En Pensemos, sabemos que la información es el activo más importante de su organización, por ello entendemos la importancia de contar con un sistema sólido para administrarla y protegerla. En este artículo le indicaremos claramente en qué consiste un Sistema de Gestión de Seguridad de la Información (SGSI) y daremos a conocer una ruta de 18 pasos sugeridos para garantizar la adecuada implementación y el mejoramiento continuo del SGSI en cualquier tipo de organización.
Un Sistema de gestión de seguridad de la información (SGSI) es, básicamente, un conjunto de políticas de administración de la información. Para entender más a profundidad en qué consiste un SGSI debemos partir de la definición dada por el estándar internacional ISO/IEC 27000:
Un SGSI consiste en el conjunto de políticas, procedimientos y directrices junto a los recursos y actividades asociados que son administrados colectivamente por una organización, en la búsqueda de proteger sus activos de información esenciales.
Además, debemos tener en cuenta la visión dada por el estándar ISO/IEC 27001:
Es un enfoque sistemático para establecer, implementar, operar, monitorear, revisar, mantener y mejorar la seguridad de la información de una organización y lograr sus objetivos comerciales y/o de servicio.
Hay algunos términos de aquí que es relevante definir y aclarar, entre ellos, ¿cómo se define un activo de información? Un Activo de información en el contexto del estándar ISO/IEC 27001 es: “algo que una organización valora y por lo tanto debe proteger”. La protección de estos activos está destinada a preservar la confidencialidad, la integridad y la disponibilidad de la información. Además, puede abarcar otras propiedades como la autenticidad, la responsabilidad y la fiabilidad. A continuación, hablaremos de qué significan cada uno de estos términos en relación con la información:
Para lograr esta protección de los activos se debe establecer, implantar, mantener y mejorar un SGSI, el cual puede desarrollarse según el conocido enfoque de mejora continua denominado Ciclo de Deming. Este enfoque está constituido por cuatro pasos:
Debido a que el Sistema de Gestión de Seguridad de la Información afecta a la gestión del negocio, requiere que todas las acciones futuras y las decisiones que se tomen sólo puedan ser desarrolladas por la alta dirección de la organización.
Es un error común que el SGSI sea considerado una cuestión meramente tecnológica o técnica de los niveles operativos de la empresa. El compromiso de la alta dirección en la implementación, establecimiento, operación, monitorización, mantenimiento, revisión y mejora del Sistema de Gestión de Seguridad de la Información se evidencia con las siguientes iniciativas:
El alcance del SGSI aclara cuáles son sus límites en función del contexto, la importancia y la ubicación de los activos críticos de información de la organización (por ejemplo: unidades, ubicaciones o departamentos) y los riesgos propios o externos asociados (por ejemplo: leyes y reglamentos, obligaciones contractuales, estrategias y políticas impuestas por organismos centrales).
Se deben tener en cuenta los problemas internos y externos (análisis del contexto de la organización) y los requisitos y expectativas procedentes de las partes interesadas, que se relacionan con las actividades esenciales, es decir, aquellas que permiten cumplir con la misión y los objetivos generales de la organización.
También se deben definir los procesos a incluir en el alcance y sus relaciones, esto debe hacerse teniendo en cuenta no solo los procesos de seguridad de la información sino todos los procesos que se aplican a su negocio y que impactan o pueden ser impactados por la seguridad de la información.
Todos los activos deben estar claramente identificados y se debe elaborar y mantener un inventario de todos los activos de información importantes de la organización.
Para realizar este inventario se recomienda hacer una clasificación. Una clasificación recomendada por expertos es la siguiente.
Todos los activos de información deben ser propiedad de una parte designada de la organización. En este sentido, el propietario del activo definirá y garantizará los controles para la adecuada protección del activo. Adicionalmente, los activos de información en este inventario deben clasificarse en términos de confidencialidad, integridad y disponibilidad.
Cada organización debe determinar el proceso más apropiado para evaluar los riesgos teniendo en cuenta las guías ISO/IEC 27005 e ISO 31000.
Este proceso debe ser estructurado y repetible, es decir, un procedimiento documentado de evaluación de riesgos que explique cómo se identifican, analizan (por ejemplo en base a posibles consecuencias y probabilidades de ocurrencia), evalúan (por ejemplo aplicando criterios específicos para la aceptación del riesgo) y priorizan los riesgos relacionados con los activos de información más relevantes del alcance (por ejemplo en atención a niveles de riesgo definidos).
Las revisiones y las actualizaciones periódicas, o por cambios sustanciales que afronta la organización, son requeridas para evidenciar los cambios en los riesgos antes de que se produzcan y así mantener un enfoque preventivo y de anticipación en acciones mitigadoras o de control. El análisis de riesgo informático es un proceso relevante y es crucial su implementación para poder tener una perspectiva preventiva y no reactiva.
Una vez evaluados los riesgos, se bebe hacer una verificación para determinar cuáles de los controles recomendados en el Anexo A de ISO/IEC 27001 están siendo aplicados o deben aplicarse en la organización. Para esto se puede hacer una referencia cruzada directa con la guía de implementación ISO/IEC 27002 y con cualquier otra fuente alternativa o suplementaria de información.
La función esencial de este documento es evidenciar que los controles recomendados en el Anexo A de ISO/IEC 27001 se aplican cuando están dentro del alcance y son apropiados para su organización o, por el contrario, dejar claro cuando no se justifica el esfuerzo de su aplicación por motivosde gestión estratégica o de coste/efectividad, esto motivos que deben ser formalmente registrados y justificados para evidenciar ante los auditores que no se los ha descuidado, ignorado o excluido arbitrariamente o porque hayan pasado inadvertidos.
En este punto estamos preparados para definir la política de tratamiento de los riesgos en función de la probabilidad de que las amenazas o las vulnerabilidades propias del activo puedan causar un daño total o parcial al activo de la información. Esta definición debe alinearse con la disponibilidad, confidencialidad e integridad del mismo y con la política definida por la dirección. En este punto, se seleccionan las acciones adecuadas para cada riesgo, las cuales irán orientados a:
El programa de implementación del SGSI se basa en la política y los objetivos definidos. Este programa debe determinar qué se realizará, con qué recursos, quién es el responsable, cuándo se debe completar y cómo se evaluarán los resultados. También debe determinar la manera de identificar e implementar posibles mejoras de acuerdo con los resultados.
En esta planeación se deben considerar funciones y responsabilidades específicas para las personas asignadas a los roles relacionados con el SGSI y que pueden extenderse a otras funciones y personas relacionadas con los riesgos de la seguridad de la información (seguridad física, gobernanza, privacidad, continuidad del negocio, cumplimiento legal).
Durante la etapa de implementación del programa de implementación se deben ejecutar diferentes proyectos entre estos: Proyecto políticas de seguridad de la información, Proyecto control de acceso y seguridad física, Proyecto análisis de riesgos.
En esta etapa se debe hacer seguimiento a estos proyectos mediante la revisión de informes de progreso de costo, tiempo, alcance, gestión de interesados, entre otros.
Durante esta etapa, se hace seguimiento al cumplimiento de los objetivos de seguridad de la información establecidos. Este seguimiento se realiza mediante el seguimiento a las métricas relevantes y al cumplimiento de las pautas de seguridad de la información.
Las métricas relevantes para tener en cuenta son:
En esta etapa se generan informes posteriores a incidentes, informes de pruebas de seguridad, evaluaciones de productos de seguridad, evaluaciones de vulnerabilidad, evaluaciones de impacto comercial, arquitecturas y diseños de seguridad, entre otras evidencias de los controles y acciones realizadas para gestionar los riesgos identificados.
La auditoría interna es un proceso sistemático, independiente y documentado realizado por la propia organización, o en su nombre, para obtener evidencias y evaluarlas de manera objetiva con el fin de determinar en qué grado se cumplen los criterios de auditoría.
Se debe contar con una programación de las auditorías con base en calendarios, presupuestos y asignaciones de días de trabajo del auditor, alcances de cada auditoría y archivos de documentos de trabajo
Los resultados de esta auditoría interna constan de hallazgos de auditoría detallados y evidencia (como listas de verificación completadas), recomendaciones de auditoría, planes de acción acordados, notas de cierre, etc.
Esta etapa consiste en analizar los resultados de la auditoría para identificar los requisitos del SGSI parcial o totalmente insatisfechos, conocidos como no conformidades.
Estas no conformidades deben ser analizadas, para identificar la causa raíz, y comunicadas a los responsables para su resolución.
Esta es una auditoría de tercera parte realizada con el fin de revisar de cerca el sistema de seguridad de la información existente y compararlo con los requisitos del estándar ISO/IEC 27001. Esto ayuda a identificar áreas que necesitan más trabajo antes de llevar a cabo la auditoría formal, ahorrándole tiempo y dinero.
Esta auditoría se da en dos etapas:
Primero se realiza una revisión documental para evidenciar la preparación de la organización para la evaluación, revisando si se han desarrollado los procedimientos y controles ISO/IEC 27001 necesarios. En el informe se comparten los detalles de los hallazgos evidenciados, de manera que si se encuentran algunas brechas, se puedan cerrar antes de la segunda etapa.
Si se considera conveniente, se realiza la segunda etapa, en ella se evalúa la implementación de los procedimientos y controles para asegurar que estén funcionando eficientemente como lo requiere la certificación.
Teniendo en cuenta el esfuerzo requerido por parte de toda la organización para implementar y certificar el SGSI, es importante tener planeado un evento para reconocer a las personas o equipos más directamente implicados en los pasos enunciados anteriormente y motivar a otros equipos a establecer esfuerzos que lleven al mejoramiento continuo de la organización
Una vez obtenida la certificación, las organizaciones han de seguir trabajando para mejorar su sistema de seguridad de la información, aunque ya cuenten con la certificación en ISO 27001.
En esta etapa, los pasos 8 y 9, Administración del Sistema de Seguridad de la Información y Operación artefactos SGSI respectivamente, deben seguir realizándose para mantener el cumplimiento de los procedimientos y controles definidos.
Esta certificación ISO 27001 se mantiene a través de auditorías de control anuales y de una evaluación completa cada tres años. Esta auditoría, al igual que la auditoría de certificación, sólo puede ser realizada por una entidad de certificación debidamente acreditada.
Esperamos que este artículo, junto con otros relacionados que hemos dado a conocer anteriormente, sean una ayuda para una implementación exitosa de un Sistema de Gestión de Seguridad de la información en su organización o para su mejoramiento continuo. Para conocer más sobre la implementación y desarrollo de Sistemas de Gestión en una organización no dude en contactarnos. También, conozca nuestro Software de Cuadro de Mando Integral, un Software que le permitirá medir y mejorar la ejecución de la estrategia de su organización. Por último, recuerde que puede suscribirse a nuestro blog si quiere recibir información relevante sobre este y otros temas que son relevantes para su organización.