En Pensemos, sabemos que la información es el activo más importante de su organización, por ello entendemos la importancia de contar con un sistema sólido para administrarla y protegerla. En este artículo le indicaremos claramente en qué consiste un Sistema de Gestión de Seguridad de la Información (SGSI) y daremos a conocer una ruta de 18 pasos sugeridos para garantizar la adecuada implementación y el mejoramiento continuo del SGSI en cualquier tipo de organización.
¿Qué es un Sistema de Gestión de Seguridad de la Información?
Un Sistema de gestión de seguridad de la información (SGSI) es, básicamente, un conjunto de políticas de administración de la información. Para entender más a profundidad en qué consiste un SGSI debemos partir de la definición dada por el estándar internacional ISO/IEC 27000:
Un SGSI consiste en el conjunto de políticas, procedimientos y directrices junto a los recursos y actividades asociados que son administrados colectivamente por una organización, en la búsqueda de proteger sus activos de información esenciales.
Además, debemos tener en cuenta la visión dada por el estándar ISO/IEC 27001:
Es un enfoque sistemático para establecer, implementar, operar, monitorear, revisar, mantener y mejorar la seguridad de la información de una organización y lograr sus objetivos comerciales y/o de servicio.
Hay algunos términos de aquí que es relevante definir y aclarar, entre ellos, ¿cómo se define un activo de información? Un Activo de información en el contexto del estándar ISO/IEC 27001 es: “algo que una organización valora y por lo tanto debe proteger”. La protección de estos activos está destinada a preservar la confidencialidad, la integridad y la disponibilidad de la información. Además, puede abarcar otras propiedades como la autenticidad, la responsabilidad y la fiabilidad. A continuación, hablaremos de qué significan cada uno de estos términos en relación con la información:
- Confidencialidad: la información no se pone a disposición ni se revela a individuos, entidades o procesos no autorizados. Es necesario acceder a la información mediante autorización y control.
- Integridad: debe mantenerse la exactitud y completitud de la información y sus métodos de proceso. Su objetivo es prevenir modificaciones no autorizadas de la información.
- Disponibilidad: Garantizar el acceso y la utilización de la información y los sistemas de tratamiento de la misma, por parte de los individuos, entidades o procesos autorizados cuando lo requieran. Su objetivo es prevenir interrupciones no autorizadas de los recursos informáticos.
Para lograr esta protección de los activos se debe establecer, implantar, mantener y mejorar un SGSI, el cual puede desarrollarse según el conocido enfoque de mejora continua denominado Ciclo de Deming. Este enfoque está constituido por cuatro pasos:
- Planificar: es una fase de diseño del SGSI en la que se evalúan los riesgos de seguridad de la información y se seleccionan los controles adecuados.
- Hacer: es una fase que envuelve la implantación y operación de los controles.
- Verificar: es una fase que tiene como objetivo revisar y evaluar el desempeño (eficiencia y eficacia) del SGSI.
- Actuar: en esta fase se realizan cambios periódicamente para mantener el SGSI al máximo rendimiento.
Ruta de implementación y mejoramiento continuo:
1. Apoyo de la alta dirección
Debido a que el Sistema de Gestión de Seguridad de la Información afecta a la gestión del negocio, requiere que todas las acciones futuras y las decisiones que se tomen sólo puedan ser desarrolladas por la alta dirección de la organización.
Es un error común que el SGSI sea considerado una cuestión meramente tecnológica o técnica de los niveles operativos de la empresa. El compromiso de la alta dirección en la implementación, establecimiento, operación, monitorización, mantenimiento, revisión y mejora del Sistema de Gestión de Seguridad de la Información se evidencia con las siguientes iniciativas:
- Desarrollar una política de seguridad de la información.
- Garantizar el cumplimiento de planes y objetivos del Sistema de Gestión de Seguridad de la Información.
- Constituir roles y responsabilidades de seguridad de la información.
- Informar a la empresa la importancia de alcanzar los objetivos de seguridad de la información y de cumplir con la política de seguridad.
- Designar todos los recursos necesarios para llevar a cabo el SGSI.
- Determinar todos los criterios de aceptación de riesgos y sus correspondientes niveles.
- Asignar los recursos suficientes para todas las fases del SGSI.
- Garantizar que se realizan todas las auditorías internas.
2. Alcance del SGSI
El alcance del SGSI aclara cuáles son sus límites en función del contexto, la importancia y la ubicación de los activos críticos de información de la organización (por ejemplo: unidades, ubicaciones o departamentos) y los riesgos propios o externos asociados (por ejemplo: leyes y reglamentos, obligaciones contractuales, estrategias y políticas impuestas por organismos centrales).
Se deben tener en cuenta los problemas internos y externos (análisis del contexto de la organización) y los requisitos y expectativas procedentes de las partes interesadas, que se relacionan con las actividades esenciales, es decir, aquellas que permiten cumplir con la misión y los objetivos generales de la organización.
También se deben definir los procesos a incluir en el alcance y sus relaciones, esto debe hacerse teniendo en cuenta no solo los procesos de seguridad de la información sino todos los procesos que se aplican a su negocio y que impactan o pueden ser impactados por la seguridad de la información.
3. Inventario de activos de información
Todos los activos deben estar claramente identificados y se debe elaborar y mantener un inventario de todos los activos de información importantes de la organización.
Para realizar este inventario se recomienda hacer una clasificación. Una clasificación recomendada por expertos es la siguiente.
Activos de información pura:
Datos digitales
- Bases de datos
- Unidades lógicas
- Copias de seguridad
Activos tangibles
- Personales
- Financieros
- Legales
Activos intangibles
- Conocimiento
- Relaciones
- Secretos comerciales
Software de aplicación
- Propietario desarrollo por la organización
- Herramientas de bases de datos
- Aplicaciones de comercio electrónico
- Middleware
Sistemas operativos
- Servidores
- Dispositivos de red
- Dispositivos de mano e incrustados
Activos físicos:
Infraestructura de TI
- Edificios
- Centros de datos
- Habitaciones de equipos y servidores
Controles de entorno de TI
- Equipos de alarma
- Supresión contra incendio
- Sistemas de alimentación ininterrumpida
Hardware de TI
- Dispositivos de almacenamiento
- Ordenadores de mesa
- Estaciones de trabajo
- Ordenadores portátiles
Activos de servicios de TI
- Servicios de autenticación de usuario
- Administración de procesos
- Enlaces
Activos humanos:
Empleados
- Personal y directivos
- Participan quienes tienen roles de gestión como, por ejemplo, altos cargos
- Arquitectos de software y desarrolladores
Externos
- Trabajadores temporales
- Consultores externos
- Asesores especialistas
Todos los activos de información deben ser propiedad de una parte designada de la organización. En este sentido, el propietario del activo definirá y garantizará los controles para la adecuada protección del activo. Adicionalmente, los activos de información en este inventario deben clasificarse en términos de confidencialidad, integridad y disponibilidad.
4. Evaluación de riesgos
Cada organización debe determinar el proceso más apropiado para evaluar los riesgos teniendo en cuenta las guías ISO/IEC 27005 e ISO 31000.
Este proceso debe ser estructurado y repetible, es decir, un procedimiento documentado de evaluación de riesgos que explique cómo se identifican, analizan (por ejemplo en base a posibles consecuencias y probabilidades de ocurrencia), evalúan (por ejemplo aplicando criterios específicos para la aceptación del riesgo) y priorizan los riesgos relacionados con los activos de información más relevantes del alcance (por ejemplo en atención a niveles de riesgo definidos).
Las revisiones y las actualizaciones periódicas, o por cambios sustanciales que afronta la organización, son requeridas para evidenciar los cambios en los riesgos antes de que se produzcan y así mantener un enfoque preventivo y de anticipación en acciones mitigadoras o de control. El análisis de riesgo informático es un proceso relevante y es crucial su implementación para poder tener una perspectiva preventiva y no reactiva.
5. Declaración de aplicabilidad
Una vez evaluados los riesgos, se bebe hacer una verificación para determinar cuáles de los controles recomendados en el Anexo A de ISO/IEC 27001 están siendo aplicados o deben aplicarse en la organización. Para esto se puede hacer una referencia cruzada directa con la guía de implementación ISO/IEC 27002 y con cualquier otra fuente alternativa o suplementaria de información.
La función esencial de este documento es evidenciar que los controles recomendados en el Anexo A de ISO/IEC 27001 se aplican cuando están dentro del alcance y son apropiados para su organización o, por el contrario, dejar claro cuando no se justifica el esfuerzo de su aplicación por motivosde gestión estratégica o de coste/efectividad, esto motivos que deben ser formalmente registrados y justificados para evidenciar ante los auditores que no se los ha descuidado, ignorado o excluido arbitrariamente o porque hayan pasado inadvertidos.
6. Tratamiento de riesgos
En este punto estamos preparados para definir la política de tratamiento de los riesgos en función de la probabilidad de que las amenazas o las vulnerabilidades propias del activo puedan causar un daño total o parcial al activo de la información. Esta definición debe alinearse con la disponibilidad, confidencialidad e integridad del mismo y con la política definida por la dirección. En este punto, se seleccionan las acciones adecuadas para cada riesgo, las cuales irán orientados a:
- Asumir el riesgo: se trata de no hacer nada. Simplemente, sabemos que no tenemos cómo evitarlo y debemos convivir con él. Las organizaciones deciden aceptar un riesgo cuando la probabilidad de que ocurra esmuy baja.
- Reducir el riesgo: Se usa cuando eliminar completamente el riesgo resulta mucho más costoso que asumir las consecuencias negativas de que este llegara a materializarse.
- Eliminar el riesgo: Se implementan las acciones para hacer que las condiciones o los factores que pueden generar el riesgo desaparezcan y con ellos el riesgo. Esta es una opción para aquellos casos de alta probabilidad de ocurrencia, con un muy alto impacto negativo.
- Transferir el riesgo: Significa que pasamos el problema a alguien más. La forma más usual de transferir un riesgo es contratar una póliza de seguros que indemnice a la organización en caso de que se presente el problema.
7. Definición del programa de implementación del SGSI
El programa de implementación del SGSI se basa en la política y los objetivos definidos. Este programa debe determinar qué se realizará, con qué recursos, quién es el responsable, cuándo se debe completar y cómo se evaluarán los resultados. También debe determinar la manera de identificar e implementar posibles mejoras de acuerdo con los resultados.
En esta planeación se deben considerar funciones y responsabilidades específicas para las personas asignadas a los roles relacionados con el SGSI y que pueden extenderse a otras funciones y personas relacionadas con los riesgos de la seguridad de la información (seguridad física, gobernanza, privacidad, continuidad del negocio, cumplimiento legal).
8. Implementación del programa de implementación del SGSI
Durante la etapa de implementación del programa de implementación se deben ejecutar diferentes proyectos entre estos: Proyecto políticas de seguridad de la información, Proyecto control de acceso y seguridad física, Proyecto análisis de riesgos.
En esta etapa se debe hacer seguimiento a estos proyectos mediante la revisión de informes de progreso de costo, tiempo, alcance, gestión de interesados, entre otros.
9. Administración del Sistema de Seguridad de la Información
Durante esta etapa, se hace seguimiento al cumplimiento de los objetivos de seguridad de la información establecidos. Este seguimiento se realiza mediante el seguimiento a las métricas relevantes y al cumplimiento de las pautas de seguridad de la información.
Las métricas relevantes para tener en cuenta son:
- Cubrimiento de activos de información en el SGSI
- Tratamiento de eventos relacionados en marco de seguridad y privacidad de la información
- Plan de sensibilización
- Cumplimiento de políticas de seguridad de información en la entidad
10. Operación artefactos SGSI
En esta etapa se generan informes posteriores a incidentes, informes de pruebas de seguridad, evaluaciones de productos de seguridad, evaluaciones de vulnerabilidad, evaluaciones de impacto comercial, arquitecturas y diseños de seguridad, entre otras evidencias de los controles y acciones realizadas para gestionar los riesgos identificados.
11. Auditorías Internas SGSI
La auditoría interna es un proceso sistemático, independiente y documentado realizado por la propia organización, o en su nombre, para obtener evidencias y evaluarlas de manera objetiva con el fin de determinar en qué grado se cumplen los criterios de auditoría.
Se debe contar con una programación de las auditorías con base en calendarios, presupuestos y asignaciones de días de trabajo del auditor, alcances de cada auditoría y archivos de documentos de trabajo
12. Revisión de cumplimiento
Los resultados de esta auditoría interna constan de hallazgos de auditoría detallados y evidencia (como listas de verificación completadas), recomendaciones de auditoría, planes de acción acordados, notas de cierre, etc.
13. Acciones correctivas
Esta etapa consiste en analizar los resultados de la auditoría para identificar los requisitos del SGSI parcial o totalmente insatisfechos, conocidos como no conformidades.
Estas no conformidades deben ser analizadas, para identificar la causa raíz, y comunicadas a los responsables para su resolución.
14. Evaluación pre-certificación
Esta es una auditoría de tercera parte realizada con el fin de revisar de cerca el sistema de seguridad de la información existente y compararlo con los requisitos del estándar ISO/IEC 27001. Esto ayuda a identificar áreas que necesitan más trabajo antes de llevar a cabo la auditoría formal, ahorrándole tiempo y dinero.
15. Auditoría de Certificación
Esta auditoría se da en dos etapas:
Primero se realiza una revisión documental para evidenciar la preparación de la organización para la evaluación, revisando si se han desarrollado los procedimientos y controles ISO/IEC 27001 necesarios. En el informe se comparten los detalles de los hallazgos evidenciados, de manera que si se encuentran algunas brechas, se puedan cerrar antes de la segunda etapa.
Si se considera conveniente, se realiza la segunda etapa, en ella se evalúa la implementación de los procedimientos y controles para asegurar que estén funcionando eficientemente como lo requiere la certificación.
16. Celebración del logro
Teniendo en cuenta el esfuerzo requerido por parte de toda la organización para implementar y certificar el SGSI, es importante tener planeado un evento para reconocer a las personas o equipos más directamente implicados en los pasos enunciados anteriormente y motivar a otros equipos a establecer esfuerzos que lleven al mejoramiento continuo de la organización
17. Operación rutinaria del SGSI
Una vez obtenida la certificación, las organizaciones han de seguir trabajando para mejorar su sistema de seguridad de la información, aunque ya cuenten con la certificación en ISO 27001.
En esta etapa, los pasos 8 y 9, Administración del Sistema de Seguridad de la Información y Operación artefactos SGSI respectivamente, deben seguir realizándose para mantener el cumplimiento de los procedimientos y controles definidos.
18. Auditorías anuales de control
Esta certificación ISO 27001 se mantiene a través de auditorías de control anuales y de una evaluación completa cada tres años. Esta auditoría, al igual que la auditoría de certificación, sólo puede ser realizada por una entidad de certificación debidamente acreditada.
Esperamos que este artículo, junto con otros relacionados que hemos dado a conocer anteriormente, sean una ayuda para una implementación exitosa de un Sistema de Gestión de Seguridad de la información en su organización o para su mejoramiento continuo. Para conocer más sobre la implementación y desarrollo de Sistemas de Gestión en una organización no dude en contactarnos. También, conozca nuestro Software de Cuadro de Mando Integral, un Software que le permitirá medir y mejorar la ejecución de la estrategia de su organización. Por último, recuerde que puede suscribirse a nuestro blog si quiere recibir información relevante sobre este y otros temas que son relevantes para su organización.