La norma ISO 27001 y sus retos

27001 Y S U S R E TO S Retos en la Seguridad de la Información 2016 - 2017 LA NORMA ISO Fidel Maldonado La seguridad de la Información co- de diez puntos entre los cuales se mienza a ser un tema prioritario de- encuentran los siguientes: bido a las condiciones macro econó- objetivo y campo de aplicamicas y globalizadas que se viven hoy ción en día. La dependencia de servicios - referencias normativas personalizados ha potencializado la - término y definiciones necesidad de garantizar que la infor- contexto de la organización mación disponible sea integra y con- liderazgo fidencial, ya que cada vez se maneja - planificación un mayor volumen de datos sensibles. - soporte - operación A partir del 6 de Julio de 2010 entró - evaluación de desempeño en vigor la Ley Federal de Protección - mejora de Datos Personales en Posesión de Particulares (L F P D P P P ), la cual obli- La segunda parte, está conformada ga a que todos los particulares que por el anexo A , el cual contiene los obtengan, manejen o resguarden nueve Dominios y los 114 controles datos personales cubran las dispo- que forman la base del S G S I . siciones de integralidad y confiden- A .5 - Política de Seguridad cialidad. de la información Esta norma se encuentra dividida en dos partes. La primera se compone MAT E O S CO N S U LTO R E S . CO M - Organización de la seguridad de la información A .7 - Seguridad ligada a los recursos humanos A .8 - Gestión de Activos A .9 - Control de Accesos A .10 - Criptografía A .11 - Seguridad física y ambiental A .12 - Seguridad de las operaciones A .13 - Seguridad en las comunicaciones A .14 - Sistemas de información, adquisición, desarrollo y mantenimiento - - - - Relaciones con los proveedores A .16 - Gestión de incidentes de la seguridad de la información A .17 - Aspectos de la seguridad de la información en la gestión de la continuidad del negocio A .18 - Cumplimiento A .15 1 El propósito de este artículo es dar a conocer de manera general aquellos elementos que le apoyaran para llegar a buen puerto con la implementación de su S G S I , por medio de una serie de pasos sencillos que usted podrá implementar en su organización para no caer en las situaciones descritas. A .6 De manera general los proyectos de implementación S G S I se desfasan debido al pobre entendimiento de las implicaciones en función de los requisitos de la norma I S O / I E C 27001 por parte del negocio. Las M I P Y M E S son el sector más susceptible a sufrir desfases, debido a la necesidad de realizar inversiones que no están consideradas de manera inicial en el proyecto, pero que son necesarias para poder facilitar la gestión de los controles. 2016 - 2017 Es por eso que las organizaciones se ven en la necesidad de implementar estándares que le ayuden a proteger tanto la información como sus activos, y es ahí en donde la norma Internacional I S O / I E C 27001:2013 entra en función. Ésta gestiona la seguridad de la información a partir de una serie de requisitos enfocados a establecer, implantar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (S G S I ). - La mayoría de las organizaciones cuentan con recursos capacitados en T I ; sin embargo, la implementación de esta norma requiere de perfiles especializados en seguridad de información. A pesar de las claras diferencias, hay organizaciones en donde aún no se distinguen los alcances y responsabilidades de cada una de estas áreas, por lo tanto se recomienda revisar los perfiles de los recursos para garantizar que sean los correctos, especialmente en lo que concierne a las actividades del Chief Information Security Officer (C I S O ). MAT E O S CO N S U LTO R E S . CO M 2 2016 - 2017 Si bien, es necesario que se haga una evaluación de los recursos, también será necesario identificar las capacidades técnicas de la organización a partir de la Identificación de las herramientas y sistemas organizacionales que estarán involucrados dentro del S G S I . Es recomendable que a la par, se comience con la identificación del software licen- proyectos que apoye en la gestión ciado para garantizar que se cuente de los temas del proyecto y lleve el con los recursos necesarios. control de tiempos, recursos y objetivos. Un tema vital a considerar, previo a la implementación, es la evalua- La administración de los riesgos ción de la cultura organizacional, deberá ser un tema recurrente con ya que esto nos ayudará a planear la dirección de la organización, ya una estrategia de concientización e que éstos se volverán prioritarios involucramiento de toda la organi- para garantizar no sólo la continuización. Por ello, es necesario identi- dad del proyecto, sino inclusive del ficar a las personas que participaran negocio. Los riegos deberán ser dede manera directa en la implemen- clarados de manera oportuna (en tación del S G S I (stakeholders), ya que cuanto sean detectados) y se les serán quienes nos apoyarán en la deberá dar seguimiento hasta la micomunicación de mensajes y en la tigación de los mismos, por lo que implementación de los controles. será necesario contar con un plan Será igualmente necesario definir de comunicación que considere los los roles en función del liderazgo. mecanismos, canales, mensajes y audiencias para cualquier tema reEl invertir tiempo en la identificación lacionado con el proyecto. de estos cuatro elementos reducirá de manera significativa los riesgos Debido a la naturaleza de la norma, de que se presenten desfases du- será necesario realizar un plan de rante el proyecto. Tales como el que inversión en donde se prioricen las no exista el suficiente compromiso capacidades del negocio y los tiempor parte de los involucrados o que pos de aprovisionamiento. Un error el personal se sienta rebasado en común es considerar sólo el tiempo sus capacidades, y que esto provo- de asignación del presupuesto, y se que el decaimiento del ánimo en la dejan fuera los tiempos que tarda el organización. proceso de adquisición e implementación de las nuevas tecnologías. Durante la implementación (Planeación, Transición y Operación) Una vez que se ha terminado la El éxito de la implementación del planeación, el primer tema a tratar S G S I es la planeación. Comúnmen- deberá de ser la concientización. te se orienta la implementación de Mientras más pronto se involucre al este estándar a las áreas de T I , cuan- personal de la organización, es medo en realidad se requiere de un jor. Las primeras sesiones deberán equipo interdisciplinario que apoye enfocarse a explicar cuál es la necea la consecución del objetivo, por lo sidad de la implementación de conque será recomendable considerar troles de seguridad, cómo podela inclusión de un administrador de mos participar y entender cuál será 2016 - 2017 Antes de la implementación (Idealización y Estrategia) Es necesario que antes de comenzar con la planeación y definición del S G S I se tomen el tiempo suficiente para llevar a cabo la identificación de sus capacidades organizacionales, considerando los recursos de los cuales se podrá echar mano para la implementación, así como el periodo por el que pasa la organización para comenzar la implementación, sobre todo si hay patrones de actividad del negocio que indiquen tendencias en la disponibilidad de los recursos. Acto seguido, se comenzará con la identificación de los activos de la organización para realizar el análisis de riesgos, que es la base sobre la cual girará el S G S I . Es importante mencionar que a la par de que se genera el análisis de riesgos, se puede realizar el control documental y de registros, acciones correctivas o preventivas, auditorias y de mejora continua, con el fin de dar paso a la documentación de los procesos de incidentes, requerimientos, problemas, cambios, liberaciones, capacidad, continuidad, disponibilidad, activos del servicio y configuraciones, así como proveedores. MAT E O S CO N S U LTO R E S . CO M cuidar al momento de implementar un S G S I . La mejor opción siempre será solicitar el apoyo y guía de una consultoría que tenga experiencia en implementación y certificación Cuando el S G S I ya esté en operación, de estos procesos. tendremos que conseguir evidencia de la aplicación de todo el proceso, A finales de diciembre de 2013, al previo a solicitar la auditoria de un menos 22,293 certificados I S O / I E C organismo certificador. Éste, por lo 27001:2005 (un crecimiento del general, dividirá la auditoria en dos 14%) fueron emitidos en 105 países y economías, dos más que en el año fases: - FA S E U N O . La revisión do- anterior. cumental que garantice la adecuada integración de los Los tres principales países para el procesos y controles. número total de certificados emiti- FA S E D O S . La revisión de los dos fueron Japón, India y el Reino registros para garantizar que Unido; mientras que Italia, la India y el S G S I opera con base en lo el Reino Unido fueron los tres prique se diseñó. meros para el crecimiento en el número de certificados. Después de la implementación Una vez que se emite el dictamen de certificación, deberá realizarse al menos una auditoria de seguimiento cada doce meses, por un periodo de tres años, hasta que expire el certificado; en el tercer año deberá realizarse de nuevo la auditoria de certificación para poder mantenerla. La actividad clave para garantizar la vigencia del certificado se centra en el monitoreo del cumplimiento del S G S I , así como en el reforzamiento de la cultura de seguridad de la información dentro de la compañía. Es importante que el personal se tatúe la camiseta y sea consciente de que la seguridad es responsabilidad de todos. Ahora, usted ya cuenta con una mejor idea de qué elementos debe 3 2016 - 2017 Ahora sí estamos listos para implementar los controles que sean necesarios con base en el análisis de riesgos. No hay que olvidar generar el plan de tratamiento de los riesgos y el estatuto de aplicabilidad (S O A por sus siglas en inglés). Es recomendable elaborar un documento central del cual se desprendan los controles y lineamientos al cual normalmente llamamos manual de políticas. Ya que tenemos lista toda nuestra documentación, estamos en posición de echar a andar todo nuestro S G S I , aunque siempre será recomendable comenzar a implementar una vez que se defina y documenten los controles, con la finalidad de tener un mayor tiempo de interaciones a fin de optimizar nuestros procesos. 2016 - 2017 el plan de trabajo. Posteriormente deberá comunicarse la política de seguridad de la información, y solicitar apoyo para la identificación de riesgos desde las estaciones de trabajo.