En una publicación anterior en WeLiveSecurity abordamos un punto de partida para la implementación de un Sistema de Gestión de Seguridad de la Información (SGSI), haciendo énfasis en la necesidad de conocer y utilizar la terminología empleada en las publicaciones de la serie 27000.
En esta publicación revisaremos otros aspectos de importancia que deben considerarse de forma previa a la implementación de ISO 27001, ya que resultan muy útiles durante las fases de planificación y operación del SGSI dentro de una organización.
En este sentido, pueden convertirse en un factor primordial en el éxito o fracaso de la implementación del SGSI, debido a las actividades cotidianas en la organización y a los recursos requeridos para la operación del sistema.
¿Qué se debe considerar para la planificación del SGSI?
Si bien no existe un procedimiento que describa paso a paso cómo implementar el estándar, existen factores que resultan fundamentales para tener una mejor proyección de los esfuerzos necesarios y para la obtención de resultados aceptables, mismos que se describen a continuación.
1. Respaldo y patrocinio
El principal elemento que se debe tener en cuenta antes de la implementación es el respaldo de la alta dirección con relación a las actividades de seguridad de la información, de manera específica con la iniciativa de comenzar a operar con un SGSI.
La idea puede surgir en cualquier nivel dentro de la organización, pero requiere del patrocinio de los niveles jerárquicos más elevados.
El soporte y compromiso de la alta dirección refleja un esfuerzo compuesto, no solo un proyecto aislado y administrado por un subordinado. Del mismo modo, resulta útil la formación de estructuras dentro de las organizaciones, que permitan la colaboración y cooperación de los representantes de las diferentes partes con roles y funciones relevantes.
En este sentido, una buena práctica consiste en desarrollar la estructura adecuada para la toma de decisiones en torno al sistema de gestión, a través de la conformación de un foro o comité de seguridad, que permita llevar a la práctica lo que se ha denominado gobierno de seguridad de la información, es decir, todas aquellas responsabilidades y acciones que ejerce la alta dirección en cuanto a la seguridad.
2. Estructura para la toma de decisiones
Para fines de las actividades de gestión de la seguridad, el comité es un grupo interdisciplinario encargado de tomar decisiones referentes a la implementación y operación del sistema de gestión, así como mantener el control administrativo del marco de trabajo de seguridad.
El objetivo es integrar a miembros de la dirección (incluyendo al CEO), para proporcionar una visión de negocio a las decisiones que competen a este comité, así como la generación de consensos en torno a las necesidades e iniciativas de seguridad, alineadas con los objetivos de la organización.
De manera general, puede agrupar las necesidades y puntos de vista de los integrantes de la organización como usuarios, administradores, auditores, especialistas en seguridad y de otras áreas como la parte jurídica, recursos humanos, TI o de gestión de riesgos.
Otros miembros que pueden conformar este foro son el responsable del sistema de gestión, jefes de áreas funcionales de la organización y un rol de auditor para una evaluación objetiva e imparcial del SGSI.
3. Análisis de brecha (GAP)
El análisis de brechas o GAP Analysis es un estudio preliminar que permite conocer la forma en la que se desempeña una organización en materia de seguridad de la información, con relación a las mejores prácticas reconocidas en la industria; para ello se utilizan criterios establecidos en normas o estándares.
El análisis establece la diferencia entre el desempeño actual y el deseado. Aunque este análisis es aplicable a cualquier estándar certificable, normalmente se lleva a cabo para nuevos esquemas de certificación, que son los que más dudas generan en las organizaciones, debido a su novedad.
4. Análisis de Impacto al Negocio (BIA)
El análisis de impacto al negocio (BIA por las siglas en inglés) es un elemento utilizado para estimar la afectación que podría padecer una organización como resultado de la ocurrencia de algún incidente o un desastre.
Tiene dos objetivos principales, el primero de ellos consiste en proveer una base para identificar los procesos críticos para la operación de una organización y la priorización de ese conjunto de procesos, siguiendo el criterio de cuanto mayor sea el impacto, mayor será la prioridad.
El BIA está directamente relacionado con los aquellos procesos que poseen un tiempo crítico para su operación, porque si bien, todos los procesos sujetos a un tiempo crítico son de misión crítica, no todos los procesos de misión crítica están relacionados con un tiempo crítico para su ejecución.
5. Recursos: tiempo, dinero y personal
Con base en los resultados del análisis de brecha y del impacto al negocio, es posible estimar elementos necesarios para la implementación de ISO/IEC 27001. En caso de tratarse del primer ciclo de operación, el momento sugerido para la implementación de la norma es un periodo con una carga de trabajo menor, que permita una planificación adecuada o, en caso de ser necesario, contratar nuevo personal enfocado a esta tarea.
Es recomendable que el tiempo dedicado al sistema de gestión no exceda un periodo mayor a un año antes de que se cumpla su primer ciclo, esto debido a distintas razones como los continuos cambios en los riesgos, cambio en las prioridades de la dirección con respecto a la protección de activos, aparición de nuevas amenazas, entre otras.
El análisis también permite estimar los recursos financieros necesarios para alcanzar el estado deseado en materia de seguridad de la información, conforme a ISO 27001. Se debe tener en mente que durante la implementación se deberán destinar recursos para implementar controles técnicos, físicos o administrativos, conforme a los resultados de una evaluación de riesgos.
Por otro lado, la organización debe contar con personal idóneo para llevar a cabo las actividades técnicas y administrativas relacionadas con el sistema de gestión, por lo que puede optar por capacitar a miembros de la organización o contratar los servicios de personal externo que colabore para los objetivos planteados en el SGSI.
6. Revisión de los estándares de seguridad
Otra actividad útil previa de la implementación del SGSI está relacionada con conocer el contenido y la estructura del estándar ISO/IEC 27001, así como de los estándares que conforman la serie 27000. De manera específica, una tarea necesaria consiste en conocer ISO/IEC 27000, que permite conocer los principios en los cuales se fundamenta la implementación de un SGSI.
ISO/IEC 27000 contiene el glosario de todos los términos utilizados en la serie 27000, un resumen general de esta familia de estándares, así como una introducción al SGSI. Este estándar adquiere mayor relevancia, ya que se convierte en la única referencia normativa de la nueva versión de ISO/IEC 27001.
Hacia la implementación, operación, revisión y mejora del SGSI
Sin lugar a dudas, cada implementación es distinta debido a las condiciones, necesidades y recursos de cada organización, sin embargo, estos elementos podrían aplicarse de forma general, puesto que los estándares definen lo que se debe hacer, mas no la manera de hacerlo.
Se trata de elementos que pueden resultar básicos para el éxito de la iniciativa de operar y mantener un SGSI dentro la empresa, con el fin de proteger la información y otros activos, a través de un marco de trabajo definido por las mejores prácticas en la industria y el consenso de expertos en el tema.
En próximas publicaciones, seguiremos abordando otros aspectos a considerar durante la planificación, implementación, revisión y mejora de un Sistema de Gestión de Seguridad de la Información. Hasta entonces... y mientras tanto, repasa los conceptos principales en esta infografía: