hecho, algunas empresas que ya tienen la certificación ISO 27001 harán de lobby a favor de incluirlo como requisito en las ofertas de los clientes, obstaculizando a cualquier rival que no la tenga." Por tanto y como nueva motivación, la certificación de la seguridad puede ser una oportunidad de negocio más que un coste. Madrid, febrero de 2007. Alejandro Corletti Estrada CORLETTI ESTRADA, Alejandro. Lugar de nacimiento: Córdoba, Argentina. Fecha de nacimiento: 25 de diciembre de 1959. Es Ingeniero en Informática, MBA y está finalizando el Doctorado en ingeniería. Fue militar, Jefe de Redes del Ejército Argentino y profesor universitario de las materias Redes y Comunicaciones. Vino a Madrid en el año 2000, lugar donde actualmente vive. Formó parte del Grupo Altran, y en la actualidad es responsable de la división seguridad de la empresa NCS. Ha disertado en varios congresos internacionales y publicado artículos, siempre relacionados a Seguridad y Redes de ordenadores. Alejandro Corletti Estrada