El ambiente dinámico de los riesgos de seguridad nos muestra cambios continuos, donde nuevas amenazas son desarrolladas, vulnerabilidades son descubiertas e incidentes de seguridad se presentan con repercusiones importantes, tanto para empresas como para los individuos. Un enfoque se centra en la idea de que ante este escenario, solo es cuestión de tiempo para padecer las consecuencias de dichas amenazas.
Por lo tanto, lo más importante es estar preparados para atender las incidencias, sin dejar de lado las medidas preventivas y proactivas que contribuyan a minimizar la probabilidad de su ocurrencia y/o el impacto que puedan generar, así como las acciones correctivas necesarias para solventar los problemas.
De acuerdo con la RAE, “gestionar” significa realizar diligencias que conducen al logro de un negocio. Si partimos de esta definición, se entiende que el propósito principal de la gestión es proteger la información que resulta fundamental para el logro de los objetivos en las empresas, por lo que en el ámbito organizacional, se ha convertido en una necesidad gestionar la seguridad de la información.
Los incidentes de seguridad pueden presentarse ya sea por desconocimiento o negligencia de las personas, de manera accidental o incluso de forma deliberada (lo que representa un ataque), por lo que esta idea considera la aplicación de distintas perspectivas para aumentar y mejorar la seguridad de la información. Una manera de conseguirlo es a través de la alineación con estándares y mejores prácticas en la materia.
En este sentido, aplicar ISO 27001 (y otro estándares) tiene como base este principio, por lo que en esta publicación conoceremos los dos pilares que conforman este documento, así como las ideas básicas plasmadas en el mismo.
Estándares de seguridad como medio para proteger la información y el negocio
Un estándar internacionalmente utilizado para gestionar la seguridad de la información es ISO 27001, que representa la experiencia acumulada de expertos en el tema. Y aunque su implementación debe realizarse en función de las características, necesidades y condiciones de cada organización, uno de los primeros pasos para su aplicación está relacionado con conocer el documento y sus propósitos.
Por ello, en esta publicación nos enfocamos en entender el contenido del estándar, como un paso siguiente en el proceso de implementación. La estructura se reduce a dos elementos básicos: las cláusulas de requisitos para que una organización funcione alineada con un sistema de gestión, junto con los objetivos de control y los controles de seguridad, que consideran distintos enfoques de protección.
- Pautas para operar con un sistema de gestión de seguridad de la información
El primer elemento base que considera el estándar son las cláusulas que definen todas las actividades necesarias para definir y establecer, implementar y operar, monitorear y revisar, así como mantener y mejorar un sistema de gestión de seguridad de la información (SGSI).
Aunque la nueva versión de este documento no considera de forma explícita un modelo de mejora constante (como sucedía con la versión anterior con el ciclo de Deming o PDCA), implícitamente se consideran estas fases en concordancia con el Anexo SL, es decir, la estructura utilizada por los estándares ISO para establecer las cláusulas.
A través del seguimiento y aplicación de estas actividades definidas en las 10 cláusulas (independientemente de que una empresa busque certificarse en la norma), las organizaciones comienzan a dar forma a un framework que contribuye a gestionar la seguridad de la información. Para estar alineada con el estándar, una organización debe cumplir con las cláusulas 4 a la 10 -en la versión de 2013.
Para esta misma edición, los requisitos comprenden elementos clave, como entender el contexto de la organización, actividades que demuestran el liderazgo de la alta dirección, la planeación (que entre otros elementos, considera la evaluación de riesgos), el soporte que involucra a los recursos necesarios, competencias y concientización de las personas; la operación del SGSI, evaluación de su desempeño a través de auditorías internas y revisiones de la dirección, y finalmente la mejora del sistema de gestión por medio de acciones correctivas.
- Definición de objetivos de control y controles de seguridad
El segundo elemento que conforma la estructura central del estándar son los objetivos de control y los controles de seguridad que son descritos en el Anexo A del documento. Estos elementos se encuentran agrupados en 14 dominios para la versión de 2013.
Recordemos que el estándar define un objetivo de control como el “enunciado que describe lo que se desea alcanzar, resultado de la implementación de controles”; mientras que un control es descrito como una “medida que modifica el riesgo”. Es importante mencionar que para modificar un riesgo, se debe afectar alguna de sus dos variables: la probabilidad (posibilidad) de ocurrencia o el impacto (consecuencias) que podría representar. En el mejor de los casos, un control modifica ambas variables.
Sin embargo, un control no siempre genera los resultados esperados, lo que se traduce en adecuaciones del mismo, su sustitución o la aplicación de controles complementarios. Éstos pueden incluir procesos, políticas, dispositivos, prácticas u otras acciones que modifican los riesgos.
El Anexo A del estándar describe una lista de 114 controles de seguridad agrupados en 35 objetivos de control, que a su vez están considerados en 14 dominios, entre los que se encuentran políticas y organización de seguridad de la información, seguridad en recursos humanos, gestión de activos, control de accesos, criptografía, seguridad física, seguridad de las operaciones y de las comunicaciones.
Estos dominios consideran distintas perspectivas para la protección de la información, por lo que también incluyen objetivos de control y controles específicos para el mantenimiento, desarrollo y adquisición de sistemas, medidas de seguridad para las relaciones con proveedores, gestión de incidentes de seguridad, continuidad del negocio y controles para el cumplimiento (compliance).
Pasos subsecuentes para la implementación del estándar
En resumen, ISO 27001 tiene como estructura básica dos secciones:
- En primer lugar están las cláusulas que definen requisitos para implementar, operar, revisar y mejorar un SGSI.
- El segundo elemento es el Anexo A que describe controles para proteger la información.
Ambos elementos base del estándar consideran las distintas perspectivas: acciones y controles de seguridad que se aplican de manera previa a los incidentes (como las evaluaciones de riesgos); elementos proactivos como planes en caso de contingencias (para la continuidad del negocio); seguridad ofensiva (como la gestión de vulnerabilidades) y enfoques reactivos (relacionados con la gestión de incidentes).
Además, no dejemos de lado otra idea central considerada en el estándar, relacionada con un proceso de mejora permanente. Como lo hemos mencionado, en la realidad difícilmente se pueden evadir todas las amenazas y ataques, por lo que en caso de que sucedan, uno de los propósitos es corregir los errores y evitar que vuelvan a presentarse, a través de lecciones aprendidas y las acciones correctivas.
Finalmente, todo el contenido del estándar tiene la intención de gestionar la seguridad, es decir, tomar decisiones que nos conducen hacia un propósito básico: la protección de la información más importante para las organizaciones, al tiempo de alcanzar los beneficios de alinearse a los estándares. De manera directa, esto se traduce en un objetivo de mayor alcance: la protección del negocio.