Muchas empresas piensan que implantar un SGSI basado en la UNE-ISO/IEC 27001 es un gran esfuerzo o que, directamente, no va con ellos. El problema de estas empresas es que acaban asumiendo que la gestión de la seguridad es algo inabordable, sin darse cuenta que es posible montar un SGSI correcto y obtener importantes mejoras en materia de seguridad con una dedicación adecuada. 
 
La máxima “La seguridad al 100% no existe”, es cierta,  pero también es cierto que la norma UNE-ISO/IEC 27001 establece una metodología y una serie de medidas que, al menos, nos permite mejorar de forma continua y por tanto, aumentar el porcentaje de seguridad de cualquier empresa.
 
 
Se entiende por Sistema de Seguridad de la información todo conjunto de datos organizados en poder de una entidad que posean valor para la misma, independientemente de la forma en que se guarde o transmita (escrita, en imágenes, oral, impresa en papel, almacenada electrónicamente, proyectada, enviada por correo, fax o e-mail, transmitida en conversaciones, etc.), de su origen (de la propia organización o de fuentes externas) o de la fecha de elaboración. Un sistema de Seguridad de la información tiene que cumplir los siguientes principios:
  • Disponibilidad. Los usuarios autorizados tienen acceso a la información y a sus activos asociados cuando lo requieran.
  • Integridad. La información y sus métodos de proceso son exactos y completos.
  • Confidencialidad. Sólo aquellos usuarios que estén autorizados pueden acceder a la información.
De manera muy resumida, para llevar a cabo la implantación de sistema de seguridad de la información debemos seguir los siguientes pasos:
 
Establecimiento del SGSI (PLAN)
Durante esta fase debemos de:
  • Definir el Alcance del SGSI.
  • Política de Seguridad del SGSI.
  • Metodología de Análisis de Riesgos. Son varias las herramientas disponibles en el mercado para realizar un Análisis de Riesgos. Entre ellas destacan MAGERIT, CRAMM, OCTAVE, etc. En cualquier caso, son herramientas complejas y, dependiendo de la estructura de nuestra organización, puede resultar más óptimo encomendar esta tarea a alguna consultora externa. El Análisis de Riesgos consiste en la identificación de los activos (datos, hardware, software, servicios, personal, etc) de valor de nuestra organización y la determinación del riesgo asociado a cada uno en base a las amenazas y vulnerabilidades los rodean. El objetivo del Análisis de Riesgo es obtener una visión global del riesgo al que se encuentran expuestos nuestros activos, en función de la probabilidad de que una amenaza pueda llegar a materializarse y el impacto que causaría en la organización.
  • Gestión del Riesgo. Implica clasificar los riesgos en aceptables y no aceptables. Lógicamente, la Gestión del Riesgo debe enfocarse hacia los riesgos que la organización no está dispuesta a aceptar, y se debe clarificar el tratamiento que se va a emplear hasta alcanzar un nivel de riesgo aceptable. Para tal efecto, la Norma ISO 27002 ofrece un compendio de buenas prácticas de seguridad que engloban 39 objetivos de control y 133 controles
  • Aprobación del Riesgo Residual. La Dirección debe aprobar formalmente el riesgo residual subyacente que ha quedado sin cubrir tras la selección de los controles.
  • Declaración de Aplicabilidad. Resulta ser el documento final, que muestra la selección de los controles aplicables que conforman el SGSI.

Implantación, Implementación y Operación (DO)
Básicamente, la implantación de un SGSI requiere:

  • Implantar el Plan de Tratamiento de Riesgos. Para ello, deberemos identificar los recursos necesarios, para implantar los controles seleccionados, y determinar cómo vamos a medir su eficacia.
  • Implantar políticas y procedimientos del SGSI.  
  • Formación y Concienciación del personal afectado. De nada sirve diseñar un buen SGSI, si no existe implicación por parte de todos los miembros de la organización. 

Seguimiento, supervisión y revisión del SGSI (CHECK)

  • Garantizar la eficiencia del SGSI.
  • Asegurar la adaptación del SGSI a los cambios. Toda revisión debe contemplar los cambios que hayan podido producirse en la organización y su entorno. Estos cambios pueden ser organizativos, de los procesos de negocio, de los activos e, incluso, de las amenazas y vulnerabilidades existentes.

 

Mantenimiento y mejora del SGSI (ACT)
En esta fase deberemos implantar las medidas correctivas, fruto de las revisiones efectuadas, y mejorar así el rendimiento del SGSI.
 
Beneficios de implantar la ISO 27001
 
Cumplimiento: Puede resultar extraño mencionar este beneficio en primer lugar, pero, generalmente, es el que demuestra el “rendimiento de la inversión” más rápidamente. Si una organización debe cumplir con diversas normas sobre protección de datos, privacidad y control de TI, la norma ISO 27001 aporta la metodología que permite hacerlo de la manera más eficiente.
 
Ventaja de comercialización: En un mercado cada vez más competitivo, la norma UNE-ISO/IEC 27001  es  un valor diferencial, especialmente si administra información sensible de sus clientes.
 
Asimismo, muchas empresas están requiriendo que sus proveedores tengan la ISO 27001 de Seguridad de la Información por ejemplo, en el sector aeronáutico es muy común.
 
Disminución de gastos: Generalmente, se considera la seguridad de la información como un costo sin una ganancia evidente. Sin embargo, hay una ganancia en tanto disminuye los gastos ocasionados por incidentes. Estos pueden venir ocasionados por caídas de la red, del equipo /servidor que se queda bloqueado, errores cometidos por los empleados o por ex empleados, ataques externos (virus, hacker)…
 
Ordenamiento de su negocio: Probablemente, éste sea el beneficio más subestimado; pero si su empresa ha tenido un crecimiento continuo durante los últimos años, es posible que tenga problemas para determinar quién decide qué cosas, quién es responsable de determinados activos de la información, quién debe autorizar el acceso a los sistemas de información, etc.
 
La norma ISO 27001 es especialmente útil para resolver estas cuestiones: le obligará a definir de forma muy precisa tanto las responsabilidades como las obligaciones y, de esta forma, ayudará a reforzar su organización interna.
 
Calidad a la seguridad: La implementación de un SGSI transforma la seguridad en una actividad de gestión. Este concepto permite transformar una serie de actividades más o menos técnicas y metódicas en un ciclo de vida gestionado y controlado.
 
Reduce riesgos: Partiendo del Análisis de Riesgo que impone la norma, hasta la implementación de los controles, el conjunto de acciones adoptadas reducirá al mínimo todo riesgo por robo, fraude, error humano (intencionado o no), mal uso de instalaciones y equipo a los cuales está expuesto el manejo de información…
 
Uno podría pensar que un SGSI ¿no deberá estar centrado en los ordenadores y servidores? En realidad, no. De hecho, se pueden tener medidas de seguridad de TI inmejorables, pero un sólo acto malicioso realizado por un administrador, un empleado con mala formación, un ex empleado… puede parar la actividad de la empresa. Este riesgo no tiene nada que ver con los equipos, está relacionado con personas, procesos, supervisión, etc. Es más, la información vital podría no estar en formato digital, sino en papel; por ejemplo, un importante contrato, planos, contraseñas impresas…
 
Desde mi punto de vista la seguridad de TI es el 60% seguridad de la información, el 40% restante es: seguridad física, gestión de recursos humanos, protección legal, organización, etc. El objetivo de la seguridad de la información es crear un sistema que tenga en cuenta todos los riesgos posibles sobre la seguridad de la información (relacionada o no con TI) e implementar controles integrales que reduzcan todo tipo de riesgos inaceptables.
 
La norma UNE-ISO/IEC 27001 ofrece 133 controles en su Anexo A los cuales se pueden agrupar de la siguiente manera:
  • Controles relacionados con TI: 46%
  • Controles relacionados con la organización o documentación: 30%
  • Controles sobre seguridad física: 9%
  •  Protección legal: 6%
  • Controles relacionados con la relación con proveedores y clientes: 5%
  • Controles sobre la gestión de recursos humanos: 4%
 
Por lo tanto, queda claro que la implantación de este tipo de norma no es algo exclusivo de los administradores de sistema o del informático de turno.
 
LOS 5 ERRORES DE SEGURIDAD TÍPICOS
 
No probar las copias de seguridad: parece lógico, no? Se supone que una copia de seguridad está para salvarnos cuando ya el daño se ha producido y por tanto, no es el mejor momento para comprobar que las copias se estaban realizando bien. Existen software de gestión de copias que permiten una recuperación mucho más rápida o directa que otros. Entre elegir una copia en DVD que genere 15 DVD o comprar lo último en copias de seguridad hay una diferencia económica importante, pero ante una parada de los sistemas el tiempo puede ser crítico.
 
No olvidemos que es vital sacar los soportes de copia fuera del sitio donde se encuentran los sistemas informáticos que se pretenden proteger. Si las copias no salen fuera, estaremos reduciendo las posibilidades de daño frente a incidentes como virus o avería que impidan el acceso a la información en los sistemas. Si además, las copias salen fuera de las instalaciones, estaremos garantizando la recuperación frente a amenazas del tipo incendio, inundación o evacuación de instalaciones.
 
Incumplimiento legal: Un alto porcentaje de las empresas españolas no cumple con la legislación vigente en lo referente a propiedad intelectual y Ley orgánica de protección de datos. Está muy extendido el comentario “…para que gastar en una licencia original cuando me la puedo descargar de la web…” Esto supone una gran fuente de riesgo ya que no sabemos con exactitud que estamos instalando y que garantía tenemos que se mantengan la integridad, disponibilidad y confidencialidad de la información que se gestione.
 
Falta de bloqueo acceso físico / lógico a los sistemas informáticos: cuanta más gente tenga acceso a determinada información más probabilidades de que se produzca daños. Por tanto, evitar y controlar todo lo posible el acceso físico a donde se archiva la información vía sea en soporte papel o en soporte informático.
 
 Acceso libre por la web, de descarga e instalación: La posibilidad de que un usuario disponga de total libertad de navegación por la web, de descarga e instalación de cualquier contenido o sw supone una fuente riesgo increíble que puede suponer la parada de una empresa, simplemente porque un virus mande de vacaciones al servidor o los equipos críticos.
 
Falta de seguridad física: No son pocas las ocasiones en las que llegamos a una empresa y nos encontramos que el servidor central (donde está toda la información crucial) está encima de una zona de paso sin ningún tipo de limitación de acceso físico o en un pasillo o en el cuarto de la limpieza…No parece lógico que el soporte que contiene toda la información de tu empresa esté sin ningún tipo de seguridad ¿verdad?

 

Ángel Hidalgo
Consultor Senior en IMP Consultores.