Esquemas con relación directa con los SGSI
Aquellas organizaciones que ya empleen algún estándar o conjunto de buenas prácticas en seguridad de la información en base a otros modelos de gestión, obtendrán el beneficio de una adaptación y certificación en la norma ISO 27001 con un menor esfuerzo.
Además de los aquí resumidos, existen muchos otros estándares, guías, metodologías y buenas prácticas dedicados a distintos aspectos de la seguridad de la información, publicados por prestigiosas instituciones en todo el mundo con diferentes alcances a nivel local, regional y/o internacional y que tratamos de incorporar y actualizar en la sección de enlaces y herramientas.
ISO 31000 está destinada a ser una familia de normas relativas a la gestión de riesgos.
El propósito de la norma ISO 31000 es proporcionar principios y directrices genéricas sobre la gestión de riesgos.
Todos los sistemas de gestión en normas ISO hacen referencia a esta norma como documento que identifica y define todas las actividades relevantes típìcas a considerar cuando definimos nuestra propio proceso de evaluación y gestión de riesgos.
Por tanto, ISO 31000 tiene por objeto proporcionar un paradigma universalmente reconocido por los profesionales y las organizaciones que emplean procesos de gestión de riesgos para sustituir a la miríada de las actuales normas, métodos y paradigmas que difieren entre industrias, temas y regiones.
En la actualidad, la familia ISO 31000 incluye:
- ISO 31000:2018: Principios y Directrices para la implantación
- ISO/TR 31004:2013: Guía para la implementación de ISO 31000
- ISO/IEC 31010:2019: Gestión del riesgo - Técnicas de evaluación de riesgos
. ISO/FDIS 31022: Guía para la gestión de los riesgos legales- Guía ISO 73:2009: Gestión del riesgo - Vocabulario
Todas ellas pueden ser previsualizadas parcialmente antes de su adquisición desde el enlace al publicador ISO con traducciones a otros idiomas a discrección de cada entidad nacional de normalización.
La nueva representación del proceso de gestión de riesgos en ISO 31000:2018 (edición v2) es similar al enfoque adoptado por la publicación COSO de 2004 Enterprise Risk Management - Integrated Framework (cubo COSO ERM).
ISO 31000 reconoce esta similitud al afirmar: "Aunque el proceso de gestión de riesgos a menudo se presenta como secuencial, en la práctica es iterativo" y que, queda representado en la típica figura de representación de los procesos de gestión de los riesgos, como un conjunto de pasos iterativos que se realizan de manera coordinada, pero no necesariamente en una secuencia estricta.
A grandes rasgos se refuerzo adicionalmente la idea de que los procesos de gestión de los riesgos se deben repetir de manera continua con el liderazgo determinante y directo de la alta dirección (desarrollado en el marco) y en base a unos principios fundamentales:
1. El marco y procesos deben ser personalizados y proporcionados
2. Es necesaria la participación adecuada y oportuna de las partes interesadas
3. Se requiere un enfoque estructurado e integral
4. La gestión de riesgos es una parte integral de todas las actividades de la organización
5. La gestión de riesgos anticipa, detecta, reconoce y responde a los cambios
6. La gestión de riesgos considera explícitamente cualquier limitación de la información disponible
7. Los factores humanos y culturales influyen en todos los aspectos de la gestión de riesgos
8. La gestión de riesgos se mejora continuamente a través del aprendizaje y la experiencia
El estándar ISO 31000:2009 no es susceptible de ser certificable ya que, por sí misma, no establece requisitos básicos de referencia y suficientes por sí mismos.
Por otra parte, ha sustituido otros estándares relevantes y de referencia en la gestión de los riesgos como AS/NZS 4360:2004 (referencia internacional inicial que ISO 31000 evolucionó y actualizó inicilmente en 2009) y que ha sido redenominada actualmente como AS/NZS ISO 31000.
Está disponible una guía útil de descarga directa sobre ISO 31000:2018 desarrollada por IRM (The Institute of Risk Management), AIRMIC y Alarm como documento útil para la comprensión adecuada e implantación de este estándar.
ISO 27005 sería el documento que proporciona una ayuda y referencias más directa para la definición de una metodología de análisis de riesgos que cumpla con las recomendaciones de la guía ISO 31000 al mismo tiempo que se orienta a los requisitos de norma ISO 27001.
De forma similar, BS7799-3 profundiza aunque desde una perspectiva particular como estándar británico en estos aspectos con directrices sobre evaluación de riesgos, tratamiento de riesgos, toma de decisiones por parte de la Dirección, re-evaluación de riesgos, monitorización y revisión del perfil de riesgo, riesgos de seguridad de la información en el contexto del gobierno corporativo y conformidad con otros estándares y regulaciones sobre el riesgo.
Recientemente publicada, "IWA 31:2020
Risk management — Guidelines on using ISO 31000 in management systems" que como indica en su introducción, proporciona pautas para la integración y el uso de ISO 31000 en organizaciones que han implementado uno o más estándares de sistemas de gestión ISO e IEC (MSS), o que han decidido emprender un proyecto que implementa uno o más MSS que incorporan ISO 31000. Este documento explica cómo las cláusulas de ISO 31000 se refieren a la estructura de alto nivel (HLS) para MSS.
OCEG (Open Ethics and Compliance Group) es una organización sin ánimo de lucro qué creó la metodología GRC –Government, Risk and Compliance, como un sistema integrado que permite el aprovechamiento de las sinergias que se derivan de la interactuación de las áreas de Corporate Governance, Risk Management y Compliance and Ethics.
Esta metodología pretende escapar del sesgo financiero que caracteriza a COSO y ayudar a las compañías a gestionar homogénea y centralizadamente la relación entre los objetivos y estrategias con los riesgos a los que están expuestas de cara a minimizar los posibles impactos y asegurar el cumplimiento tanto normativo como ético.
El eje principal de la metodología defendida por la OCEG y utilizada por multitud de empresas es el aprovechamiento de sinergias y la minimización de recursos.
GRC además de ayudar a asegurar un buen gobierno y cumplimiento ayuda también a reducir el esfuerzo necesario para poder centrarse en el negocio ya que, actualmente los resultados financieros ya no son la única base del éxito de la compañía.
Los accionistas ahora quieren evidencias de que sus organizaciones llevan sus operaciones de forma eficiente, rentable y responsable.
Impulsado por regulaciones y nuevos métodos para medir la sustentabilidad o la salud de las empresas, GRC ayuda a las organizaciones a maximizar la estrategia y el rendimiento operacional que les permitirá evaluar y administrar los riesgos de negocio, implementar eficientemente controles financieros y operacionales junto con los procesos de negocio y así crear una trasparencia a través de reportes confiables para los accionistas.
Entre los beneficios destacables se incluyen:
- Mejor alineación de los objetivos con la misión, la visión y los valores de la organización
- Mejor agilidad y confianza en la toma de decisiones
- Rendimiento y entrega de valor confiable y sostenido
- Asignación de capital a las iniciativas adecuadas en el momento adecuado
- Responsabilidad desde la dirección en los objetivos clave, riesgos, requisitos e iniciativas relacionadas
- Ahorros de costos significativos por capacidades integradas
Estándares como ISO 27001 pueden integrarse fácilmente en estos marcos de gobierno que típicamente se establecen en las empresas más grandes en la búsqueda de mecanismos que consoliden la toma de decisiones desde un punto de vista integral del riesgo.
ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission) han establecido un comité técnico conjunto específico para las Tecnologías de la Información denominado JTC1 (Joint Technical Committee).
Dentro de dicho comité, el subcomité SC27 es el encargado del desarrollo de proyectos en técnicas de seguridad, labor que realiza a través de cinco grupos de trabajo (WG1, WG2, WG3, WG4 y WG5) y dispone de una página web donde se puede acceder a información sobre su ámbito, organización, agenda de reuniones y temas de trabajo.
Cada país miembro establece subcomités espejo que coordinan los trabajos a nivel nacional. En España, es AENOR quien tiene dicha responsabilidad. Lo hace a través del subcomité AEN/CTN 71/SC "Técnicas de Seguridad - Tecnología de la Información" y de sus correspondientes grupos de trabajo GT1, GT2, GT3, GT4 y GT5.
El Ministerio de Administraciones Públicas español ofrece en su página web una información detallada sobre todos estos aspectos, en especial de las aportaciones españolas realizadas a través del GT1.
Es el primer estándar internacional certificable para la gestión de servicios TI o que necesitan de una gestión para su provisión donde existe un número elevado de infraestructuras y/o configuraciones a gestionar de un modo controlado para beneficio de la prestación de los servicios.
Proviene del estándar británico BS 15000 que ha quedado derogado tras las publicación del estándar ISO/IEC 20000 por primera vez en 2005 a nivel internacional.
ISO 20000-1 en su última revisión (año 2018) incorpora el esquema de alto nivel denominado "Anexo SL" común a todos los sistemas de gestión en marcos ISO que faclita la integración de normas, especialmente oportuno para aquellas orgnizaciones más pequeñas-
También, se marcan diferencias sobre las mejores prácticas de marco ITIL y la prestación de servicios TI típicos que marcaron la primera versión de publicación en 2005.
Los servicios de un Sistema de Gestión de Servicios (SMS por sus sigls en inglés) pueden ser TI o cualquier otro servicio de cualquier industria que requiera esencialmente el control de los activos esenciales (tangibles o intangibles) que componen el servicio prestado/entregado a clientes (internos o externos) y que es importante controlar por la organizacion en todo su ciclo de vida.
Esto quiere decir que, aunque los procesos de ITIL siguen siendo totalmente válidos para un SMS en entornos TIC, al ampliarse las indusrias (no TIC) donde son aplicables los SMS pueden utilizarse otros marcos o metodologías igualmente válidos aportando, en definitiva, total libertad a las organizaciones sobre cómo les es más conveniente cumplir con los requisitos especificados en la norma.
Existen en este sentido procesos relacionados con la seguridad de la información en el cuerpo de ITIL con relación a ISO 20000 y consecuentemente con ISO 27001.
Por último destacar que las certificaciones en este esquema pueden ir avaladas por entidades nacionales de acreditación (p.ej. UKAS) pero, adicionalmente y para este esquema en particular, se pueden encontrar de forma generalizada certificaciones acreditadas por el organimo itSMF.
Del mismo modo que en la "serie 27000", existe una "serie 20000" que ha desarrollado normas de apoyo y guía sobre cómo cumplir con los requisitos (p.ej. ISO 20000-2) o integrar la norma con otros sistemas de gestión (ISO/IEC TR 20000-7:2019: Information technology — Service management — Part 7: Guidance on the integration and correlation of ISO/IEC 20000-1:2018 to ISO 9001:2015 and ISO/IEC 27001:2013).
Los requisitos de ISO 20000-1 en su cláusula "8.7.3 - Gestión de la seguridad de la información" están relacionados con ISO 27001 en aspectos claros y directos como la necesidad de una política de seguridad de la información, la evaluaicón de los riesgos de seguridad, aplicación de medidas necesarios para el control de los riesgos al nivel aceptable por la organización y la gestión de incidentes de seguridad.
Cada vez resulta más importante para las empresas el disponer de planes de continuidad de negocio que minimicen la inactividad de la organización en caso de cualquier tipo de interrupción.
En este sentido, es uno de los sistemas de gestión que mayor porcentaje de crecimiento ha registrado en los últimos años.
BSI (British Standards Institution) publicó en 2006 el estándar británico BS25999-1, que es un código de buenas prácticas con origen en la especificación pública PAS 56:2003 y muy alineada con buenas prácticas profesionales ya existentes desde finales del siglo XX por parte del del Business Continuity Institute (BCI) británico o DRI International de EEUU.
En 2007, fue publicada BS 25999-2, que especifica los requisitos para establecer, implementar, operar, supervisar, revisar, probar, mantener y mejorar un sistema de gestión de continuidad de negocio documentado en el contexto de la gestión global de riesgos de una organización. En base a esta norma pueden ser certificados los sistemas de gestión de continuidad de negocio.
De forma similar a la publicación de normas como ISO 27001, ambas partes de estos estándares británicos con denominación 25999 fueron derogados dando paso desde el 31 de Mayo de 2012 al estándar internacional denominado ISO 22301 "Societal security. Business continuity management systems. Requirements" que proporciona los requisitos para un Sistemas de Gestión de Continuidad de Negocio basado en las mejores prácticas de gestión de continuidad de negocio y con ámbito de reconocimiento a nivel internacional.
Existe una revisión y segunda publicación ISO 22301:2019 con modificaciones y actualizaciones menores ya que la publicación del año 2012 ya contemplaba el Anexo SL de alto nivel que adoptaron posteriormente el resto de norma ISO para sistemas de gestión.
Del mismo modo que en la "serie 27000", existe una "serie 22300" que ha desarrollado normas de apoyo y guía sobre cómo cumplir con los requisitos.
Destacamos el estándar ISO 22313 como documento de ayuda genérico y aplicable a todos los tipos y tamaños de organizaciones, incluyendo las organizaciones grandes, medianas y pequeñas empresas que operan en los sectores industrial, comercial, público y sin fines de lucro que desean:
La relación de la norma ISO 27001 con ISO 22301 puede observarse en los requisitos relacionados con los aspectos de disponibilidad requeridos por las organizaciones, siendo el Anexo 17 el más directamente relacionado.
La integración de la gestión de la continuidad del negocio en entornos TI se realizó a partir del estándar británico BS25777 y que dió lugar al estándar ISO 27031 dentro de la serie 27000.
En la década de 1990, el Information Swecurity Forum (ISF) publicó una lista completa de las mejores prácticas para la seguridad de la información, publicados en la Norma de Buenas Prácticas (SoGP).
La última edición del Estándar de Buenas Prácticas para la Seguridad de la Información (2018) proporciona un enfoque orientado a los negocios en temas de seguridad de la información actuales y emergentes. Esto incluye una cobertura mejorada de los siguientes temas candentes: desarrollo de sistemas ágiles (Agile), alineación del riesgo de información con el riesgo operativo, plataformas de colaboración, sistemas de control industrial (ICS), privacidad de la información e inteligencia de amenazas.
El estándar, junto con el ISF Benchmark (herramienta integral de evaluación de control de seguridad), proporcionan una cobertura completa de los temas establecidos en ISO/IEC 27002:2013, NIST Cybersecurity Framework, CIS Top 20, PCI DSS y COBIT 5 para seguridad de la información.
La ciberseguridad se relaciona frecuentemente con el concepto de ciberguerra considerando el ciberespacio como el quinto dominio de la guerra junto a la tierra, mar, aire y espacio.
En esta línea, la publicación por parte de OTAN de CCDCOE - National Cyber Security Framework Manual por parte del Cooperative Cyber Defence Centre of Excelence procura tomar en consideración todas las facetas que deben tenerse en cuenta en la elaboración de una estrategia nacional de seguridad cibernética, así como herramientas genuinas y asesoramiento altamente competente en este proceso para fomentar un mayor nivel de seguridad informática a nivel nacional y de cooperación internacional..
ISA99 es el comité "Industrial Automation and Control System Security Committee" de la asociación International Society for Automation (ISA).
El comité desarrolla una serie de varios capítulos de normas e informes técnicos sobre en éste área, varios de los cuales han sido publicados como documentos ANSI (American National Standards Institute).
Como producto del trabajo de la comisión ISA99 también se presentan a la Comisión Electrotécnica Internacional (IEC) bajo denominación de estándares y especificaciones de la serie de normas IEC 62443.
ISA Security Compliance Institute (ISCI) ha desarrollado especificaciones de cumplimiento de prueba para ISA99 entre otras normas para la seguridad de sistemas de control. También han creado un programa de certificación acreditada por ANSI llamado ISASecure™ para la certificación de equipos utilizandos en la automatización industrial, como controladores lógicos programables (PLC), sistemas de control distribuido (DCS) y los sistemas instrumentados de seguridad (SIS). Estos tipos de dispositivos proporcionan control automático de procesos industriales, como las que se encuentran en el petróleo y gas, química, servicios eléctricos, elaboración de alimentos y bebidas, tratamiento de agua/aguas residuales e industrias de transformación varias.
Estándar internacional basado en un Modelo de Madurez de Capacidades (CMM) para la Ingeniería de Seguridad de Sistemas (SSE) y desarrollado por la Asociación Internacional de Ingeniería de Seguridad de la Información (ISSEA).
ISO/IEC 21827 especifica el SSE-CMM mediante la descripción de las características esenciales para alcanzar el éxito en el desarrollo del proceso de ingeniería en seguridad de una organización, incluyendo aquellas gubernamentales como comerciales o académicas.
ISO/IEC 21827 no prescribe una secuencia o proceso particular, pero sí captura las prácticas que se observan en la industria.
El modelo es una métrica estándar para las prácticas de la ingeniería de seguridad, que cubre:
- Ciclo de vida del proyecto: incluyendo actividades de desarrollo, operación, mantenimiento y desmantelamiento
- Ámbitos de la organización: incluyendo actividades de gestión, organizacionales y de ingeniería.
- Interacciones concurrentes con otras disciplinas: como software y hardware de sistemas, recursos humanos, pruebas de ingeniería, gestión de sistemas, operación y mantenimiento.
- Interacciones con otras organizaciones: incluyendo adquisición, gestión de sistemas, certificación, acreditación y evaluación.
Aunque es un marco poco común es interesante tener en cuenta el modo en aborda la "seguridad por defecto". Existe un antiguo (en base a la versión de norma de 2005) pero ilustrativo artículo de José Antonio Calvo-Manzano y Ana de las Heras con las sinergias de SGSI y de ISO/IEC 21827 publicado y disponible en abierto para consulta por la revista SIC.
Fundado en 1901, es un organismo federal no regulador que forma parte de la Administración de Tecnología (Technology Administration) del Departamento de Comercio (Department of Commerce) de los EE.UU.
El Marco es una guía voluntaria, basada en estándares, pautas y prácticas existentes para que las organizaciones administren y reduzcan mejor el riesgo de ciberseguridad. Además de ayudar a las organizaciones a gestionar y reducir los riesgos, fue diseñado para fomentar las comunicaciones de gestión de riesgos y ciberseguridad entre las partes interesadas de las organizaciones internas y externas.
Distintos principios y prácticas en seguridad comunes y de aplicación tanto en agencias gubernamentales como en corporaciones privadas están recogidos en una larga lista de publicaciones identificadas bajo la Serie 800 y disponibles para su libre consulta y descarga.
Estas guías y directrices son documentos muy elaborados y de reconocido prestigio, que cubren múltiples aspectos relacionados con la seguridad de la información y que pueden servir de apoyo a la hora de desarrollar políticas, procedimientos y controles.
Avisado desde 2019 pero anunciado a inicios del 2020, se publicó el Cybersecurity Maturity Model Certification (CMMC) como procedimiento de certificación desarrollado por el Departamento de Defensa (DoD) que aplica a los contratistas y como garantía de que disponen los controles necesarios para proteger los datos confidenciales.
Existe un mapeo de los controles del CMMC con los controles del Anexo A de ISO/IEC 27001, entre otros marcos relacionados.
La guía "TC9.9 Guidelines for Mission Critical Facilities" ha sido desarrollada por algunos de los representantes más relevantes en la fabricación de equipos TIC y determina información relevante a los equipos como:
- Rangos de temperatura (recomendados y permitidos ante una exposición prolongada)
- Valores recomendados frente a valores permitidos
- Velocidad de cambio en la temperatura
- El factor “X” de la fiabilidad de los equipos
Recopila las mejores prácticas tanto en implantación como en diseño de los Data Center. Además del documento ANSI/BICSI 002-2019, se ha extendido la publicación a aspectos de gestión operativa y mantenimiento con BICSI 009-2019, Data Center Operations and Maintenance Best Practices.
El código fue creado como respuesta al creciente consumo de energía y emisiones de carbono por parte de los Data Center para reducir el impacto asociado sobre el medio ambiente, la economía y el suministro energético, a través de la mejora del conocimiento de la demanda de energía, la sensibilización y el detalle y la recomendación de las mejores prácticas y objetivos en materia de eficiencia energética. Es de libre adopción y descarga y existen esquemas de certificación asociados complementarios a nivel internacional como CEEDA (Certificación de Eficiencia Energética para Data Centers).
Es conocido por su sistema propio de certificación de TIER de los Data Center en función de los niveles de redundancia de la parte electromecánica (E&M) que da soporte a las salas de TI.
-Nivel IV: Instalación tolerante a fallos
(doble camino y componentes/sistemas críticos redundados adicionalmente)
-Nivel III: Instalación con manteniniento en paralelo (doble camino y componentes)
-Nivel II: Instalación sólo con redundancia en ciertos componentes/sistemas críticos
-Nivel I: Instalación Básica (no redundante en ningún componente necesario)
La independencia cada vez mayor de los elementos de computación de las partes físicas TI y, por extensión, de la importancia de la redundancia en sistemas E&M ha provocado el incremento de la importancia en las operaciones de mantenimiento de las instalaciones.
También son conocidos estándares similares al de Uptime como ANSI/TIA 942 que detalla en sus contenidos las mejores prácticas específicas para infraestructuras de Data Center y telecomunicaciones.
Es una organización sin fines de lucro impulsada por la comunidad, responsable de CIS Controls® y CIS Benchmarks ™, con mejores prácticas reconocidas a nivel internacional para proteger los sistemas y datos de TI.
Forman una comunidad global de profesionales de TI para hacer evolucionar continuamente estos estándares y proporcionar productos y servicios para protegerse de manera proactiva contra las amenazas emergentes.
Disponen de CIS Hardened Images® para entornos informáticos escalables, seguros y bajo demanda en la nube.