Guía implementación ISO 27001
Beneficios de la certificación
La seguridad de la información es cada vez más importante para las organizaciones y, por tanto, la adopción de la norma ISO 27001 es cada vez más habitual. La mayoría de las organizaciones reconocen ahora que no es una cuestión de si se verán afectadas por una violación de la seguridad; la cuestión es cuándo.
Implantar un SGSI y conseguir la certificación ISO 27001 es una empresa importante para la mayoría de las organizaciones. Sin embargo, si se hace con eficacia, hay beneficios significativos para aquellas organizaciones que dependen de la protección de información valiosa o sensible. Estos beneficios se dividen normalmente en tres áreas:
COMERCIAL
Contar con el respaldo de una tercera parte independiente para un SGSI puede proporcionar a una organización una ventaja competitiva o permitirle "ponerse al día" con sus competidores. Los clientes que están expuestos a importantes riesgos de seguridad de la información exigen cada vez más la certificación de la norma ISO 27001 en las licitaciones.
Si el cliente también está certificado según la norma ISO 27001, a medio plazo optará por trabajar sólo con proveedores en cuyos controles de seguridad de la información confíe y que tengan la capacidad de cumplir con sus requisitos contractuales.
Para las organizaciones que quieren trabajar con este tipo de clientes, disponer de un SGSI con certificación ISO 27001 es un requisito clave para mantener y aumentar sus ingresos comerciales.
OPERACIONAL
El enfoque holístico de la norma ISO 27001 apoya el desarrollo de una cultura interna que está alerta a los riesgos de seguridad de la información y tiene un enfoque coherente para hacerles frente. Esta coherencia de enfoque conduce a controles que son más robustos para hacer frente a las amenazas. También se minimiza el coste de su implantación y mantenimiento y, en caso de que fallen, las consecuencias se minimizan y se mitigan con mayor eficacia.
TRANQUILIDAD
Muchas organizaciones tienen información que es crítica para sus operaciones, vital para mantener su ventaja competitiva o una parte inherente de su valor financiero.
Contar con un SGSI sólido y eficaz permite a los propietarios y gerentes de las empresas responsables de la gestión de los riesgos dormir más tranquilos sabiendo que no están expuestos a un riesgo de fuertes multas, a una interrupción importante del negocio o a un golpe significativo a su reputación.
En la actual economía basada en el conocimiento, casi todas las organizaciones dependen de la seguridad de la información clave. La implantación de un SGSI formal es un método probado para proporcionar dicha seguridad.
La norma ISO 27001 es un marco reconocido internacionalmente para un SGSI de mejores prácticas y su cumplimiento puede verificarse de forma independiente para mejorar la imagen de una organización y dar confianza a sus clientes.
PRINCIPIOS CLAVE Y TERMINOLOGÍA
El objetivo principal de un SGSI es proporcionar protección a la información sensible o valiosa. La información sensible suele incluir información sobre empleados, clientes y proveedores. La información valiosa puede incluir propiedad intelectual, datos financieros, registros legales, datos comerciales y datos operativos.
Los tipos de riesgo a los que está sujeta la información sensible y valiosa pueden agruparse generalmente en tres categorías:
-
Confidencialidad: cuando una o varias personas acceden sin autorización a la información.
-
Integridad: cuando el contenido de la información se modifica de modo que deja de ser exacto o completo.
- Disponibilidad: cuando se pierde o se dificulta el acceso a la información.
Estos tipos de riesgo para la seguridad de la información se denominan comúnmente "CIA" por sus siglas en inglés (Confidentiallity, Integrity, Availability).
Los riesgos en la seguridad de la información suelen surgir debido a la presencia de amenazas y vulnerabilidades en los activos que procesan, almacenan, guardan, protegen o controlan el acceso a la información que da lugar a incidentes.
En este contexto, los activos suelen ser personas, equipos, sistemas o infraestructuras.
La información es el conjunto de datos que una organización quiere proteger, como los registros de los empleados, los registros de los clientes, los registros financieros, los datos de diseño, los datos de prueba, etc.
Los incidentes son acontecimientos no deseados que provocan una pérdida de confidencialidad (por ejemplo, una violación de los datos), de integridad (por ejemplo, la corrupción de los datos) o de disponibilidad (por ejemplo, un fallo del sistema).
Las amenazas son las que provocan los incidentes y pueden ser maliciosas (por ejemplo, un ladrón), accidentales (por ejemplo, un error de pulsación) o un acto de Dios (por ejemplo, una inundación).
Vulnerabilidades como las ventanas abiertas de las oficinas, los errores en el código fuente o la ubicación de los edificios junto a los ríos, aumentan la probabilidad de que la presencia de una amenaza dé lugar a un incidente no deseado y costoso.
En la seguridad de la información, el riesgo se gestiona mediante el diseño, la aplicación y el mantenimiento de controles como ventanas cerradas con llave, pruebas de software o la ubicación de equipos vulnerables por encima del nivel del suelo.
Un SGSI que cumple con la norma ISO 27001 tiene un conjunto interrelacionado de procesos de mejores prácticas que facilitan y apoyan el diseño, la implementación y el mantenimiento adecuados de los controles.
Los procesos que forman parte de un SGSI suelen ser una combinación de los procesos empresariales básicos existentes (por ejemplo, contratación, iniciación, formación, compras, diseño de productos, mantenimiento de equipos, prestación de servicios) y los específicos para mantener y mejorar la seguridad de la información (por ejemplo, gestión de cambios, copias de seguridad de la información, control de acceso, gestión de incidentes, clasificación de la información).
Pensamiento/auditorías basado en el riesgo
Las auditorías son un enfoque sistemático, basado en pruebas, del proceso de evaluación de su Sistema de Gestión de la Seguridad de la Información. Se realizan interna y externamente para verificar la eficacia del SGSI. Las auditorías son un brillante ejemplo de cómo se adopta el pensamiento basado en el riesgo dentro de la gestión de la seguridad de la información.
AUDITORÍAS DE PRIMERA PARTE - AUDITORÍAS INTERNAS
Las auditorías internas son una gran oportunidad para aprender dentro de su organización. Proporcionan tiempo para centrarse en un proceso o departamento concreto con el fin de evaluar realmente su rendimiento. El propósito de una auditoría interna es garantizar la adhesión a las políticas, procedimientos y procesos determinados por usted, la organización, y confirmar el cumplimiento de los requisitos de la norma ISO 27001.
PLANIFICACIÓN DE LA AUDITORÍA
Elaborar un calendario de auditorías puede parecer un ejercicio complicado. Dependiendo de la escala y la complejidad de sus operaciones, puede programar auditorías internas desde cada mes hasta una vez al año. Hay más detalles sobre esto en la sección 9 - evaluación del rendimiento.
PENSAMIENTO BASADO EN EL RIESGO
La mejor manera de considerar la frecuencia de las auditorías es examinar los riesgos que conlleva el proceso o el área de negocio que se va a auditar. Cualquier proceso de alto riesgo, ya sea porque tiene un alto potencial para salir mal o porque las consecuencias serían graves si saliera mal, debe ser auditado con más frecuencia que un proceso de bajo riesgo.
La forma de evaluar el riesgo depende totalmente de usted. La norma ISO 27001 no dicta ningún método concreto de evaluación o gestión de riesgos.
2ª PARTE - AUDITORÍAS EXTERNAS
Las auditorías de segunda parte suelen ser llevadas a cabo por los clientes o por otros en su nombre, o usted puede realizarlas a sus proveedores externos. Las auditorías de segunda parte también pueden ser realizadas por los reguladores o cualquier otra parte externa que tenga un interés formal en una organización.
Puede que tenga poco control sobre el momento y la frecuencia de estas auditorías, pero el establecimiento de su propio SGSI le asegurará que está bien preparado para su llegada.
3ª PARTE - AUDITORÍAS DE CERTIFICACIÓN
Las auditorías de terceros son realizadas por organismos externos, normalmente organismos de certificación acreditados por UKAS, como NQA.
El organismo de certificación evaluará la conformidad con la norma ISO 27001:2013. Esto implica que un representante del organismo de certificación visite la organización y evalúe el sistema pertinente y sus procesos. El mantenimiento de la certificación también implica reevaluaciones periódicas.
La certificación demuestra a los clientes su compromiso con la calidad.
LA CERTIFICACIÓN GARANTIZA
-
Evaluación periódica para controlar y mejorar continuamente los procesos.
-
Credibilidad de que el sistema puede alcanzar los resultados previstos.
-
Reducir el riesgo y la incertidumbre y aumentar las oportunidades de mercado.
-
Coherencia en los resultados diseñados para satisfacer las expectativas de las partes interesadas.
Pensamiento/auditorías basado en procesos
Un proceso es la transformación de entradas en salidas, que tiene lugar como una serie de pasos o actividades que dan como resultado el objetivo o los objetivos previstos. A menudo, el resultado de un proceso se convierte en una entrada para otro proceso posterior. Muy pocos procesos funcionan de forma aislada.
“Proceso: conjunto de actividades interrelacionadas o que interactúan entre sí y que utilizan insumos para obtener un resultado previsto.” Fundamentos y vocabulario de la ISO 27001:2013
Incluso una auditoría tiene un enfoque de proceso. Comienza con la identificación del alcance y los criterios, establece un curso de acción claro para lograr el resultado y tiene un resultado definido (el informe de auditoría). El uso del enfoque por procesos de la auditoría también garantiza que se asignen el tiempo y las capacidades correctas a la auditoría. Esto hace que sea una evaluación eficaz del rendimiento del SGSI.
"Se consiguen resultados consistentes y predecibles con mayor eficacia y eficiencia cuando las actividades se entienden y gestionan como procesos interrelacionados que funcionan como un sistema coherente."
ISO 27001:2013 FUNDAMENTOS Y VOCABULARIO
Entender cómo los procesos se interrelacionan y producen resultados puede ayudarle a identificar oportunidades de mejora y, por tanto, a optimizar el rendimiento general. Esto también se aplica cuando los procesos, o parte de ellos, se subcontratan.
Comprender exactamente cómo afecta o podría afectar al resultado y comunicarlo claramente al socio comercial (que proporciona el producto o servicio externalizado) garantiza la claridad y la responsabilidad en el proceso. El último paso del proceso consiste en revisar el resultado de la auditoría y garantizar que la información obtenida se aproveche. Una revisión formal de la gestión es la oportunidad de reflexionar sobre el rendimiento del SGSI y de tomar decisiones sobre cómo y dónde mejorar. El proceso de revisión por la dirección se trata con mayor profundidad en la sección 9 - evaluación del rendimiento.
Las 10 cláusulas de la norma ISO 27001:2013
Al igual que con la mayoría de las demás normas de sistemas de gestión ISO, los requisitos de la norma ISO 27001 que deben satisfacerse se especifican en las cláusulas 4.0 a 10.0. A diferencia de la mayoría de otras normas de sistemas de gestión ISO, una organización debe cumplir con todos los requisitos de las cláusulas 4.0 - 10.0; no pueden declarar una o más cláusulas como no aplicables a ellos.
En la norma ISO 27001, además de las cláusulas 4.0 - 10.0 hay un conjunto adicional de requisitos detallados en una sección llamada Anexo A, a la que se hace referencia en la cláusula 6.0. El Anexo A contiene 114 controles de seguridad de la información de mejores prácticas. Cada uno de estos 114 controles debe ser considerado. Para cumplir con la norma ISO 27001, la organización debe implementar estos controles, o se debe dar una justificación aceptable para no implementar un control particular.
En las siguientes partes de esta guía se ofrece una explicación general del propósito de cada cláusula, se destaca el tipo de pruebas que un auditor esperaría ver para confirmar que usted cumple con los requisitos, y se dan consejos sobre formas eficaces de cumplirlos.
Sección 1: Alcance
La sección de alcance de la norma ISO 27001 establece
-
el objetivo de la norma;
-
los tipos de organizaciones a los que se aplica; y
-
las secciones de la norma (denominadas cláusulas) que contienen los requisitos que debe cumplir una organización para que se certifique que es "conforme" con ella (es decir, que cumple).
La norma ISO 27001 está diseñada para ser aplicable a cualquier tipo de organización. Independientemente del tamaño, la complejidad, el sector industrial, el propósito o la madurez, su organización puede implementar y mantener un SGSI que cumpla con la norma ISO 27001.
Sección 2: Referencias normativas
En las normas ISO, la sección de Referencias Normativas enumera cualquier otra norma que contenga información adicional que sea relevante para determinar si una organización cumple o no con la norma en cuestión. En la norma ISO 27001 sólo se enumera un documento: ISO 27000 Information Technology - Overview and vocabulary.
Algunos de los términos utilizados o los requisitos detallados en la norma ISO 27001 se explican con más detalle en la norma ISO 27000. La referencia a la norma ISO 27000 es muy útil para ayudarle a entender mejor un requisito o a identificar la mejor manera de cumplirlo.
CONSEJO: Los auditores externos esperarán que usted haya tenido en cuenta la información contenida en la norma ISO 27000 en el desarrollo e implementación de su SGSI.
Sección 3: Términos y definiciones
La norma ISO 27001 no contiene términos ni definiciones. En su lugar, se hace referencia a la versión más actual de la norma ISO 27000 Sistemas de gestión de la seguridad de la información - Visión general y vocabulario. La versión actual de este documento contiene 81 definiciones de términos que se utilizan en la norma ISO 27001.
Además de los términos explicados en la sección "Principios clave y terminología" anterior, los términos más importantes utilizados en la norma ISO 27001 son:
Controles de acceso: procesos que garantizan que sólo las personas que necesitan tener acceso a un determinado activo tienen ese acceso y la "necesidad" se determina con referencia a los requisitos de negocio y de seguridad.
Eficacia: grado en que las actividades planificadas (por ejemplo, procesos, procedimientos) se ejecutan según lo previsto o especificado y logran los resultados o productos previstos.
Riesgo: combinación de la probabilidad de que se produzca un suceso relacionado con la seguridad de la información y las consecuencias resultantes.
Evaluación del riesgo: proceso de identificación de los riesgos, análisis del nivel de riesgo que plantea cada uno de ellos y evaluación de la necesidad de adoptar medidas adicionales para reducir cada riesgo a un nivel más tolerable o aceptable.
Tratamiento del riesgo: procesos o acciones que reducen los riesgos identificados a un nivel tolerable o aceptable.
Alta dirección: es el grupo de personas que toman las decisiones de mayor rango en una organización. Es probable que sean responsables de establecer su dirección estratégica y de determinar y alcanzar los objetivos de las partes interesadas.
Cuando escriba la documentación de su sistema de gestión de la seguridad de la información, no tiene que utilizar estos términos exactos. Sin embargo, ayuda a aclarar el significado y la intención si puede definir los términos que ha utilizado. Puede ser útil incluir un glosario en la documentación del sistema.
Sección 4: Contexto de las organización
El propósito de su SGSI es proteger los activos de información de su organización, para que ésta pueda alcanzar sus objetivos.La forma de hacerlo y las áreas específicas prioritarias dependerán del contexto en el que opere su organización:
-
Internas: las cosas sobre las que la organización tiene cierto control.
-
Externas: las cosas sobre las que la organización no tiene control directo.
Un análisis cuidadoso del entorno en el que opera su organización es fundamental para identificar los riesgos inherentes a la seguridad de sus activos de información. El análisis es la base que le permitirá evaluar qué procesos debe considerar añadir o reforzar para construir un SGSI eficaz.
CONTEXTO INTERNO
Los siguientes son ejemplos de las áreas que se pueden considerar al evaluar las cuestiones internas que pueden tener relación con los riesgos del SGSI:
-
Madurez: ¿es usted una empresa emergente ágil con un lienzo en blanco en el que trabajar, o una institución de más de 30 años con procesos y controles de seguridad bien establecidos?
-
Cultura de la organización: ¿su organización es relajada en cuanto a cómo, cuándo y dónde trabaja la gente, o es extremadamente reglamentada? ¿Podría la cultura resistirse a la aplicación de controles de seguridad de la información?
-
Gestión: ¿existen canales y procesos de comunicación claros desde los principales responsables de la organización hasta el resto de la misma?
-
Tamaño de los recursos: ¿trabaja con un equipo de seguridad de la información o una sola persona lo hace todo?
-
Madurez de los recursos: ¿los recursos disponibles (empleados/contratistas) tienen conocimientos, están totalmente formados, son fiables y constantes, o el personal es inexperto y cambia constantemente?
-
Formatos de los activos de información: ¿sus activos de información se almacenan principalmente en formato impreso (papel), o se almacenan electrónicamente en un servidor in situ, o en sistemas remotos basados en la nube?
-
Sensibilidad/valor de los activos de información: ¿su organización tiene que gestionar activos de información muy valiosos o especialmente sensibles?
-
Coherencia: ¿tiene procesos uniformes en toda la organización o una multitud de prácticas operativas diferentes con poca coherencia?
-
Sistemas: ¿tiene su organización muchos sistemas heredados que funcionan con versiones de software que ya no son compatibles con el fabricante, o mantiene la tecnología más actualizada y mejor disponible?
-
Complejidad del sistema: ¿utiliza un sistema principal que hace todo el trabajo pesado, o varios sistemas departamentales con una transferencia de información limitada entre ellos?
-
Espacio físico: ¿dispone de un local de oficinas seguro y exclusivo, o trabaja en un espacio compartido con otras organizaciones?
CONTEXTO EXTERNO
Los siguientes son ejemplos de las áreas que pueden ser consideradas cuando se evalúan las cuestiones externas que pueden tener relación con los riesgos del SGSI:
-
Competencia: ¿opera usted en un mercado rápidamente cambiante e innovador, que requiere muchas actualizaciones del sistema para seguir siendo competitivo, o en un mercado maduro y estable con poca innovación año tras año?
-
Propietario: ¿necesita aprobación para mejorar la seguridad física?
-
Reguladores / organismos de control: ¿existe en su sector la obligación de realizar cambios estatutarios periódicos, o hay poca supervisión por parte de los reguladores en su sector de mercado?
-
Economía/política: ¿influyen las fluctuaciones monetarias en su organización? ¿tendrá el Brexit en el Reino Unido un impacto?
-
Consideraciones ambientales: ¿está su sitio en una llanura de inundación con el servidor(es) ubicado en un sótano? ¿Existen factores que conviertan su(s) sitio(s) en un posible objetivo para un robo o un ataque terrorista (por ejemplo, en una ubicación prominente en el centro de la ciudad; al lado de un posible objetivo)?
-
Prevalencia de ataques a la seguridad de la información: ¿su organización opera en un sector que atrae regularmente el interés de los hackers (delincuentes, hacktivistas)?
-
Accionistas: ¿están muy preocupados por la vulnerabilidad de la organización a las violaciones de datos? ¿En qué medida les preocupa el coste de los esfuerzos de la organización por mejorar su seguridad de la información?
PARTES INTERESADAS
Una parte interesada es cualquier persona que esté, pueda estar o se perciba afectada por una acción u omisión de su organización. Sus partes interesadas quedarán claras a través del proceso de llevar a cabo un análisis exhaustivo de las cuestiones internas y externas.
Probablemente incluirán a los accionistas, propietarios, reguladores, clientes, empleados y competidores, y pueden extenderse al público en general y al medio ambiente, dependiendo de la naturaleza de su negocio. No tiene que tratar de entender o satisfacer todos sus caprichos, pero sí tiene que determinar cuáles de sus necesidades y expectativas son relevantes para su SGSI.
Para cumplir con la norma ISO 27001, debe documentar el alcance de su SGSI. Los alcances documentados suelen describir:
-
los límites del lugar o lugares físicos incluidos (o no incluidos);
-
los límites de las redes físicas y lógicas incluidas (o no incluidas);
-
los grupos de empleados internos y externos incluidos (o no incluidos);
-
los procesos, actividades o servicios internos y externos incluidos (o no incluidos); y
-
interfaces clave en los límites del ámbito de aplicación.
Si quiere priorizar los recursos construyendo un SGSI que no cubra toda su organización, seleccionar un alcance que se limite a gestionar los intereses de las partes interesadas clave es un enfoque pragmático. Esto puede hacerse incluyendo sólo sitios, activos, procesos y unidades de negocio o departamentos específicos. Algunos ejemplos de declaraciones de alcance:
-
"Todas las operaciones realizadas por el Departamento de Informática"
-
"Apoyo y gestión del correo electrónico"
-
"Todo el equipo, los sistemas, los datos y la infraestructura en el Centro de Datos de la organización con sede en el sitio de Basingstoke"
CONSEJO: Documente o mantenga un archivo de toda la información recopilada en su análisis del contexto de su organización y de las partes interesadas, como por ejemplo
-
Conversaciones con un representante de alto nivel de la organización, por ejemplo, un director general, un consejero delegado o un director técnico.
-
Actas de reuniones o planes de negocio.
-
Un documento específico que identifique los problemas internos/externos y las partes interesadas, así como sus necesidades y expectativas, por ejemplo, un análisis DAFO, un estudio PESTLE o una evaluación de riesgos empresariales de alto nivel.
Sección 5: Liderazgo
LA IMPORTANCIA DEL LIDERAZGO
En este contexto, el liderazgo significa la participación activa en el establecimiento de la dirección del SGSI, la promoción de su aplicación y la garantía de que se disponga de los recursos adecuados. Esto incluye:
-
garantizar que los objetivos del SGSI sean claros y estén alineados con la estrategia general;
-
que haya claridad en cuanto a las responsabilidades y la rendición de cuentas;
-
que el pensamiento basado en el riesgo está en el centro de toda toma de decisiones; y
-
que haya una comunicación clara de esta información a todas las personas dentro del ámbito de su SGSI.
La norma ISO 27001 otorga gran importancia al compromiso activo de la Alta Dirección en el SGSI, basándose en la suposición de que el compromiso de la Alta Dirección es crucial para asegurar la implementación efectiva y el mantenimiento de un SGSI efectivo por parte del grupo de empleados más amplio.
POLÍTICA DE SEGURIDAD DE LA INFORMACIÓNUna responsabilidad vital de la dirección es establecer y documentar una Política de Seguridad de la Información que esté alineada con los objetivos clave de la organización. En el nivel superior debe incluir objetivos, o un marco (directrices) para establecerlos. Para demostrar que está alineada con el contexto de la organización y los requisitos de las partes interesadas clave, se recomienda que haga referencia o contenga un resumen de los principales problemas y requisitos que debe gestionar. También debe incluir el compromiso de:
-
satisfacer los requisitos aplicables en materia de seguridad de la información, como los requisitos legales, las expectativas de los clientes y los compromisos contractuales; y
-
la mejora continua de su SGSI.
La Política de Seguridad de la Información puede referirse a, o incluir subpolíticas que cubran, los controles clave del SGSI de la organización. Algunos ejemplos son: la selección de proveedores críticos para la seguridad de la información, la contratación y la formación de los empleados, el clear desk y el clear screen, los controles criptográficos, los controles de acceso, etc.
Para demostrar la importancia de la Política de Seguridad de la Información, es aconsejable que sea autorizada por el miembro de mayor rango de su Alta Dirección o por cada miembro del equipo de Alta Dirección.
CONSEJO: Para garantizar que su política de seguridad de la información esté bien comunicada y disponible para las partes interesadas, es una buena idea:
-
incluirlo en los paquetes de iniciación y en las presentaciones para los nuevos empleados y contratistas;
-
coloque la declaración clave en los tablones de anuncios internos, en las intranets y en el sitio web de su organización; y
-
hacer que su cumplimiento y/o apoyo sea un requisito contractual para los empleados, los contratistas y los proveedores críticos para la seguridad de la información.
FUNCIONES Y RESPONSABILIDADES
Para que las actividades de seguridad de la información formen parte del día a día de la mayoría de las personas de la organización, hay que definir y comunicar claramente las responsabilidades y las obligaciones que tienen.
Aunque la norma no exige la designación de un representante de la seguridad de la información, puede ser útil para algunas organizaciones nombrar a uno que dirija un equipo de seguridad de la información para coordinar la formación, supervisar los controles e informar sobre el rendimiento del SGSI a la alta dirección. Esta persona puede ser ya responsable de la protección de datos o de los servicios de TI.
Sin embargo, para llevar a cabo su función con eficacia, lo ideal es que sea un miembro del equipo de alta dirección y que tenga un gran conocimiento técnico de la gestión de la seguridad de la información o que tenga acceso a personas que lo tengan.
DEMOSTRAR EL LIDERAZGO A UN AUDITOR
La Alta Dirección será el grupo de individuos que establecen la dirección estratégica y aprueban la asignación de recursos para la organización o área de negocio con el alcance de su SGSI. Dependiendo de cómo esté estructurada su organización, estas personas pueden ser o no el equipo de gestión del día a día. Un auditor normalmente comprobará el liderazgo entrevistando a uno o más miembros de su Alta Dirección y evaluando su nivel de implicación y participación en el:
-
evaluación de riesgos y oportunidades;
-
establecimiento y comunicación de políticas;
-
establecimiento y comunicación de objetivos;
-
revisión y comunicación del rendimiento del sistema; y
-
Asignación de recursos, obligaciones y responsabilidades adecuadas.
SUGERENCIA: Antes de su auditoría externa, identifique quién de su alta dirección se reunirá con el auditor externo y prepárelo para la entrevista con un repaso de las preguntas que probablemente le harán.
Sección 6: Planificación
La norma ISO 27001 es, en esencia, una herramienta de gestión de riesgos que dirige a una organización para que identifique los impulsores de sus riesgos de seguridad de la información a partir de toda la gama de fuentes. Como tal, el propósito subyacente de un SGSI es:
-
identificar los riesgos estratégicamente importantes, los manifiestamente obvios y los ocultos pero peligrosos;
-
garantizar que las actividades cotidianas y los procesos operativos de una organización estén diseñados, dirigidos y dotados de recursos para gestionar intrínsecamente esos riesgos; y
-
responder y adaptarse automáticamente a los cambios para hacer frente a los nuevos riesgos y reducir continuamente la exposición al riesgo de la organización.
Disponer de un plan de acción detallado que esté alineado, actualizado y respaldado por revisiones y controles periódicos es crucial, y proporciona la mejor prueba al auditor de una planificación del sistema claramente definida.
EVALUACIÓN DE RIESGOS
La evaluación de riesgos es el núcleo de cualquier SGSI eficaz. Incluso la organización con más recursos no puede eliminar por completo la posibilidad de que se produzca un incidente de seguridad de la información. Para todas las organizaciones, la evaluación de riesgos es esencial para:
-
aumentar la probabilidad de identificar todos los riesgos potenciales mediante la participación de personas clave que utilicen técnicas de evaluación sistemáticas;
-
asignar recursos para abordar los ámbitos más prioritarios; y
-
tomar decisiones estratégicas sobre cómo gestionar los riesgos importantes para la seguridad de la información que permitan alcanzar sus objetivos con mayor probabilidad.
La mayoría de los marcos de evaluación de riesgos consisten en una tabla que contiene los resultados de los elementos 1 a 4 con una tabla o matriz complementaria que cubre el punto 5.
Un auditor externo esperará ver un registro de su evaluación de riesgos, un propietario asignado para cada riesgo identificado y los criterios que ha utilizado.
SUGERENCIA: El anexo A (8.1.1) contiene el requisito de mantener una lista de activos de información, activos asociados a la información (por ejemplo, edificios, archivadores, ordenadores portátiles) e instalaciones de procesamiento de información. Si completa su evaluación de riesgos evaluando sistemáticamente los riesgos que plantea cada elemento de esta lista, habrá cumplido dos requisitos en el mismo ejercicio. Además, si asigna un propietario a cada elemento de la lista, también habrá cumplido otro requisito del anexo A (8.1.2). Como es probable que el propietario del activo sea también el propietario del riesgo, esto ayuda a evitar la duplicación y la posible confusión.
La norma ISO 27005 - Gestión de riesgos para la seguridad de la información ofrece orientación para desarrollar una técnica de evaluación de riesgos para su organización. Sea cual sea la técnica que seleccione o desarrolle, debe incluir los siguientes elementos clave:
-
Proporcionan un impulso para la identificación sistemática de los riesgos (por ejemplo, revisando los activos, los grupos de activos, los procesos, los tipos de información) de uno en uno, comprobando cada uno de ellos la presencia de amenazas y vulnerabilidades comunes, y registrando los controles que tiene actualmente para gestionarlos.
-
Proporcionar un marco para evaluar la probabilidad de que se produzca cada riesgo de forma consistente (por ejemplo, una vez al mes, una vez al año).Proporcionar un marco para evaluar las consecuencias de que se produzca cada riesgo de forma consistente (por ejemplo, pérdida de 1.000 libras, pérdida de 100.000 libras).
-
Proporcione un marco para calificar o categorizar cada riesgo identificado sobre una base consistente (por ejemplo, 1-10, alto/medio/bajo), teniendo en cuenta su evaluación de la probabilidad y las consecuencias.
-
Establecer criterios documentados que especifiquen, para cada puntuación o categoría de riesgo, el tipo de acción que hay que tomar y el nivel o prioridad que se le asigna.
TRATAMIENTO DE RIESGOS
Para cada riesgo identificado en su evaluación de riesgos, debe aplicar criterios coherentes para determinar si debe:
-
aceptar el riesgo; o
-
tratar el riesgo (llamado "Tratamiento del riesgo")
Las opciones de tratamiento del riesgo disponibles son normalmente una de las siguientes:
-
Evitar: dejar de realizar la actividad o procesar la información que está expuesta al riesgo.
-
Eliminación: eliminar la fuente del riesgo.
-
Cambiar la probabilidad: implantar un control que haga menos probable que se produzca un incidente de seguridad de la información.
-
Cambiar las consecuencias: implantar un control que disminuya el impacto si se produce un incidente.
-
Transferir el riesgo: externalizar la actividad o el proceso a un tercero que tenga mayor capacidad para gestionar el riesgo.
-
Aceptar el riesgo: si la organización no dispone de un tratamiento práctico del riesgo, o si se considera que el coste del tratamiento del riesgo es mayor que el coste del impacto, se puede tomar la decisión informada de aceptar el riesgo. Esta decisión debe ser aprobada por la alta dirección.
Un auditor externo esperará ver un Plan de Tratamiento de Riesgos (por ejemplo, una lista de acciones) que detalle las acciones de tratamiento de riesgos que ha implementado o planea implementar. El plan debe ser lo suficientemente detallado como para poder verificar el estado de ejecución de cada acción. También deberá haber pruebas de que este plan ha sido aprobado por los propietarios de los riesgos asignados y la alta dirección.
ANEXO A Y DECLARACIÓN DE APLICABILIDAD
Todas las opciones de tratamiento del riesgo (con la excepción de la aceptación) implican la implementación de uno o más controles. El Anexo A de la norma ISO 27001 contiene una lista de 114 controles de seguridad de la información de las mejores prácticas. Deberá considerar la posibilidad de implementar cada uno de estos controles al formular su Plan de Tratamiento de Riesgos.
La descripción de la mayoría de los 114 controles es bastante vaga, por lo que se recomienda encarecidamente revisar la norma ISO 27002, que contiene más información sobre las mejores prácticas para aplicarlos.
Como prueba de que ha completado esta evaluación, un auditor externo esperará que presente un documento llamado Declaración de Aplicabilidad. En este documento, debe registrar cada uno de los 114 controles:
-
whether it is applicable to your activities, processes and information security risks;
-
si lo ha aplicado o no; y
-
si ha considerado que no es aplicable, su justificación para hacerlo.
Para la mayoría de las organizaciones, la mayoría de los 114 controles serán aplicables, y es probable que ya hayan implementado varios de ellos en algún grado.
CONSEJO: Su declaración de aplicabilidad no tiene por qué ser un documento excesivamente complejo. Bastará con una simple tabla con los títulos de las columnas Control, ¿Aplicable?, ¿Implementado? y Justificación. También es aconsejable registrar alguna información sobre cómo se ha aplicado el control (por ejemplo, referencia a un procedimiento o política) para ayudarle a responder más fácilmente a cualquier pregunta de su auditor externo.
OBJETIVOS DE SEGURIDAD DE LA INFORMACIÓN Y PLANIFICACIÓN PARA ALCANZARLOS
En los niveles pertinentes de su organización debe tener un conjunto documentado de objetivos relacionados con la seguridad de la información. Estos objetivos pueden ser de alto nivel y aplicarse a toda la organización (por ejemplo, "conseguir la certificación ISO 27001") o a nivel de departamento (por ejemplo, "completar las sesiones informativas sobre seguridad de la información para todos los nuevos empleados en el plazo de una semana desde su inicio").
Cada objetivo que se fije debe:
-
ser medible;
-
estar en consonancia con su política de seguridad de la información;
-
tener en cuenta los requisitos de seguridad de la información de la organización; y
-
tener en cuenta los resultados del proceso de evaluación y tratamiento de riesgos.
Los objetivos típicos que son relevantes para la seguridad de la información incluyen:
-
No superar una frecuencia definida de determinados tipos de incidentes de seguridad de la información.
-
Lograr un nivel medible de cumplimiento de los controles de seguridad de la información.
-
Proporcionar una disponibilidad definida de servicios de información.
-
No superar un número medible de errores de datos.
-
Mejorar los recursos disponibles mediante la contratación, la formación o la adquisición.
-
Aplicación de nuevos controles.
-
Lograr el cumplimiento de las normas relacionadas con la seguridad de la información.
Cada objetivo debe ser comunicado a las personas pertinentes. Los objetivos deben ser actualizados cuando sea necesario para mantener su pertinencia y evaluar su rendimiento.
Para cada uno de los objetivos hay que planificar cómo se van a alcanzar. Esto incluye determinar:
-
lo que hay que conseguir;
-
qué recursos se asignan;
-
quién es el propietario o el principal responsable de la consecución del objetivo;
-
si hay una fecha de finalización o sólo un requisito continuo; y
-
el método de evaluación de los resultados con respecto al objetivo (es decir, cuál es su medida).
CONSEJO: Las formas eficaces de comunicar los objetivos de seguridad de la información incluyen su inclusión en la formación inicial, su establecimiento como objetivos de los empleados o su inclusión en las evaluaciones de los empleados, su establecimiento en los acuerdos de nivel de servicio con los proveedores o la evaluación de su rendimiento en las revisiones del rendimiento de los proveedores.
ISO 27001 GUÍA DEL ANEXO A
ISO 27001:2013 es la norma internacional que describe las mejores prácticas para un Sistema de Gestión de la Seguridad de la Información (SGSI). Si está familiarizado con nuestra anterior guía de implementación disponible aquí, entonces ya habrá examinado las cláusulas contenidas en la norma. También habrá aprendido que esta norma sigue un enfoque basado en el riesgo al considerar la seguridad de la información de una organización. Esto requiere la identificación de los riesgos de seguridad y, a continuación, la selección de los controles adecuados para reducir, eliminar o gestionar dichos riesgos.
La norma incluye los controles necesarios para cumplir los requisitos de riesgo en el Anexo A. En total hay 114 controles subdivididos en 14 categorías diferentes. Al considerar estos controles, es importante tener en cuenta que son simplemente posibilidades u opciones.
Al llevar a cabo el proceso de riesgo, el riesgo identificado debe tener controles apropiados que han sido seleccionados de la lista del Anexo A. No todos los controles pueden ser implementados. Por ejemplo, si su organización no tiene instalaciones y opera a distancia, no sería apropiado utilizar algunos controles del ámbito de la seguridad física.
Del mismo modo, el paso a las soluciones basadas en la nube atrae una nueva mirada a los controles existentes en los ámbitos de la seguridad de las operaciones y las comunicaciones.
CATEGORÍAS DE CONTROLES
Como se ha mencionado, el anexo contiene 14 categorías. Se enumeran como sigue:
A.5 |
Políticas de seguridad de la información: Orientación sobre cómo se redactan y revisan las políticas. |
A.6 |
Organización de la seguridad de la información: Cómo asignar responsabilidades para las tareas de seguridad, incluyendo:
|
A.7 |
Seguridad de los recursos humanos: Consideraciones de seguridad para la contratación y el mantenimiento de la mano de obra, incluidas las consideraciones de seguridad sobre la salida en los contratos. |
A.8 |
Gestión de activos: Asegurar los activos de información mediante el inventario y la propiedad de los activos. Incluye el etiquetado de la información y los soportes. |
A.9 |
Control de acceso: Controlar el acceso a la información dentro de una organización para que no haya acceso no autorizado a la información. Además, sólo las entidades adecuadas tienen acceso administrativo cuando es necesario. |
A.10 |
Criptografía: El cifrado de la información sensible y la gestión de las claves de cifrado. |
A.11 |
Seguridad física y medioambiental: La seguridad de los locales, los equipos y la información de las copias físicas. |
A.12 |
Seguridad de las operaciones: Asegurar las instalaciones de procesamiento de la información; incluye consideraciones técnicas de seguridad como la protección contra el malware, los procedimientos de copia de seguridad, la captura de eventos, etc. |
A.13 |
Seguridad en las comunicaciones: Seguridad de las redes; incluye el uso de la mensajería electrónica. |
A.14 |
Adquisición, desarrollo y mantenimiento del sistema: Seguridad en las operaciones de desarrollo. Garantiza que las consideraciones de seguridad se tengan plenamente en cuenta en el proceso de desarrollo. |
A.15 |
Relaciones con los proveedores: Acuerdos a incluir en los contratos con cualquier entidad externa. Todos los terceros deben ser sometidos a un control antes de compartir la información. Estos controles ayudan a gestionar ese proceso. |
A.16 |
Gestión de incidentes de seguridad de la información: Guía sobre cómo identificar, notificar y registrar los incidentes de información. Proporciona una funcionalidad que permite a la persona responsable aprender de los incidentes. |
A.17 |
Aspectos de la seguridad de la información en la gestión de la continuidad del negocio: Garantizar que su organización está bien preparada para sobrevivir a la interrupción y asegurar que los planes son viables. |
A.18 |
Cumplimiento: Identifique las leyes y reglamentos que conforman su organización y registre cualquier revisión de su sistema de gestión o seguridad por parte de una fuente externa. |
CONSIDERACIONES ADICIONALES
Antes de la auditoría de certificación, una organización debe haber elaborado una declaración de aplicabilidad (SoA).
Este requisito se describe en la cláusula 6 de la norma ISO 27001. La declaración de aplicabilidad debe contener al menos 114 entradas con cada una de las categorías y controles enumerados. Una vez hecho esto, cada control debe ser seleccionado y justificado o excluido con una justificación similar. Todos los documentos SoA deben poder demostrar que se ha tenido en cuenta cada control. Esto significa que un SoA debe contener todas las entradas señaladas, la simple enumeración de los controles seleccionados no cumplirá el requisito.
Este ejemplo muestra cómo se podría presentar la diferencia entre un control seleccionado y uno excluido dentro de un SoA:
Los controles que se seleccionen formarán probablemente parte de las pruebas del tratamiento del riesgo y deberán registrarse como tales. Por lo general, esto se mantendrá dentro de un registro de riesgos, aunque puede mantenerse como documentación separada. La metodología variará entre las distintas organizaciones, aunque demostrar que los controles del Anexo A se aplican es una necesidad constante.
Las disposiciones de seguridad de la norma no son algo a lo que un equipo de TI o de seguridad de una organización deba adherirse solo. La norma exige que se tengan en cuenta todos los aspectos de la organización al examinar los riesgos y su tratamiento.
Las personas mejor situadas para poner remedio a los problemas de riesgo no siempre se encuentran en el Departamento de TI; la composición exacta y la ubicación del tratamiento de los riesgos variará de una organización a otra. La propiedad de los riesgos es vital para garantizar que los controles sean objeto de revisión.
FINALMENTE
Los controles del Anexo A son sólo algunas de las opciones disponibles para una organización. Se pueden utilizar controles de seguridad adicionales que no estén específicamente descritos en el Anexo A para dar tratamiento a un riesgo identificado. Siempre que las cláusulas y los controles de la norma se aborden de forma adecuada, el SGSI funcionará y proporcionará buenos niveles de seguridad de la información.
Sección 7: Apoyo
La cláusula 7 se refiere a los recursos. Se refiere tanto a las personas, la infraestructura y el entorno como a los recursos físicos, materiales, herramientas, etc. También hay un enfoque renovado en el conocimiento como un recurso importante dentro de su organización. A la hora de planificar sus objetivos de calidad, una de las principales consideraciones será la capacidad actual de sus recursos, así como los que pueda necesitar de proveedores o socios externos.
Para implantar y mantener un SGSI eficaz es necesario disponer de recursos de apoyo. Estos recursos deberán ser suficientes:
-
Capaces: si son equipos o infraestructuras.
-
Competente: si son personas.
- En las reuniones de revisión de la gestión.
COMPETENCIA
La aplicación de controles eficaces de seguridad de la información depende en gran medida de los conocimientos y habilidades de sus empleados, proveedores y contratistas. Para tener la certeza de contar con una base de conocimientos y habilidades adecuada, es necesario:
-
definir qué conocimientos y habilidades se requieren;
-
determinar quién debe tener los conocimientos y las habilidades; y
-
establecer cómo puede evaluar o verificar que las personas adecuadas tienen los conocimientos y las aptitudes correctas.
Su auditor esperará que tenga documentos que detallen sus requisitos de conocimientos y habilidades. Cuando crea que se cumplen los requisitos, deberá apoyarse en documentos como certificados de formación, registros de asistencia a cursos o evaluaciones internas de competencia.
CONSEJO: La mayoría de las organizaciones que ya utilizan herramientas como las matrices de formación/habilidades, las valoraciones o las evaluaciones de los proveedores pueden satisfacer el requisito de los registros de competencias ampliando las áreas cubiertas para incluir la seguridad de la información.
CONCIENCIACIÓN
Además de garantizar la competencia específica del personal clave en relación con la seguridad de la información, el grupo más amplio de empleados, proveedores y contratistas deberá conocer los elementos básicos de su SGSI. Esto es fundamental para establecer una cultura de apoyo dentro de la organización.
Todo el personal, los proveedores y los contratistas deben ser conscientes de lo siguiente:
-
Que tiene un SGSI y por qué lo tiene.
-
Que tiene una política de seguridad de la información y qué elementos concretos de la misma son relevantes para ellos.
-
Cómo pueden contribuir a que su organización proteja su valiosa información y qué deben hacer para ayudar a la organización a alcanzar sus objetivos de seguridad de la información.
-
Qué políticas, procedimientos y controles les afectan y cuáles son las consecuencias de su incumplimiento.
SUGERENCIA: La comunicación de esta información puede realizarse normalmente a través de los procesos y documentos existentes, como los cursos de iniciación, los contratos de trabajo, las charlas sobre herramientas, los acuerdos con los proveedores, las reuniones informativas para los empleados o las actualizaciones.
COMUNICACIÓN
Para que los procesos de su SGSI funcionen eficazmente, deberá asegurarse de que las actividades de comunicación están bien planificadas y gestionadas. La norma ISO 27001 lo detalla de forma concisa al exigirle que determine:
-
lo que hay que comunicar;
-
cuando hay que comunicarlo;
-
a quien hay que comunicarlo;
-
quién es el responsable de la comunicación; y
-
qué es el proceso de comunicación.
CONSEJO: Si sus requisitos de comunicación están bien definidos en sus procesos, políticas y procedimientos, no necesita hacer nada más para satisfacer este requisito. Si no lo están, debería considerar la posibilidad de documentar sus actividades clave de comunicación en forma de tabla o procedimiento que incluya los epígrafes detallados anteriormente. Recuerde que el contenido de estos documentos también debe ser comunicado.
INFORMACIÓN DOCUMENTADA
Para que sea útil, la información documentada que utiliza para implantar y mantener su SGSI debe:
-
ser precisos;
-
ser comprensible para las personas que lo utilizan regular u ocasionalmente; y
-
ayudarle a cumplir los requisitos legales, gestionar los riesgos de seguridad de la información y alcanzar sus objetivos.
Para que su información documentada satisfaga siempre estos requisitos, deberá contar con procesos que lo garanticen:
-
La información documentada es revisada, en su caso, por las personas adecuadas antes de su difusión general;
-
el acceso a la información documentada se controla para que no pueda ser modificada accidentalmente, corrompida, borrada o accedida por personas a las que no corresponde;
-
que la información se elimine de forma segura o se devuelva a su propietario cuando haya que hacerlo; y
-
puede hacer un seguimiento de los cambios en la información para garantizar el control del proceso.
La fuente de su información documentada puede ser interna o externa, por lo que sus procesos de control deben gestionar la información documentada de ambas fuentes.
SUGERENCIA: Las organizaciones que tienen un buen control de los documentos suelen contar con uno o más de los siguientes elementos:
-
Una sola persona o un pequeño equipo responsable de garantizar que los documentos nuevos/modificados se revisen antes de su publicación, se almacenen en el lugar adecuado, se retiren de la circulación cuando sean sustituidos y se mantenga un registro de cambios.
-
Un sistema de gestión de documentos electrónicos que contiene flujos de trabajo y controles automáticos.
-
Sólidos procesos de copia de seguridad de los datos electrónicos y de archivo/almacenamiento de archivos en papel.
-
Gran conocimiento por parte de los empleados de los requisitos de control de documentos, mantenimiento de registros y acceso/conservación de la información.
Sección 8: Funcionamiento
Así que, después de toda la planificación y la evaluación de riesgos, estamos listos para pasar a la fase de "hacer". La cláusula 8 trata de tener un control adecuado sobre la creación y la entrega de su producto o servicio.
La gestión de los riesgos de seguridad de la información y la consecución de sus objetivos requiere la formalización de sus actividades en un conjunto de procesos claros y coherentes.
Es probable que muchos de estos procesos ya existan (por ejemplo, la iniciación o la formación) y que simplemente haya que modificarlos para que incluyan elementos relevantes para la seguridad de la información. Otros procesos pueden tener lugar de forma ad hoc (por ejemplo, la aprobación de proveedores), mientras que algunos pueden no existir en absoluto (por ejemplo, la auditoría interna).
Para poner en marcha procesos eficaces son cruciales las siguientes prácticas:
-
Los procesos se crean adaptando o formalizando las actividades "habituales" de una organización.
-
Identificación sistemática de los riesgos de seguridad de la información relevantes para cada proceso.
-
Definición y comunicación claras del conjunto de actividades necesarias para gestionar los riesgos asociados a la seguridad de la información cuando se produce un evento (por ejemplo, la incorporación de un nuevo empleado a la empresa).
-
Asignación clara de las responsabilidades para llevar a cabo las actividades relacionadas.
-
Asignación adecuada de recursos para garantizar que las actividades relacionadas puedan llevarse a cabo como y cuando sea necesario.
-
Evaluación rutinaria de la coherencia con la que se sigue cada proceso y su eficacia en la gestión de los riesgos de seguridad de la información pertinentes.
SUGERENCIA: Para cada proceso, designe a una persona como responsable de garantizar que se realicen los pasos 2 a 6. A esta persona se la suele denominar "propietario del proceso".
EVALUACIÓN DEL RIESGO PARA LA SEGURIDAD DE LA INFORMACIÓN
Los métodos y técnicas de evaluación de riesgos descritos en la cláusula 6 deben aplicarse a todos los procesos, activos, información y actividades dentro del alcance del SGSI de la organización.
Dado que los riesgos no son estáticos, los resultados de estas evaluaciones deben revisarse con la frecuencia adecuada. Por lo general, esto es al menos anualmente, o con mayor frecuencia si la evaluación identifica la presencia de uno o más riesgos significativos. Los riesgos también deben revisarse siempre que:
-
que se hayan completado todas las acciones de tratamiento de riesgos (véase más adelante);
-
hay cambios en los activos, la información o los procesos de la organización;
-
se identifican nuevos riesgos; o
-
La experiencia o los nuevos datos indican que la probabilidad y las consecuencias de cualquier riesgo identificado han cambiado.
CONSEJO: Para asegurarse de que su proceso de evaluación de riesgos cubre los tipos de eventos que requerirían una revisión, también debería tener en cuenta los controles del Anexo A para la Gestión de la Vulnerabilidad Técnica (A.12.6), la Seguridad en los Procesos de Desarrollo y Soporte (A.14.2) y la Gestión de la Prestación de Servicios de Proveedores (A.15.2).
TRATAMIENTO DE LOS RIESGOS DE LA SEGURIDAD DE LA INFORMACIÓN
El plan de tratamiento de riesgos que desarrolle no puede quedarse simplemente en una declaración de intenciones; debe aplicarse. Cuando sea necesario introducir cambios para tener en cuenta la nueva información sobre los riesgos y los cambios en los criterios de evaluación de riesgos, el plan debe actualizarse y volver a autorizarse.
También hay que evaluar el impacto del plan y registrar los resultados de esta evaluación. Esto puede hacerse en el marco de los procesos de revisión de la gestión o de auditoría interna, o mediante evaluaciones técnicas como pruebas de penetración en la red, auditorías de proveedores o auditorías de terceros sin previo aviso.
Sección 9: Evaluación del desempeño
Hay tres formas principales de evaluar el rendimiento de un SGSI. Éstas son:
-
supervisar la eficacia de los controles del SGSI;
-
mediante auditorías internas; y
-
en las reuniones de revisión de la gestión.
SEGUIMIENTO, MEDICIÓN, ANÁLISIS Y EVALUACIÓN
Su organización tendrá que decidir lo que necesita ser monitoreado para estar seguro de que su proceso de SGSI y los controles de seguridad de la información están funcionando como se pretende. No es práctico para una organización monitorear todo todo el tiempo; si intenta hacerlo, es probable que el volumen de datos sea tan grande que sería prácticamente imposible utilizarlo de manera efectiva. Por lo tanto, en la práctica, tendrá que tomar una decisión informada sobre lo que debe supervisar.
Las siguientes consideraciones serán importantes:
-
¿Qué procesos y actividades están sujetos a las amenazas más frecuentes y significativas?
-
¿Qué procesos y actividades tienen las vulnerabilidades más significativas?
-
¿Qué es práctico para controlar y generar información significativa y oportuna?
-
Para que cada proceso de supervisión que ponga en marcha sea eficaz, debe definirlo claramente:
-
Cómo se lleva a cabo el control (por ejemplo, si está definido en un procedimiento);
-
Cuándo se emprende;
-
Quién es el responsable de llevarla a cabo;
-
Cómo se comunican los resultados, cuándo, a quién y qué hacen con ellos
-
Si los resultados de la supervisión identifican un rendimiento inaceptable, cuál es el proceso o procedimiento de escalada para tratar esta situación.
Para demostrar a un auditor que dispone de un proceso de supervisión adecuado, deberá conservar los registros de los resultados de la supervisión, los análisis, las revisiones de evaluación y cualquier actividad de escalada.
AUDITORÍAS INTERNAS
Las auditorías internas que realice deben comprobar:
-
la coherencia con la que se siguen y aplican los procesos, procedimientos y controles;
-
el grado de éxito de sus procesos, procedimientos y controles para generar los resultados previstos; y
-
si su SGSI sigue cumpliendo la norma ISO 27001 y los requisitos de las partes interesadas.
Para garantizar que las auditorías se lleven a cabo con un alto nivel de calidad y de forma que se considere que aportan un valor añadido, es necesario que las lleven a cabo personas que:
-
se respetan;
-
competente
-
comprender los requisitos de la norma ISO 27001; y
-
pueden interpretar rápidamente su documentación y tienen una buena práctica en técnicas y comportamientos de auditoría.
Lo más importante es que se les asigne tiempo suficiente para realizar la auditoría y se les garantice la cooperación de los empleados pertinentes. Debe mantener un plan para llevar a cabo sus auditorías internas. Un auditor externo esperará que este plan garantice que todos sus procesos del SGSI se auditen en un ciclo de tres años y que los procesos que:
-
han dado pruebas de un rendimiento deficiente (por ejemplo, a través de auditorías anteriores, o resultados de supervisión o incidentes de seguridad de la información); y/o
-
gestionar los riesgos más importantes para la seguridad de la información
-
son auditados con mayor frecuencia.
El auditor externo también esperará que se registren las acciones identificadas en las auditorías, que sean revisadas por los empleados adecuados y que se implementen acciones de manera oportuna para rectificar cualquier problema significativo. Deberán tener en cuenta en el tiempo de cierre cualquier oportunidad de mejora identificada que requiera una inversión significativa de recursos.
REVISIÓN POR LA DIRECCIÓN
La revisión por la dirección es un elemento esencial de un SGSI. Es el punto formal en el que la Alta Dirección revisa la eficacia del SGSI y asegura su alineación con la dirección estratégica de la organización. Las revisiones por la dirección deben tener lugar a intervalos planificados y el programa de revisión general (es decir, una o varias reuniones) debe cubrir como mínimo una lista de áreas básicas especificadas en la cláusula 9.3 de la norma.
It is not essential to have a single management review meeting covering the entire agenda.
Si actualmente celebra una serie de reuniones que cubren las aportaciones entre ellas, no hay necesidad específica de duplicarlas.
Deberá conservar información documentada sobre sus revisiones de la gestión. Normalmente se trata de las actas de las reuniones o de las grabaciones de las llamadas si se realizan conferencias telefónicas. No es necesario que sean notas extensas, pero deben contener un registro de las decisiones tomadas y las acciones acordadas, idealmente con responsabilidades y plazos.
SUGERENCIA: Si decide adaptar su actual calendario de reuniones de gestión y estas reuniones cubren varias áreas, puede considerar la posibilidad de resumir las áreas que cubren estas reuniones en forma de tabla o procedimiento, de modo que quede claro para usted y para un auditor qué reuniones cubren cada una de las áreas de revisión requeridas.
Sección 10: Mejora
El objetivo principal de la implantación de un SGSI debe ser reducir la probabilidad de que se produzcan eventos de seguridad de la información y su impacto. Ningún SGSI será perfecto. Sin embargo, un SGSI exitoso mejorará con el tiempo y aumentará la resistencia de la organización a los ataques a la seguridad de la información.
NO CONFORMIDAD Y ACCIÓN CORRECTIVA
Uno de los principales motores de la mejora es aprender de los incidentes de seguridad, de los problemas detectados en las auditorías, de los problemas de rendimiento detectados en la supervisión, de las quejas de las partes interesadas y de las ideas generadas en las revisiones de la gestión.
Para cada oportunidad de aprendizaje identificada debe mantener un registro de:
-
lo que ocurrió;
-
si el suceso tuvo consecuencias indeseables, qué medidas se tomaron para contenerlas y mitigarlas;
-
la causa raíz del suceso (si se determina);
-
las medidas adoptadas para eliminar la causa principal (si es necesario); y
-
una evaluación de la eficacia de las medidas adoptadas.
ANÁLISIS DE LA CAUSA RAÍZ
Para identificar una acción correctiva eficaz, es muy recomendable realizar un análisis de la causa raíz del problema que se ha producido. Si no se llega al fondo de por qué o cómo ha ocurrido, es probable que cualquier solución que se aplique no sea del todo eficaz. Un enfoque sencillo, como el de los "5 porqués", es una buena herramienta de análisis de la causa raíz: empezar con el problema y preguntar "por qué" suficientes veces para llegar a la causa raíz. Por lo general, basta con preguntar cinco veces, pero en el caso de problemas más complejos puede ser necesario profundizar más.
Por ejemplo:
Planteamiento del problema:
La organización fue infectada por el virus Wannacry
¿Por qué?
Alguien hizo clic en un enlace en un correo electrónico y descargó el virus e infectó su PC
¿Por qué?
No han recibido ninguna formación para hacer clic en los enlaces de los correos electrónicos que no esperan recibir
¿Por qué?
El responsable de formación está de baja por maternidad y la organización no ha implementado su cobertura
¿Por qué?
El proceso de baja por maternidad no está contemplado en el Procedimiento de Gestión de Cambios, por lo que no se completó una evaluación de riesgos para identificar cualquier riesgo para la seguridad de la información.
CONSEJO: Es posible que no disponga de recursos suficientes para llevar a cabo el análisis de la causa raíz de cada suceso. Para priorizar sus esfuerzos, debería considerar la posibilidad de realizar primero una simple evaluación del riesgo de un suceso y, a continuación, emprender el análisis de la causa raíz sólo para aquellos que presenten un riesgo medio o alto.
Saque el máximo partido a su sistema de gestión
Consejos para implantar con éxito un SGSI
-
Comience con el "¿Por qué?". Asegúrese de que las razones para implantar un SGSI son claras y están en consonancia con su dirección estratégica; de lo contrario, corre el riesgo de no obtener la aceptación crítica de la alta dirección.
-
A continuación, considere el "¿Para qué?". Implantar y mantener un SGSI requiere un compromiso importante, así que asegúrese de que su alcance es lo suficientemente amplio como para abarcar la información crítica que hay que proteger, pero no es tan amplio como para no disponer de recursos suficientes para implantarlo y mantenerlo.
-
Consiga que todas las partes interesadas clave participen en los momentos adecuados. La alta dirección para el establecimiento del contexto, los requisitos, la política y los objetivos; los directivos y empleados con valiosos conocimientos para las evaluaciones de riesgos, el diseño de procesos y la redacción de procedimientos.
-
Comuníquese ampliamente a lo largo del proceso con todas las partes interesadas. Hágales saber lo que está haciendo, por qué lo está haciendo, cómo piensa hacerlo y cuál será su participación. Proporcione actualizaciones periódicas sobre el progreso.
-
Consiga ayuda externa cuando la necesite. No fracase por falta de conocimientos técnicos internos. La gestión de los riesgos de seguridad de la información suele requerir conocimientos especializados. Sin embargo, asegúrese de comprobar las credenciales de un tercero antes de contratarlo.
-
Mantenga la sencillez de sus procesos y la documentación de apoyo. Puede desarrollarse para ser más extensa con el tiempo si es necesario.
-
Diseñe y aplique reglas que pueda seguir en la práctica. No cometas el error de documentar una norma demasiado elaborada que nadie pueda seguir. Es mejor aceptar un riesgo y seguir buscando formas de gestionarlo.
-
Recuerde a sus proveedores. Algunos proveedores le ayudarán a mejorar su SGSI, otros aumentarán su riesgo. Debe asegurarse de que los proveedores de alto riesgo tienen controles al menos tan buenos como los suyos. Si no es así, busque alternativas.
-
Formar, formar y volver a formar. Es probable que la seguridad de la información sea un concepto nuevo para muchos o la mayoría de sus empleados. Es posible que la gente tenga que cambiar hábitos arraigados durante muchos años. Es poco probable que una sola sesión informativa de concienciación sea suficiente.
-
Recuerde que debe asignar recursos suficientes para probar rutinariamente sus controles. Las amenazas a las que se enfrenta su organización cambiarán constantemente y debe comprobar si es capaz de responder a ellas.
Para obtener un presupuesto para la certificación ISO 27001, simplemente haga clic aquí y complete nuestro formulario de presupuesto online.
Puede descargar un PDF de esta guía de implementación aquí: Guía de implementación de la norma ISO 27001 de NQA.