El Sistema de Gestión de la Seguridad de la Información (ISMS), o ISO/IEC 27001, es una norma voluntaria reconocida internacionalmente para gestionar la seguridad de los datos y los sistemas de información que es aplicable a organizaciones de diferentes tamaños y que operan en cualquier sector.
Las ventajas más evidentes de un modelo ISMS son las siguientes
– Proporciona una visión global y central de la seguridad corporativa que va más allá del perímetro de seguridad informática para incluir a las personas y los procesos según un enfoque holístico;
– Es un modelo que se adapta a la evolución temporal de las amenazas y, por tanto, a los rápidos cambios típicos de los sistemas de información actuales;
– Devuelve una visión correcta del estado de la seguridad y se convierte así en la herramienta fundamental para optimizar la asignación presupuestaria, dirigiéndola hacia las iniciativas que devuelven el mayor rendimiento en términos de reducción de riesgos;
– La aplicación de este modelo de controles también permite en muchos casos responder a las obligaciones reglamentarias externas que normalmente exigen una serie de medidas que no son más que un subconjunto de los controles posibles del marco.
– De hecho, la aplicación de controles permite disponer de una herramienta eficaz para la gobernanza de la seguridad corporativa, e ISO/IEC 27001 es sin duda una de las normas más completas, compuesta por una innumerable colección de indicaciones y controles que deben seleccionarse cuidadosamente y declinarse eligiendo las medidas pertinentes que realmente pueda aplicar la organización.
La norma ISO 27001: qué es y qué requisitos establece
El anexo A de la norma ISO/IEC 27001 contiene los objetivos y controles, es decir, las áreas temáticas consideradas y los controles que deben aplicarse (las 14 áreas temáticas se desglosan posteriormente en controles de nivel inferior, más específicos, en la norma ISO/IEC27002). Las áreas del conjunto de la norma ISO/IEC 27001 son las 14 siguientes:
A.5: política de seguridad de la información
A.6: organización de la seguridad de la información
A.7: seguridad de los recursos humanos
A.8: gestión de activos
A.9: control de acceso
A.10: criptografía
A.11: seguridad física y medioambiental
A.12: seguridad de las operaciones
A.13: seguridad de las comunicaciones
A.14: adquisición, desarrollo y mantenimiento de sistemas
A.15: relaciones con los proveedores
A.16: gestión de incidentes de seguridad de la información
A.17: aspectos de seguridad de la información de la gestión de la continuidad de las actividades
A.18: cumplimiento
A continuación, cada una de estas secciones contiene subáreas que proporcionan directrices sin llegar, no obstante, a especificaciones estrictas sobre las medidas de seguridad que deben elegirse y adaptarse al caso concreto.
Cómo estructurar un sistema de gestión de la seguridad de la información ISMS)
Por lo dicho anteriormente, el impacto del ISMS (sistema de gestión de la seguridad de la información) es transversal y generalizado a toda la organización, por lo que el apoyo de la alta dirección es un requisito previo fundamental para iniciar el proyecto.
Dicho esto, es posible desglosar el proyecto en varias fases. Analicémoslas en detalle.
Estructuración de un ISMS: objetivo y estimación del proyecto
Esta es la primera etapa del proyecto en la que es necesario estimar su alcance y calcular los costes de implantación y mantenimiento.
En este caso, el tamaño y la madurez de la empresa determinan enfoques muy diferentes: se puede partir de un perímetro que incluya toda la organización y un alcance limitado, comenzando quizás por los sistemas de mayor riesgo, y considerar la posibilidad de ampliarlo progresivamente en oleadas de proyectos posteriores.
Otras variables a tener en cuenta son el apoyo de otras estructuras y oficinas de la empresa que no se limitan a las oficinas de seguridad, como puede verse en la lista de comprobación que también examina a las personas y los procesos, tocando así muchas áreas de la empresa, incluidos el departamento de recursos humanos, el departamento jurídico, el departamento de compras, etc.
Contar con el compromiso adecuado de todas las partes interesadas y de la dirección será esencial para el éxito del proyecto.
Otro aspecto se refiere a los métodos de mejora continua que no están directamente explícitos en la norma: se puede elegir por tanto una de las posibles metodologías iterativas, incluida la PDCA (Planificar-Hacer-Verificar-Actuar), que es una de las más comunes.
PDCA consiste en una aplicación orientada a la mejora continua para una gestión eficaz y adaptativa que sigue la evolución del sistema de información.
Las cuatro fases del PDCA consisten en:
Planificar
Establecer el plan del ISMS definiendo su alcance y objetivos, realizar la evaluación de riesgos, establecer el plan y los procedimientos para hacer frente a los riesgos;
Ejecutar
Aplicación del plan del ISMS, puesta en marcha del procedimiento;
Comprobar
Fase de seguimiento y corrección del plan ISMS, que se realiza mediante auditorías internas y cuyos resultados se comunican a la alta dirección;
Actuar
Mantenimiento y mejora del plan mediante acciones correctivas.
De hecho, es muy importante adoptar el ciclo descrito anteriormente porque refleja la naturaleza evolutiva de las amenazas que, por lo tanto, requieren una reevaluación y adaptación continuas.
También merece la pena destacar la naturaleza basada en el riesgo que es, de hecho, el motor fundamental de la evaluación: el objetivo último de la seguridad de una organización es siempre garantizar una contención adecuada del riesgo, que debe estar por debajo del umbral de riesgo establecido por el consejo, que puede diferir en función del apetito de riesgo de la empresa.
Estructurar un ISMS: crear el equipo
Esta es la fase del proyecto en la que se estima el esfuerzo necesario y se prepara el equipo responsable de la gestión del proyecto.
Un ISMS requiere un gran conocimiento y experiencia del marco, por lo que es concebible recurrir a profesionales externos que tengan un historial en proyectos de este tipo y, al mismo tiempo, a altos directivos con autoridad suficiente para orquestar todos los recursos y estructuras implicados.
Estructuración de un ISMS: desarrollo del proyecto y selección de los controles
En primer lugar, es necesario identificar los controles, procesos y procedimientos que ya rigen el ámbito en el que se desea implantar la norma ISO27001 y todos los activos y actores implicados: clientes, datos, socios, oficinas, etc.
Una vez identificadas estas entidades, hay que seleccionar los controles que se van a implantar y todas las métricas necesarias que se utilizarán a efectos de seguimiento.
La selección de los controles y su declinación en el caso concreto no puede generalizarse porque depende del sector en el que opere la empresa, de su tamaño, de las tecnologías que utilice y de los recursos de que disponga la empresa para implantar y gestionar estos controles.
De hecho, hay que tener mucho cuidado con el número de controles que se utilizan para no socavar la “aceptabilidad psicológica” de los usuarios y no sobrecargar los procesos operativos. La misma rama retroactiva del PDCA descrita anteriormente también debe servir para perfeccionar y, si es necesario, considerar la eliminación de los controles que resulten ineficaces o pierdan su importancia con el paso del tiempo.
Estructuración de un ISMS: desarrollo del proyecto y estructura del documento
Una vez establecidos el alcance y los controles, la gestión del ISMS debe incrustarse en los procesos empresariales y, a continuación, adaptar el proceso de gestión de la calidad PDCA, formalizándolo siguiendo una estructura documental bastante racionalizada que incluya al menos una política, una norma y una guía operativa.
Estructurar un ISMS: desarrollo del proyecto y análisis de riesgos
En el corazón del ISMS se encuentra el proceso de análisis y evaluación de riesgos, que permite valorar la peligrosidad de las amenazas y establecer así posibles contramedidas.
En este caso, la sugerencia es adoptar un enfoque ya utilizado en la empresa, si existe, o crear uno nuevo que sea bastante sencillo para no complicar excesivamente el proyecto
Ser capaz de identificar las amenazas relevantes y sopesarlas con precisión es un aspecto muy difícil que suele requerir un trabajo coordinado entre los especialistas en seguridad.
Las fases del análisis de riesgos
Identificación de riesgos
Esta es la fase en la que deben surgir los posibles riesgos que, de materializarse, conducirían a un compromiso en términos de integridad, confidencialidad o disponibilidad de los datos;
Medición del riesgo
Una vez identificados los posibles riesgos, hay que ponderarlos en función del impacto que tendrían en la organización: puede tratarse de impactos monetarios cuantificables (normalmente en el caso de pérdidas materiales) o de impactos intangibles, como en el caso de pérdidas de reputación;
Ponderación del riesgo
En este paso, los resultados de la fase anterior se comparan con los criterios de riesgo establecidos para establecer las prioridades y los métodos para hacer frente al riesgo.
En última instancia, entonces, se decide cómo tratar el riesgo identificado y si se debe tomar las siguientes decisiones:
-aceptar el riesgo si se considera que no tiene un impacto sustancial en el riesgo global;
-transferir el riesgo, cuando sea posible, si por ejemplo sería más fácil que tener que compensarlo con acciones de mitigación;
-cancelar el riesgo, por ejemplo interrumpiendo un servicio si el coste de corregir el riesgo es excesivo en comparación con el beneficio real de ese servicio;
-mitigar el riesgo, es decir, aplicar uno o varios controles para reducir el riesgo a un valor que se considere aceptable.
Estructuración de un ISMS: evaluación
A intervalos regulares es importante programar fases de revisión y seguimiento del ISMS para evaluar su eficacia y la adecuación de los controles al entorno actual de amenazas que podría modificarse significativamente con el tiempo.
Desde este punto de vista, la calidad con la que se realiza la auditoría y las métricas elegidas se convierten en el punto clave para evaluar el proyecto. En particular, cuanto más objetivas y significativas sean las métricas del control examinado, más veraz y sencillo será el análisis.
Conclusiones
El ISMS constituye un punto de referencia en la implantación de un marco de control de la seguridad corporativa y puede convertirse en uno de los pilares fundamentales que garanticen un enfoque estructurado, continuo y orientado al riesgo en toda la organización corporativa.
Un ámbito de aplicación correctamente ponderado, los recursos y competencias necesarios y un fuerte apoyo de la alta dirección son los elementos clave para el éxito del ISMS.
@RESERVADOS TODOS LOS DERECHOS
