SGSI

Información fundamental sobre el significado y sentido de implantación y mantenimento de los Sistemas de Gestión de la Seguridad de la Información


Introducción

Independientemente del tipo de actividad y tamaño, cualquier organización recopila, procesa, almacena y transmite información mediante el uso y aplicación de procesos, sistemas, redes y personas internos y/o externos.

Todos ellos son activos de información esenciales para lograr los objetivos de la organización. 

En función del contexto (tipo de industria, entorno de actuación, ...) y de cada momento particular en que se desarrollan sus actividades, las organizaciones están inevitablemente expuestas a situaciones de riesgo en base a diversos factores que pueden afectar y que, de hecho afectan, negativamente a los activos de información más necesarios. 

La supervivencia de las organizaciones depende en gran medida de una correcta identificación de los factores más relevantes y la apropiada valoración del grado de incertidumbre asociado a la posibilidad real de introducir efectos negativos en los activos de información y la consecución de los objetivos de la organización. 

La actuación de las gerencias de las organizaciones para la gestión anticipada y proporcionada de estos riesgos conlleva finalmente a estrategías adecuadas para evitar, transferir o reducir el nivel de exposición de los activos de información mediante la implementación de medidas factibles en coste/eficacia teniendo en consideración las ya existentes y el nivel de esfuerzo en seguridad que cada organización puede aplicar partiendo de unos mínimos.


¿Qué es un SGSI?



Confidencialidad: la información no se pone a disposición ni se revela a individuos, entidades o procesos no autorizados.

Integridad: mantenimiento de la exactitud y completitud de la información y sus métodos de proceso.

Disponibilidad: acceso y utilización de la información y los sistemas de tratamiento de la misma por parte de los individuos, entidades o procesos autorizados cuando lo requieran.

Toda la información almacenada y procesada por una organización está expuesta ante amenazas de ataque (por intereses comerciales, intelectuales y/o chatante y extorsión), error (intencionado o por neglicencia), ambientales (por ej. inundación o incendio), fallo en los sistemas (de almacenamiento de datos, informáticos, redes telemáticas), entre otras y también está sujeta a vulnerabilidades que representan puntos débiles inherentes a su propio uso en el ciclo de vida representado a continuación.

Permitir que una información precisa y completa esté disponible de manera oportuna para aquellos autorizados que tienen una necesidad es un catalizador para la eficiencia del negocio.

Para poder interrelacionar y coordinar las actividades de protección para la seguridad de la información, cada organización necesita establecer su propia política y objetivos para la seguridad de la información dentro de la coherencia del marco de globales de la organización.

Una vez fijados los objetivos en seguridad de la información necesitamos asegurar el modo de poder lograrlos eficazmente, en definitiva, un sistema de gestión de la seguridad de la información o SGSI en su forma abreviada.

Por tanto, un SGSI consiste en el conjunto de políticas, procedimientos y directrices junto a los recursos y actividades asociados que son administrados colectivamente por una organización, en la búsqueda de proteger sus activos de información esenciales.

Un SGSI desde la visión de el estándar internacional ISO/IEC 27001 es un enfoque sistemático para establecer, implementar, operar, monitorear, revisar, mantener y mejorar la seguridad de la información de una organización y lograr sus objetivos comerciales y/o de servicio (p.ej. en empresas públicas, organizaciones sin ánimo de lucro, ...).

El alcance de un SGSI puede incluir, en función de dónde se identifiquen y ubiquen los activos de información esenciales, totalco sólo un parte de la organización, funciones específicas e identificadas de la organización, secciones específicas e identificadas de la organización, o una o más funciones en un grupo de organizaciones. 

El término seguridad de la información generalmente se basa en que la información se considera un activo que tiene un valor que requiere protección adecuada, por ejemplo, contra la pérdida de disponibilidad, confidencialidad e integridad.

Cada organización puede extender e integrar en un SGSI las tres características básicas iniciales de definición de la seguridad a otras adicionales como suelen ser la autenticidad, trazabilidad, no repudio, auditabilidad,... según se considere oportuno para cumplir con los requerimientos internos y/o externos aplicables en cada actividad.


Beneficios

Confianza y satisfacción de los requisitos de seguridad de la información por los clientes y otras partes interesadas

Establecimiento de una metodología de gestión de la seguridad clara y estructurada cumpliendo con los reglamentos, la legislación y las exigencias de la industria

Gestionar los activos de información de manera organizada que facilite la mejora continua y el ajuste a los objetivos organizacionales en cada momento sin una compra sistemática de productos y tecnologías

Reducción del riesgo de pérdida, robo o corrupción de información con la posibilidad de continuar la actividad después de un incidente grave (debido cuidado y diligencia)


Implantación

El siguiente diagrama descargable es orientativo sobre las fases de un proyecto de implantación de un SGSI (desarrollado y compartido en abierto por miembros internacionales del "Foro de implementación ISO 27k").

Las actividades propias para la implantación inicial de un SGSI y su posterior mantenimiento se deben considerar como un proyecto más que aborda la organización mediante la determinación de unas actividades críticas para el éxito del proyecto que llevan asociadas una planificación con los responsables principales, los recursos necesarios y los posibles riesgos asociados al proyecto..

La siguiente información documentada mínima es requerida para un SGSI atendiendo a las cláusulas del estándar ISO/IEC 27001:2013:

1

Alcance SGSI (4.3)

El alcance del SGSI aclara los límites del SGSI en función del contexto y/o importancia y ubicación de los activos críticos de información de la organización (por ejemplo, unidades, ubicaciones o departamentos) y los riesgos propios o externos asociados (p.ej. leyes y reglamentos, obligaciones contractuales, estrategias y políticas impuestas por organismos centrales).

Se debe tener en cuenta los flujos de información que cruza los límites del alcance.

Una estrategia de alto nivel impulsada por la organización o una declaración de visión (ya sea hecha o al menos formalmente respaldada por la alta gerencia) es una forma de cristalizar tanto el alcance como el propósito de aplicación del SGSI, y puede ser útil para fines de concientización así como de promoción.

2

Política del SGSI (5.2)

Establece y confirma el compromiso de la alta dirección con los objetivos de seguridad de la información de la organización y la mejora continua del SGSI, entre otros posibles aspectos relevantes.

La alta gerencia puede preferir una política de tipo de gobierno única, sucinta, amplia / general (que satisfaga formalmente el requisito de ISO), completada con otro conjunto adicional de políticas complementarias de riesgo, seguridad, cumplimiento, privacidad y otras políticas, procedimientos, pautas, etc. (Anexos A5, A6.2.1, A9.1.1, A10.1.1, ...) o puede adoptar un enfoque diferente.

3

Evaluación de riesgos
(6.1.2, 8.2)

Cada organización debe determinar el proceso más apropiado disponiendo de ayudas más directas las guías ISO/IEC 27005 e ISO 31000.

Los auditores esperan un proceso estructurado y repetible, es decir, un procedimiento documentado de evaluación de riesgos que explique cómo se identifican, analizan (p. ej. en base a posibles consecuencias y probabilidades de ocurrencia), evaluan (p. ej. aplicando criterios específicos para la aceptación del riesgo) y priorizan los riesgos relacionados con los activos de información más relevanes del alcance (p.ej. en atención a niveles de riesgo definidos).

Las revisiones y actualizaciones periódicas y/o por cambios sustanciales que afronta la organización son requeridas para reflejar los cambios en los riesgos antes de que se produzcan para mantener un enfoque preventivo y de anticipación en acciones mitigadoras o de control.

Informes relevantes, entradas en su registro de riesgos con descripciones de riesgos, propietarios de riesgos identificados, etc. y métricas para demostrar su funcionamiento son información documentada típica de apoyo adicional.

Como ejemplos de operación (8.2) los informes de evaluación de riesgos, métricas de riesgos, listas priorizadas de riesgos, inventarios o catálogos de riesgos de información o entradas de riesgos de información en inventarios/catálogos de riesgos corporativos, etc. debates que surgen, memorandos formales, correos electrónicos que expresan preocupaciones sobre ciertos riesgos, o similares.

En definitiva, recopile evidencia material suficiente para tranquilizar a los auditores de que el proceso está generando resultados útiles sobre los riesgos de la información.

4

Declaración de aplicabilidad (6.1.3)

Conocida también como SoA (por sus siglas en inglés) establece los riesgos de información y los controles de seguridad que son relevantes y aplicables al SGSI de su organización, como resultado de la determinación de sus evaluaciones periódicas del riesgo o según lo exijan las leyes, reglamentos o buenas prácticas.

Para conocer en detalle las posibles acciones de implantación que se pueden acometer de los controles recomendados en el Anexo A de ISO/IEC 27001 puede hacer una referencia cruzada directa con la guía de implementación ISO/IEC 27002 y/o con cualquier otra fuente alternativa o suplementaria como NIST SP800-53, ISO/IEC 20000, ISO 22301, ISO 22313, IT-Grundschutz, el Estándar de Buenas Prácticas del ISF,Esquema Nacional de Seguridad, ... (consultar la sección dedicada a otros estándares relacionados), así como una variedad de leyes y principios en privacidad, entre otros.

La función esencial del documento SoA es evidenciar que los controles recomendados en el Anexo A de ISO/IEC 27001 se aplican cuando están dentro del alcance y son apropiados para su organización o, por el contrario, no se justifica el esfuerzo de su aplicación por diferentes decisiones de gestión estratégicas o de coste/efectividad que deben ser formalmente registradas y justificadas para convencer a los auditores de que no los ha descuidado, ignorado o excluido arbitrariamente o de forma inavertida.

5

Tratamiento de riesgos (6.1.3, 8.3)

La evidencia típica incluye una política y/o procedimiento por escrito para decidir e implementar consistentemente aquellos planes de tratamiento del riesgo adecuados.

Proporcionar informes relevantes, los planes de tratamiento de riesgos relacionados con aquellas situaciones no deseadas/inaceptables por la dirección, entradas en su registro de riesgos, métricas, etc. son formas de convencer a los auditores de que el proceso funciona correctamente.

Otras preferencias en forma de listas, estructuras de matriz o base de datos, una programación para el control de tareas o plan de proyecto o similares son requeridos para explicar el proceso a través del cual los riesgos de información se van a controlar o están siendo controlados en base a evidencias como métricas que muestren el grado de eficacia en forma de reducción en la frecuencia y/o gravedad de posibles incidentes según el riesgo específico que se está tratando.

Particularmente cuando se aceptan riesgos sustanciales (incluidos los riesgos residuales) debe quedar evidencia como las firmas del riesgo relevante o los propietarios de activos que lo reconocen formalmente aceptando así la responsabilidad por cualquier incidente que surja.

6

Objetivos y planes (6.2)

El requisito de ISO de "retener información documentada sobre los objetivos de seguridad de la información" puede adoptar distintas formas.

Un enfoque habitual es comenzar con los compromisos declarados en la política del SGSI ("marco para los objetivos") derivando de ellos el riesgo de la información y los objetivos de seguridad de forma más precisa.

Los objetivos, a diferencia de las declaraciones de la política, sí deben determimar qué se realizará, con qué recursos, quién es el responsable, cuándo se debe completar y cómo se evalúan los resultados de los objetivos. De este modo se constata el grado de cumplimiento alcanzado de los compromisos de la política del SGSI y su nivel de eficacia para acometer posibles mejoras y en qué dirección según los resultados.

Los objetivos pueden estructurarse en unos pocos de alto nivel respaldados por otros objetivos de control de nivel inferior y/o controles y/o métricas según el caso que determine cada organización.

7

Competencias (7.2)

"Retener información documentada como evidencia de la competencia" es muy variable según el tamaño de la organización y el número de personas implicadas en el alcance del SGSI.

Confiar en los registros de recursos humanos que documenten la experiencia relevante, habilidades, calificaciones, cursos de capacitación (entre otros) es habitual.

Por otra parte, hay que considerar funciones y responsabilidades específicas para las personas asignadas a los roles relacionados con el SGSI y que pueden extenderse a otras funciones y personas relacionadas con los riesgos de la seguridad de la información (seguridad física, gobernanza, privacidad, continuidad del negocio, cumplimiento penal, ...).

Matrices de relación de personas con roles de acuerdo con sus conjuntos de habilidades y/o tablas RASCI son igualmente representaciones útiles simplificadas y directas.

8

Planificación y control operacional y métricas (8.1, 9.1)

Mantener "información documentada en la medida necesaria para tener la confianza de que los procesos se han llevado a cabo según lo previsto" implica, en términos generales, disponer de información de gestión relacionada con el SGSI.

Aunque los detalles varían según la organización, debería ser claramente evidente a partir de la documentación de que el SGSI está en funcionamiento con el nivel de eficacia requerido y con acciones de corrección y/o de mejora según sea oportuno.

Ejemplos representativos (el volumen y variedad dependerá del caso particular de cada SGSI implementado) pueden ser presupuestos, recuentos de personal e informes de progreso con métricas relevantes, estrategias, planes, políticas, procedimientos y pautas de seguridad de la información, además de actividades de cumplimiento relacionadas para verificar/medir, hacer cumplir y reforzar el cumplimiento, así como, registros generados por o información que surge de los procedimientos/actividades, y otra documentación como informes posteriores a incidentes, informes de pruebas de seguridad, evaluaciones de productos de seguridad, evaluaciones de vulnerabilidad, evaluaciones de impacto comercial, acciones preventivas o correctivas, arquitecturas y diseños de seguridad...


9

Auditorías internas y revisión por la dirección (9.2, 9.3)

Los informes de auditoría interna del SGSI son la evidencia más directa que documenta los principales hallazgos, conclusiones y recomendaciones de la auditoría con la posibilidad de comunicar no conformidades y acciones correctivas, mejoras.

Es necesario que los informes de auditoría atiendan a una programación de las auditorías en base a calendarios, presupuestos y asignaciones de días de trabajo del auditor, alcances de cada auditoría, archivos de documentos de trabajo de auditoría con hallazgos de auditoría detallados y evidencia (como listas de verificación completadas), recomendaciones de auditoría, planes de acción acordados y notas de cierre, etc.

La imparcialidad y la competencia de los profesionales designados para auditar los requistos del SGSI en el sector industrial de actividad de la organización y a sus sistemas de gestión de la información debe garantizarse (7.2).

Los informes de revisión de la eficacia en la gestión del SGSI por parte de la dirección en base a una frecuencia predeterminada pueden verificarse mediante calendarios, presupuestos, alcances, documentos de trabajo con evidencia, recomendaciones, planes de acción, notas de cierre, etc. o cuestiones planteadas en los propios informes.

10

No conformidades y acciones correctivas (10.1)

Las no conformidades son requisitos del SGSI parcial o totalmente insatisfechos.

El origen de los requisitos es obviamente el estándar ISO/IEC 27001 pero también surgen de las necesidades aplicadas por la propia organización (estrategias, políticas, procedimientos, pautas) o por partes externas a ella (leyes, regulaciones y contratos) en relación a las actividades del alcance del SGSI.

Pueden documentarse en forma de problemas, eventos, incidentes, hallazgos de auditoría y revisión, quejas, o simplemente como "no conformidades" típicamente en formularios de no conformidad/acción correctiva.

Los auditores de certificación deben verificar que las no conformidades se identifican, investigan en sus causas de origen, informan, abordan y resuelven rutinaria y sistemáticamente.

Mantener un registro o índice de no conformidades, junto con la evidencia cuidadosamente presentada de las acciones emprendidas en respuesta a las no conformidades, tales como:

- Reacción inmediata de contención o reparación de la no conformidad;

- Análisis de causa raíz para evitar recurrencias;

- Aplicación y resultados finales de la acción correctiva, incluida la revisión de su efectividad y finalización/cierre/aprobación de la no conformidad.

Existe información documentada adicional asociada a los SGSI que, aunque no es estríctamente requerida es habitualmente generada según las necesidades, habitualmene más volumen cuanto mayor es la organización y/o el alcance definido para el SGSI. 


Aspectos clave

¡La falta de liderazgo es el principal motivo de fracaso en la gestión eficaz del riesgo!

Sin liderazgo la gestión del riesgo provocará una enorme confusión 


Establecer una política, objetivos y planes en seguridad de la información.

Descripciones vagas, poco claras o excesivamente generales en cómo la seguridad de la información ayuda a toda la organización a alcanzar los objetivos globales provocan desorientación y confusión en toda la organización.

Es esencial que cada empleado y colaborador externo tenga referencias específicas de cómo aporta a los objetivos del SGSI desde su puesto de trabajo.

Establecer roles y responsabilidades de seguridad de la información.

Las labores relacionadas con el liderazgo pueden delegarse pero no las responsabilidades asociadas

Comunicar a la organización tanto la importancia de lograr los objetivos de seguridad de la información y de cumplir con la política de seguridad, como sus responsabilidades legales y la necesidad de mejora continua.




¡La falta de recursos es segunda razón de fracaso en la gestión del riesgo!

El liderazgo incluye determinar los criterios y tolerancia del riesgo, priorización del riesgo, delegar la autoridad y la toma oportuna de decisiones para el uso de los recursos.

La entidad que toma las decisiones debe disponer de una autoridad definitiva para decisiones de control, de uso de recursos y delegación de acciones.


Realizar revisiones del SGSI con el resultado de las auditorías internas realizadas, entre otros puntos de norma (9.3).

¡La falta de acciones oportunas es la tercera causa de fracaso en la gestión del riesgo!

Las acciones deberían tener designados propietarios para cada acción a modo de responsables de informar sobre el progreso a los líderes.

Sin acciones oportunas, la organización experimentará una prolongada exposición al riesgo.

  • Definición clara de un alcance apropiado. - Mantener la sencillez y restringirse a un alcance manejable y reducido: un centro de trabajo, un proceso de negocio clave, un único centro de proceso de datos o un área sensible concreta; una vez conseguido el éxito y observados los beneficios, ampliar gradualmente el alcance en sucesivas fases. Indicar las inclusiones con mapas de procesos de alto nivel, diagramas que representen instalaciones o infraestructuras de servicios TI, conexiones de telecomunicaciones, entre otros, ayuda a entender mejor que funciones, servicios, departamentos, delegaciones, ... están dentro o fuera del alcance en atención a los intereses de las partes interesadas y requisitos legales y reglamentarios analizados en el momento inicial de implantación del SGSI pero también durante sus revisión periódica.
  • Concienciación y formación del personal . - Determinar las competencias necesarias para el personal que realiza tareas en aplicación del SGSI y satisfacer dichas necesidades por medio de formación o de otras acciones (p.ej. contratación de personal ya formado). Evaluar la eficacia de las acciones realizadas manteniendo registros de estudios, formación, habilidades, experiencia y cualificación. 
  • Proceso de evaluación de riesgos adecuada. - Es habitual comprobar que las organizaciones aplican metodologías inadecuadas por pensar érroneamente que el estándar ISO/IEC 27001 "obliga" a aplicar ciertas metodologías determindas y/o herramientas software que se autodenominan "compliance" con la norma o con "ISO 31000". Tampoco es siempre acertado pensar que si otras organizaciones se han certificado utilizando una metodología concreta esa misma va a funcionar y ser comprensible en nuestra organización. Cada organización debería valorar varios tipos de metodologías hasta confirmar la más adecuada según la cultura y esfuerzo de análisis asociado.
  • Organización y comunicación. - Especialmente en situaciones que requieren de una respuesta rápida y eficaz como es la gestión adecuada de la continuidad de negocio, de los incidentes de seguridad, del cumplimiento legal y de la externalización de cadenas de provisión. La gestión apropiada de la comunicación con medios internos y externos es fundamental para evitar situaciones de crisis que impacten la imagen de la empresa o, al menos, limitar el impacto al mínimo posible.  
  • Integración del SGSI en la organización. - Como en otros aspectos relevantes (p.ej. seguridad y salud laboral, seguridad física o mediambiental) conseguir que las medidas en seguridad de la información formen parte de los hábitos y procedimientos aplicados por todas las personas en sus actividades laborales implica un cambio más o menos drástico en los comportamientos que requiere de tiempo y esfuerzo para corregir/reconducir situaciones de resistencia. Un SGSI que se "alimenta" puntualmente de registros de actividad sin una atención real en las actividades diarias suele verse por el personal como una carga al tener "algo más que atender" que debe ser corregido lo antes posible y que demuestra un grado muy bajo de madurez y eficacia en la implantación y mantenimiento del SGSI. El nuevo formato de publicación de todos los sistemas de gestión bajo un mismo esquema de cláusulas (denominado Anexo SL) facilita enormemente la integración de dos o más sistemas de gestión en la misma dinámica de integración con el negocio, incluso la integración de otras demandas legales, regulatorias y normativas no necesariamente publicadas por "ISO".

© 2005 Aviso Legal - Términos de uso información iso27000.es