¿Qué es ISO 27001?
Es el estándar más popular que proporciona requisitos para un Sistema de Gestión de Seguridad de la Información (SGSI). Un SGSI es un marco de políticas y procedimientos que involucra personas, leyes, controles y sistemas de Tecnología de la Información (TI) relacionados con la gestión del riesgo de la información de una organización.
¿Qué involucra tener un SGSI implementado?
Para lograr implementar un Sistema de Seguridad de la Información, se requiere establecer políticas, procesos y sistemas para gestionar los riesgos asociados a los datos de una organización, con el objetivo de lograr niveles aceptables de riesgos asociados a la seguridad de la información.
La gestión de la seguridad de la información no son solamente conlleva soluciones informáticas como un cortafuegos (firewall) o una solución de prevención de intrusos (Intrussion Prevension System – IPS), también involucra seguridad física, como restricciones de acceso a los equipos que almacenan la información, políticas de recursos humanos o la creación de planes de recuperación en caso de desastres.
Hay varias maneras de implementar un sistema, la más común es la metodología basada en los principios de PDAC, que proviene del inglés: Plan – Do – Act – Check. En español vendría siendo PHVA (Planificar, Hacer, Verificar, Actuar).
En el caso particular de ISO 27001, la estructura básica es:
“Evaluación y tratamiento de riesgos” > “implementación de medidas de seguridad”
¿Qué significa para la empresa contar con un SGSI?
Un SGI vivo significa: Nuestra empresa se preocupa por los datos de sus clientes, sus socios de negocios y los datos propios. Dado el caso que el sistema se vea comprometido por un ataque, contamos con mecanismos para contrarrestar el ataque, pero también tendremos nuestros servicios de vuelta operativos en tiempo necesario para no perjudicar a nuestros clientes y socios de negocios.
Dentro de los beneficios de contar con un sistema de SGSI basado en ISO 27001, podemos indicar:
- Cumplir con requerimientos legales – las leyes, normativas y requerimientos contractuales relacionados con la seguridad de la información cada vez son más frecuentes. Implementando un SGSI o una certificación ISO 27001 la empresa estaría cumpliendo con la mayoría de estas condiciones contracuales o reglamentaciones jurídicas, ya que esta norma le proporciona una metodología ideal para cumplir con todos ellos.
- Diferenciación de la competencia – contar con una certificación ISO 27001 siempre será una ventaja sobre tus competidores que no la tengan. Este concepto, también opera a la inversa: Si todos tus competidores lo tienen y su empresa no, seguramente estará en desventaja.
- Ahorros – la filosofía principal de ISO 27001 es reducir o hasta evitar que se produzcan incidentes de seguridad, y cada incidente, independientemente de su tamaño tiene un impacto económico; es por testo, que evitándolos su empresa va a ahorrar mucho dinero. El costo promedio de un incidente informático que termine en una divulgación no autorizada está alrededor de los $150.00 por persona/registro, Ejm: la divulgación de los registros de 20,000 personas usuarias de una plataforma podría causarle pérdidas a los dueños de la plataforma por $3,000,000.00.
- Facilita la obtención de una póliza de seguro contra incidentes informáticos – dadas las condiciones actuales y el valor que tienen los datos de las personas, las aseguradoras han creado un producto orientado a cubrir a sus asegurados contra estos ataques. Para lograr esta cobertura, se requiere evidenciar condiciones mínimas de seguridad informática. Contando con una certificación ISO 27001, esta aprobación se facilita enormemente.
- Organización, orden y estructura – los tiempo vigentes y los crécimientos que se están evidenciando indican que las empresas actuales no tienen tiempo para hacer una pausa y definir sus procesos y procedimientos; como consecuencia, muchas veces los empleados no saben qué hay que hacer, cuándo y quién la persona responsable de hacerlo. La implementación de ISO 27001 ayuda a resolver este tipo de situaciones ya que alienta a las empresas a escribir sus principales procesos, estén relacionados con la seguridad informática o no, lo que les permite aumentar la eficiencia de sus colaboradores.
¿Cuánto tiempo toma implementar un Sistema de Gestión de Seguridad de la Información?
Un SGSI se puede implementar en 6 meses. Estos tiempos son muy subjetivos ya que son proporcionales al grado de madurez de la empresa y sus gestión de la seguridad informática. En una empresa que no cuenta con nada, los tiempo podrían ser fácilmente 10-12 meses.
Un proyecto de este tipo requiere la participación de todas las áreas de la organización que se vean impactadas por el sistema.
Existen varios Sistemas de Gestión de Seguridad de la Información, dentro los mas populares están:
- SOGP: Tiene su raíz en el Foro de Seguridad Informática (Information Security Forum – ISF) y los estándares de buenas prácticas (Standard of Good Practices – SOGP)
- ISM3: Titulada Information Security Management Maturity Model (ISM3). Este sistema está construido en estándares como ITIL, ISO 20000, ISO 9001, CMM, ISO/IEC 27001, e información general de conceptos de seguridad de los gobiernos. ISM3 uede ser usado como plantilla para un ISO 9001 compliant. Mientras que la ISO/IEC 27001 está basada en controles. ISM3 está basada en proceso e incluye métricas de proceso.
- COBIT: Es un sistema un poco más amplio o desde una perspectiva más general de la seguridad, comparado con ISO 27001.
¿Cómo se obtiene la certificación ISO 27001?
Esto significa, que una vez implementado el SGSI, se debe pasar por una auditoría externa por una entidad certificadora. Dependiendo de la ubicación geográfica en que se encuentre la empresa, así habrán distintas entidades certificadoras que podrían brindar el servicio.
ISO 27001 se considera una norma certificable. La certificación de un SGSI es un proceso mediante el cual una entidad certificadora realizar una auditoría externa. Esta entidad certificadora es independiente y ha obtenido con antelación su condición de entidad certificadora por el Foro Internacional de Certificación. Luego de la auditoría, la entidad certificadora presenta un reporte indicando el grado de implantación real del sistema y su eficacia y, en caso positivo, emite el correspondiente certificado.
Protección de la Confidencialidad, Integridad y Disponibilidad de la Información
- Confidencialidad: La información de la empresa, de sus colaboradores y sus proveedores debe protegerse. La Divulgación de la información confidencial de una organización podría ser un golpe letal. Podríamos estar hablando de información que permite a la competencia realizar el mismo producto o servicio con la misma calidad. Adicionalmente, en las relaciones de negocios las organizaciones también tienen acceso a información confidencial de sus clientes y sus socios de negocios. Muchas de estas transacciones comprometen, por contrato, a las organizaciones a proteger los datos y una divulgación no autorizada podría terminar en una demanda por incumplimiento de contrato.
- Integridad: Tener la cerrteza de que la información que se tiene es veraz y que no ha sido alterada, es básico. Si no podemos confiar en la integridad de nuestros datos, el nivel de incertidumbre a la hora de tomar decisiones sería altísimo.
- Disponibilidad: Tener los datos almacenados no es suficiente, hay que tener los datos almacenados y disponibles para que sea accedidos, analizados y utilizados para tomar decisiones. Esta disponibilidad no es solo interna, también externa. En los casos donde las organizaciones brindan servicios vía web, los clientes exigirán que los mismos estén disponibles. Es muy común contar con obligaciones de mantener los servicios disponibles mínimo cierta cantidad de tiempo, de lo contrario estarían en incumplimiento de contrato.
¿Cómo está compuesta la norma ISO 27001?
En su parte inicial la norma esta compuesta por 10 puntos:
- Objeto y campo de aplicación: Se detalla cual es la finalidad de la norma y el uso respectivo dentro de una organización.
- Referencias normativas
- Término y definiciones: Términos y definiciones usados a lo largo de toda la norma
- Contexto de la organización: Determinar las necesidades y expectativas dentro y fuera de la organización que afecten, ya sea directa o indirectamente, al sistema de gestión de la seguridad de la información. Además, definir el alcance.
- Liderazgo: Habla sobre la importancia de la alta dirección y su compromiso con el sistema de gestión, estableciendo políticas, asegurando la integración de los requisitos del sistema de seguridad en los procesos de la organización, así como los recursos necesarios para su implementación y operatividad.
- Planificación: Se deben valorar, analizar y evaluar los riesgos de seguridad de acuerdo a los criterios de aceptación de riesgos, adicionalmente se debe dar un tratamiento a los riesgos de la seguridad de la información. Los objetivos y los planes para lograr dichos objetivos también se deben definir en este punto.
- Soporte: Se refiere a los recursos que la organización ha destinados para la competencia de personal, la concientización de las partes interesadas y la importancia sobre la comunicación en la organización. La importancia de la información documentada, también se trata en este punto.
- Operación: La operación de la organización debe estar fundamentada en un plan y en tener control de la misma, además una medición de los riesgos posibles y cómo deben ser tratados.
- Evaluación de desempeño: De manera periódica se debe realizar un seguimiento, medición, análisis y evaluación del sistema de gestión de la información. Es por esto la importancia del ciclo PHVA (Planificar, Hacer, Verificar, Actuar)
- Mejora: Cuando se ubican no conformidades deben ser tratadas, para ello se crean las acciones correctivas y por ende la mejora continua.