martes, 22 de julio de 2014

ISO 27001:2013 Consejos Prácticos de Implementación


Consejos prácticos de Implementación con enfoque a la Alta Dirección

Seguridad de la Información = Más controles?

La Alta Dirección termina delegando el proyecto al área de Tecnologías de Información (TI)  cuando en la realidad debe ser un proyecto transversal para toda la organización. La selección de los controles es un paso, es solamente una cláusula de la norma. ISO 27001:2013.
Me han preguntado en varias ocasiones si es posible aplicar la norma solo en el área de TI y la respuesta es que la norma no se escribió pensando solo en el área de IT, la norma existe para enseñarnos a Implementar un Sistema de Gestión que incorporará los mecanismos necesarios para mitigar los riesgos asociados a la confidencialidad, integridad y disponibilidad de la información de la organización, información que fluye dentro de los procesos propios de la organización, entre ellos los procesos de  valor que son los que interactúan con los clientes y algunas partes interesadas y los procesos de apoyo que por su naturaleza permiten a los de valor cumplir su propósito dentro de la organización.  Podemos blindar el área de TI pero descuidamos los procesos que realmente interactúan con el cliente que es donde realmente se captura la información.  El área de TI dentro de una organización es el equivalente al  sistema nervioso del cuerpo humano, es un área de vital importancia, por allí fluye mucha información.

¿Por dónde debo arrancar? ¿Qué órden sigo?


No olvidemos que, la información puede ser representada en distintos medios, uno de ellos es el medio electrónico, la información puede estar en medios escritos, puede estar en videos corporativos dentro de la intranet, en papel, en la mente de los colaboradores, etc.
A un nivel muy macro, para implementar un Sistema de Gestión de Seguridaad de la Información sugiero tener claros los siguientes conceptos: (un paso no necesariamente incluye al otro es solamente una idea para entenderlo en forma simple).
  1. Establecer el Sistema de Gestión de Seguridad de la Información
  2. Gestionar los Riesgos de Seguridad de la Información (Identificación, valoración, tratamiento)
  3. Seleccionar los Controles de Seguridad de la Información.

1. Sistema de Gestión de Seguridad de la Información


Aunque al final se terminan implementando varios controles de seguridad de la información, no sirve de nada solamente implementarlos si no tenemos en cuenta que lo que busca la norma ISO 27001 es crear un Sistema de Gestión de Seguridad de la Información con el enfoque a procesos que mejor se adecúe a la organización. La norma cuenta con un Anexo en el cual encontramos 114 controles que pueden ser seleccionaros al momento de Gestionar los riesgos.


Un SGSI debe ser planeado, implementado, medido/verificado y ser constantemente mejorado, sin importar el enfoque de procesos seleccionado.  Para ello se debe contar con políticas que son desplegadas a en la organización por medio de procedimientos y sus respectivos registros en las distintas etapas. Se debe dejar información documentada útil para validar el cumplimiento de cada etapa.
Por ejemplo, es una buena práctica hacer Auditorías internas al SGSI (Cláusula 9.1 ISO 27001:2013) donde queden documentados como registros los distintos hallazgos y los planes de acción generados.  Si nos vamos a los controles en el Anexo A, no encontraremos ningún control relacionado a las Auditorías Internas.  Sabe Porqué?   Porque hacer Auditorías Internas es parte del Sistema de Gestión no simplemente parte de los controles de Seguridad de la Información, podríamos pensar que dicho procedimiento es un macro control del SGSI.

2. Gestión de Riesgos de Seguridad de la Información


Un paso de suma importancia al implementar un SGSI es el análisis de riesgos de seguridad de la información y es una buena práctica dejar un procedimiento documentado donde se indique claramente como se hace, para que dicho procedimiento pueda ser reutilizado las veces que sea necesario.
En una manera muy simple de explicar con el fin de que se entienda, a nivel macro y sin entrar en tecnicismos ni detalles, los pasos son los siguientes: (no es una guía de implementación, tampoco una traducción de los pasos de la norma, para referencia detallada favor leer la norma ISO/IEC 27001:2013 y LA ISO/IEC 27005:2011 y donde corresponda se hace referencia a la cláusula de la norma para que pueda entender más a detalle)
[1] Como parte del proceso, primero se deben crear los criterios de riesgo donde parte de lo que estará indicado serán los niveles generales de riesgos aceptados por la organización, normalmente se define una escala numérica relaciona a Alto, Medio, Bajo.  (ISO/IEC 27001:2013 6.1.2)
[2] Luego se deben inventariar los activos de riesgo con información sensible, se deben evaluar/calcular los niveles de riesgo a los cuales están expuestos dichos activos (uno por uno o agrupados en grupos similares), se deben tomar en cuenta los controles de seguridad de información actuales con los que cuente la organización. El resultado se compara contra los criterios dados en [1] y si están sobre la escala de riesgos aceptables, se debe buscar la forma de disminuir dicho riesgo continuando en el siguiente paso.
[3] Para disminuir el nivel actual de riesgo se deben seleccionar opciones para el tratamiento del riesgo (aquí entran los controles del Anexo A y controles adicionales de otras fuentes que la organización considere conveniente) (ISO/IEC 27001:2013 6.1.3)
[4] Luego de seleccionar dichas opciones de tratamiento de riesgo debemos re-calcular el nivel de riesgo y comparar contra los parámetros definidos en [1] y los resultados previos de [2], si el nivel de riesgo sigue estando arriba de los parámetros aceptables, se pueden seleccionar/crear más controles regresando a [3] y el proceso se repite hasta llegar a los niveles de riesgo aceptado por la organización.  Normalmente no se llega a riesgo 0, siempre quedará cierto nivel de riesgo expuesto al cual se denomina riesgo residual.
[5] En función del Anexo A, con todos los controles seleccionados en [4], los excluidos y los nuevos si hubieren, se debe crear un reporte denominado Declaración de Aplicabilidad (SOA por sus Siglas en Ingles) donde por cada control se deja justificado el motivo ya sea que se implemente o no. (ISO/IEC 27001:2013 6.1.3.d)
[6] Se debe generar un plan para implementar los indicado en el SOA al cual denominaremos Plan de Tratamiento del Riesgo de Seguridad de la Información, dicho plan incluirá el presupuesto necesario para la implementación, debe monitorearse la ejecución de dicho plan. (ISO/IEC 27001:2013 6.1.3.e)
[7] Se debe obtener por parte de los dueños de los riesgos, la aprobación para la Implementación del Plan de Tratamiento de Riesgos y la aceptación de los riesgos residuales relacionados a Seguridad de la Información. (ISO/IEC 27001:2013 6.1.3.f)

3. Selección de controles de Seguridad de la Información

Si usted empieza por aquí estará cometiendo el error típico que he visto en muchas ocasiones, donde empiezan por los controles.  La selección de los controles es solamente un paso que es parte de la Gestión de Riesgos de Seguridad de la Información, le sugiero iniciar por [1. Sistema de Gestión de Seguridad de la Información].
Les adjuntamos un video sobre los puntos mencionados
 


Elder A. Guerra V.
INLAC Latam Delegation Leader
ISO/IEC JTC 1/SC27/WG1
Information Security Management Systems 




Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)