ISO 27001:2013 CONSEJOS PRÁCTICOS DE IMPLEMENTACIÓN CON ENFOQUE A LA ALTA DIRECCIÓN

August 4, 2021

¿Seguridad de la información = más controles?

La Alta Dirección termina delegando el proyecto al área de Tecnologías de Información (TI)  cuando en la realidad debe ser un proyecto transversal para toda la organización. La selección de los controles es un paso, es solamente una cláusula de la norma. ISO 27001:2013.

Me han preguntado en varias ocasiones si es posible aplicar la norma solo en el área de Tecnologías de la Información y la respuesta es que la norma no se escribió pensando solo en el área de TI.

La norma existe para enseñarnos a Implementar un Sistema de Gestión que incorporará los mecanismos necesarios para mitigar los riesgos asociados a la confidencialidad, integridad y disponibilidad de la información de la organización.

Información que fluye dentro de los procesos propios de la organización, entre ellos los procesos de  valor que son los que interactúan con los clientes y algunas partes interesadas y los procesos de apoyo que por su naturaleza permiten a los de valor cumplir su propósito dentro de la organización.  Podemos blindar el área de TI, pero descuidamos los procesos que realmente interactúan con el cliente que es donde realmente se captura la información.  El área de TI dentro de una organización es el equivalente al  sistema nervioso del cuerpo humano, es un área de vital importancia, por allí fluye mucha información.

¿Por dónde debo arrancar? ¿Qué orden sigo?

No olvidemos que, la información puede ser representada en distintos medios, uno de ellos es el medio electrónico, la información puede estar en medios escritos, puede estar en videos corporativos dentro de la intranet, en papel, en la mente de los colaboradores, etc.

A un nivel muy macro, para implementar un Sistema de Gestión de Seguridad de la Información sugiero tener claros los siguientes conceptos: (un paso no necesariamente incluye al otro es solamente una idea para entenderlo en forma simple).

·       Establecer el Sistema de Gestión de Seguridad de la Información

·       Gestionar los Riesgos de Seguridad de la Información (Identificación, valoración, tratamiento)

·       Seleccionar los Controles de Seguridad de la Información.

Sistema de Gestión de Seguridad de la Información

Aunque al final se terminan implementando varios controles de seguridad de la información, no sirve de nada solamente implementarlos si no tenemos en cuenta que lo que busca la norma ISO27001 es crear un Sistema de Gestión de Seguridad de la Información con el enfoque a procesos que mejor se adecúe a la organización.

La norma cuenta con un Anexo en el cual encontramos 114 controles que pueden ser seleccionaros al momento de Gestionar los riesgos.

Un SGSI debe ser planeado, implementado, medido/verificado y ser constantemente mejorado, sin importar el enfoque de procesos seleccionados.

Para ello se debe contar con políticas que son desplegadas a en la organización por medio de procedimientos y sus respectivos registros en las distintas etapas. Se debe dejar información documentada útil para validar el cumplimiento de cada etapa.

Por ejemplo, es una buena práctica hacer Auditorías internas al SGSI (Cláusula 9.1 ISO 27001:2013) donde queden documentados como registros los distintos hallazgos y los planes de acción generados.  Si nos vamos a los controles en el Anexo A, no encontraremos ningún control relacionado con las Auditorías Internas. ¿Sabes por qué? Porque hacer Auditorías Internas es parte del Sistema de Gestión no simplemente parte de los controles de Seguridad de la Información, podríamos pensar que dicho procedimiento es un macro control del SGSI.

Gestión de Riesgos de Seguridad de la Información

 

Un paso de suma importancia al implementar un SGSI es el análisis de riesgos de seguridad de la información y es una buena práctica dejar un procedimiento documentado donde se indique claramente como se hace, para que dicho procedimiento pueda ser reutilizado las veces que sea necesario.

En una manera muy simple de explicar con el finde que se entienda, a nivel macro y sin entrar en tecnicismos ni detalles, los pasos son los siguientes: (no es una guía de implementación, tampoco una traducción de los pasos de la norma, para referencia detallada favor leer la norma ISO/IEC 27001:2013 y LA ISO/IEC 27005:2018 y donde corresponda se hace referencia a la cláusula de la norma para que pueda entender más a detalle)

[1] Como parte del proceso, primero se deben crearlos criterios de riesgo donde parte de lo que estará indicado serán los niveles generales de riesgos aceptados por la organización, normalmente se define una escala numérica relaciona a Alto, Medio, Bajo. (ISO/IEC 27001:2013 6.1.2)

[2] Luego se deben inventariar los activos de riesgo con información sensible, se deben evaluar/calcular los niveles de riesgo a los cuales están expuestos dichos activos (uno por uno o agrupados en grupos similares), se deben tomar en cuenta los controles de seguridad de información actuales con los que cuente la organización. El resultado se compara contra los criterios dados en [1] y si están sobre la escala de riesgos aceptables, se debe buscar la forma de disminuir dicho riesgo continuando en el siguiente paso.

[3] Para disminuir el nivel actual de riesgo se deben seleccionar opciones para el tratamiento del riesgo (aquí entran los controles del Anexo A y controles adicionales de otras fuentes que la organización considere conveniente) (ISO/IEC 27001:2013 6.1.3)

[4] Luego de seleccionar dichas opciones de tratamiento de riesgo debemos recalcular el nivel de riesgo y comparar contra los parámetros definidos en [1] y los resultados previos de [2], si el nivel de riesgo sigue estando arriba de los parámetros aceptables, se pueden seleccionar/crear más controles regresando a [3] y el proceso se repite hasta llegar a los niveles de riesgo aceptado por la organización. Normalmente no se llega a riesgo 0, siempre quedará cierto nivel de riesgo expuesto al cual se denomina riesgo residual.

[5] En función del Anexo A, con todos los controles seleccionados en [4], los excluidos y los nuevos si hubiere, se debe crear un reporte denominado Declaración de Aplicabilidad (SOA por sus Siglas en Ingles) donde por cada control se deja justificado el motivo ya sea que se implemente o no. (ISO/IEC27001:2013 6.1.3.d)

[6] Se debe generar un plan para implementar los indicados en el SOA al cual denominaremos Plan de Tratamiento del Riesgo de Seguridad de la Información, dicho plan incluirá el presupuesto necesario para la implementación, debe monitorearse la ejecución de dicho plan. (ISO/IEC27001:2013 6.1.3.e)

[7] Se debe obtener por parte de los dueños de los riesgos, la aprobación para la Implementación del Plan de Tratamiento de Riesgos y la aceptación de los riesgos residuales relacionados con Seguridad de la Información. (ISO/IEC 27001:2013 6.1.3.f)

Selección de controles de Seguridad de la Información

A lo largo de mi experiencia  sobre la familia de normas ISO 27000 en distintos países de América Latina, y luego de implementar  Sistemas de Gestión de Seguridad de la Información (SGSI) en distintos sectores, he podido observar que un error típico al hablar de seguridad de la información es pensar que se resuelve con más hardware o con más software.

Si usted empieza por aquí estará cometiendo el error típico que he visto en muchas ocasiones, donde empiezan por los controles.  La selección de los controles es solamente un paso que es parte de la Gestión de Riesgos de Seguridad de la Información, le sugiero iniciar por el Sistema de Gestión de Seguridad de la Información.

Por: Elder A. Guerra V.

CEO ES Consulting

INLAC Registered Expert ISO/IEC JTC 1/SC27/WG1Information security, cybersecurity and privacy protection