ITAudit

Vol. 9, Febrero 10, 2006

Estrategias clave para la implantacin de ISO 27001

La implantacin de ISO 27001 puede convertirse en una ardua tarea. Definir el mbito de la implantacin, as como el tiempo y esfuerzos requeridos, puede ayudar a las organizaciones a disear un proceso TI de conformidad ms efectivo. POR KK MOOKHEY, CHIEF TECHNOLOGY OFFICER NETWORK INTELLIGENCE INDIA PVT. LTD. KHUSHBU JITHRA, INFORMATION DEVELOPER NETWORK INTELLIGENCE INDIA PVT. LTD.

En 1995, el British Standard Institute (BSI) public el estndar British Standard (BS) 7799, conjunto de las mejores prcticas ampliamente difundido y que ayuda a las organizaciones a implantar de forma efectiva un Sistema de Gestin para la Seguridad de la Informacin (SGSI, en ingls ISMS o Information Security Management Systems), as como a establecer controles de seguridad para reas de negocio especficas. En Octubre de 2005, el estndar fue adoptado por el International Organization for Standardization (ISO). Como resultado, la implantacin de BS 7799 ahora ISO 27001:2005 ha alcanzado un mayor grado de atencin por las compaas europeas y por aquellas que desarrollan sus actividades en sta regin. En funcin del tamao de la organizacin, la naturaleza de sus actividades y la madurez de sus procesos, la implantacin de ISO 27001 puede implicar una inversin considerable de recursos que requiere del compromiso de la alta gerencia. Adicionalmente, y debido al nfasis de la norma en la seguridad de los datos, muchos auditores internos perciben el estndar nicamente dentro del dominio de la tecnologa y recomiendan, con frecuencia, a los departamentos de TI cumplir con los requisitos del estndar desconociendo la cantidad de tiempo y recursos que se requieren para lograr la conformidad. Con objeto de garantizar la aceptacin de la gerencia y el xito, es vital realizar unos anlisis iniciales y una planificacin. Dado que los auditores internos estn en la mejor posicin para aportar valor a los procesos TI de la organizacin, pueden ayudar a los departamentos de TI a preparar los pilares de una estrategia eficiente y efectiva de implantacin de ISO 27001 durante la fase de planificacin inicial. Esto ayudar a las compaas a garantizar que sus procesos TI estn mejor alineados con los requisitos del estndar y asegurar la conformidad a largo plazo.

RECOMENDACIONES PARA LA CONFORMIDAD EFICAZ EN ISO 27001 Implantar ISO 27001 puede llevar tiempo y consumir recursos no previstos, especialmente si las compaas no disponen de un plan de implantacin al inicio del proceso de conformidad. Con objeto de intensificar los esfuerzos en la conformidad, los auditores internos pueden ayudar a las compaas a identificar sus objetivos principales de negocio y el mbito para la implantacin. Los auditores deberan trabajar con los departamentos TI para definir los niveles de madurez de conformidad actuales y analizar el retorno de inversin (ROI) del proceso de conformidad. Estos pasos pueden ser realizados por un equipo formado por miembros de la plantilla o por consultores externos con experiencia previa en la implantacin del estndar. Los consultores externos deberan trabajar en colaboracin con un equipo interno , que est formado por representantes de las principales unidades de negocio de la compaa. A continuacin se describe cada recomendacin. Identificacin de los objetivos de negocio Los planes para la adopcin de ISO 27001 deben ser respaldados por un anlisis especfico de negocio que comprende la enumeracin de los objetivos principales de negocio y la garanta de lograr el consenso entre los participantes ms relevantes de la compaa. Los objetivos de negocio pueden derivarse de la misin de la compaa, el plan estratgico y objetivos TI actuales, y pueden incluir:

La garanta de la gestin eficaz del riesgo, que identifique los activos de informacin y efecte evaluaciones precisas del riesgo. La preservacin de las ventajas competitivas de la compaa, si la industria en su conjunto hace uso de informacin sensible para los negocios. La preservacin de la reputacin y buen nombre de la organizacin entre los lderes de la industria. El aporte de confianza que se proporciona a clientes y socios, concerniente al compromiso de la organizacin para la proteccin de los datos. El aumento de ingresos de la compaa, beneficio y ahorro en las reas donde los controles de proteccin resulten efectivos.

El estndar tambin enfatiza la conformidad con las obligaciones contractuales, lo cual podra considera rse otro objetivo de negocio clave. Por ejemplo, para una divisin de banca electrnica on-line, la implantacin del estndar proporcionara a clientes y socios un elevado grado de confianza sobre la gestin adecuada de los riesgos derivados del uso de los sistemas de informacin.

Seleccin del mbito de implantacin apropiado Identificar el mbito de implantacin puede ahorrar miles de euros y tiempo. A menudo, la organizacin no necesita acometer la implantacin del estndar en toda la compaa. El mbito de conformidad puede restringirse a una divisin especfica, unidad de negocio, tipo de servicio o localizacin fsica. Adems, una vez se logra con xito la conformidad para un restringido (aunque relevante) mbito, puede ser ampliado a otras divisiones o localidades. La eleccin del mbito apropiado es uno de los factores ms importantes a lo largo del proceso de conformidad, porque afecta a la viabilidad y costes de implantacin del estndar y al retorno efectivo de la inversin realizada por la organizacin.

ISO 27001, mbito de implantacin

ISO 27001 afirma que todo mbito de implantacin debe comprender un todo o una parte de una organizacin. Las compaas, sin embargo, no son requeridas para determinar un mbito de implantacin particular. Acorde con la seccin del estndar "B.2.3: Scope of the ISMS", solo los procesos, unidades de negocio y vendedores externos o subcontratas que estn en el mbito de implantacin del SGSI deben ser especificados para lograr la certificacin. El estndar tambin precisa de un listado de las compaas excluidas del mbito y las razones de su exclusin.

Por consiguiente, es importante la eleccin de un mbito que ayude a conseguir los objetivos de negocio identificados. Para ello, la organizacin deber evaluar las distintas opciones de mbitos posibles y clasificarlas en relacin a lo bien que se adaptan a cada objetivo. Las organizaciones tambin podran firmar memorandos de acuerdo (Memorandums Of Understanding) o acuerdos de nivel de servicio (Service Level Agreements ) con vendedores y socios comerciales con objeto de implantar un tipo de conformidad indirecta con el estndar. Por ejemplo, una compaa de ropa de confeccin podra tener un contrato con un proveedor de software para el mantenimiento y actualizacin de las aplicaciones. Por tanto, la compaa no sera responsable de la conformidad con el estndar del ciclo de vida del desarrollo de la aplicacin, siempre y cuando tenga un MOU o SLA firmado con el proveedor de software. Finalmente, el nivel de operaciones global de la organizacin es un parmetro esencial para determinar la conformidad en el nivel de complejidad del proceso. Para conocer el nivel correspondiente , las organizaciones necesitan considerar su nmero de empleados, procesos de negocio, localizaciones de trabajo y productos o servicios ofrecidos.

Determinar los niveles de madures en ISO 27001 Cuando se evala el nivel de madurez de conformidad de la organizacin, los auditores deberan determinar si el equipo de implantacin es capaz o no de contestar a las siguientes cuestiones:

Existe un documento que especifique el mbito de conformidad? Conforme a ISO 27001, se requiere un documento que especifique el mbito cuando se planifica la implantacin del estndar. El documento debe enumerar todos los procesos de negocio, instalaciones y medios tcnicos dispuestos por la organizacin, en relacin a los tipos de informacin considerados en el SGSI. En el proceso de identificacin del mbito de conformidad, las compaas deben definir claramente las dependencias y conexi ones que existan entre la organizacin y las entidades externas. Estn los procesos de negocio y flujos de informacin claramente definidos y documentados? Responder a esta pregunta ayuda a determinar los activos de informacin contenidos en el mbito de conformidad y su importancia, adems de ayudar en el diseo de un conjunto de controles adecuado para proteger la informacin cuando es almacenada, procesada y transmitida entre distintos departamentos y unidades de negocio. Existe un inventario de activos de informacin? Est actualizado? Todos los activos que puedan repercutir en la seguridad de la organizacin deberan estar incluidos en un inventario de activos de informacin. Los activos de informacin habitualmente incluyen software , hardware, documentos, informes, bases de datos, aplicaciones y sus propietarios. Debe mantenerse un inventario estructurado que incluya activos particulares o grupos de activos disponibles en la compaa, su ubicacin, uso y propietario. El inventario debe ser actualizado regularmente para garantizar que se utiliza informacin precisa durante el proceso de certificacin de conformidad. Como se clasifican los activos de informacin? Los activos de informacin deben ser clasificados en funcin de su importancia desde el punto de vista de la organizacin y nivel de impacto, y si su confidencialidad, disponibilidad e integridad pudieran estar comprometidas. Existe una poltica de alto nivel de seguridad en activo? Para implantar un estndar para la seguridad de la informacin es indispensable disponer de una poltica de seguridad precisa. La poltica debe transmitir claramente el compromiso de la direccin en relacin a la proteccin de la informacin y establecer el marco general de seguridad para el negocio y su orientacin. Debera tambin identificar todos los riesgos de seguridad, como sern gestionados y el criterio requerido para la evaluacin de riesgos.

Dispone la organizacin de un proceso de evaluacin de riesgos? Debe realizarse una evaluacin de riesgos exhaustiva y que tenga en consideracin el valor y vulnerabilidades de los activos TI corporativos, los procesos internos y amenazas externas que pudieran explotar estas vulnerabilidades, as como la probabilidad de cada amenaza. Si existe una metodologa de evaluacin de riesgos ya implantada, el estndar recomienda que las organizaciones continen con su uso. Existe una lista de Puntos importantes de las controles? declaraciones de aplicabilidad (SOAs) Los controles prioritarios deberan ser identificados en base a o Al completar las SOAs, las la informacin de la organizaciones deberan ser evaluacin del riesgo y capaces de identificar todos los la estrategia general de objetivos de control y los controles la organizacin para actuales seleccionados para la mitigar el riesgo global. implantacin. Los controles o Las SOAs no necesitan seleccionados deberan incluir activos confidenciales ni entonces ser informacin de los procesos. confrontados con el o Los controles adicionales a Anexo A del estndar los ya establecidos en el estndar el cual identifica 133 pueden estar adicionalmente controles divididos en 11 declarados como parte de las dominios para SOAs. completar el documento o Cualquier control de ISO de declaracin de 27001 que no haya sido aplicabilidad, conocido seleccionado para la conformidad como SOA (Statement debe ser justificado. Of Applicability). Una revisin completa del Anexo A sirve como mecanismo de supervisin para descubrir la posible falta alguna de las reas de control en la planificacin de la conformidad. Estn implantados y documentados los procesos de seguridad? Se deben tomar medidas para mantener el conjunto estructurado de documentos que detalla todos los procedimientos TI de seguridad, los cuales deben estar documentados y monitorizados para garantizar que se implantan acorde a las polticas de seguridad establecidas. Est establecido un proceso de gestin para la continuidad de negocio ? Debe estar establecido un proceso de gestin que defina el marco general para la continuidad de negocio de la compaa . Debera redactarse un detallado anlisis de impacto en base al plan de continuidad de negocio y someterse a prueba y actualizacin peridicamente.

Tiene implantada la compaa un programa de concienciacin en seguridad? Los esfuerzos realizados en la planificacin y documentacin deberan ir acompaados de un programa adecuado de concienciacin en seguridad TI para que todos los empleados reciban formacin concerniente a las necesidades de la seguridad de la informacin. Se realiz alguna auditoria interna? Debe realizarse una auditoria interna para garantizar la conformidad con el estndar y la fidelidad a las polticas de seguridad de la organizacin y procedimientos. Se realiz algn anlisis de diferencias? Otro importante parmetro que debe ser determinado es el nivel de conformidad de la organizacin con respecto a los 133 controles del estndar. Un anlisis de disparidades ayuda a las organizaciones a relacionar los controles apropiados con la unidad de negocio pertinente y puede llevarse a cabo durante cualquier momento del proceso de conformidad. Muchas organizaciones realizan el anlisis de diferencias al inicio del proceso de conformidad con el objeto de determinar el nivel de madurez de la compaa. Fueron identificadas e implantadas las acciones correctivas y preventivas? El est ndar est asociado al ciclo Plan-Do-Check-Act" (PDCA) (PDF, 62KB) para ayudar a la organizacin a conocer lo lejos que ha llegado y lo bien que lo ha hecho en cada ciclo. Esto influye directamente en las estimaciones de tiempo y costes para lograr la conformidad. Para completar el ciclo PDCA, las diferencias identificadas en la auditora interna deben ser reconducidas mediante la identificacin de los controles correctivos y preventivos que sean necesarios y la conformidad de la compaa basada en el anlisis de diferencias. Estn establecidos los mecanismos para medir la efectividad de los controles? Medir la efectividad de los controles es una de las ltimas modificaciones introducidas en el estndar. Acorde a ISO 27001, las organizaciones deben integrar mtricas que permitan la medicin de la efectividad de los controles y que generen resultados que puedan ser comparados y reproducibles. Existe una supervisin de la evaluacin del riesgo y de los planes para el tratamiento del riesgo? Las evaluaciones del riesgo y de los planes para el tratamiento del riesgo deben revisarse a intervalos regulares establecidos al menos anualmente como parte de la supervisin del SGSI de la organizacin.

Anlisis del retorno de inversin En base a las labores realizadas hasta este punto, las compaas deberan ser capaces de aproximarse a los tiempos y costes estimados para la implantacin del estndar y para cada una de las opciones de mbito. Las organizaciones necesitan tener presente que cuanto ms tiempo se espere para obtener la certificacin, mayores son los costes en consultora o el esfuerzo del personal interno. Por ejemplo, los costes de implantacin llegan a ser incluso ms crticos cuando la implantacin est conducida por las necesidades de mercado o de los clientes. Por lo tanto, cuanto ms tiempo se espere para estar en conformidad, ms tiempo tarda la organizacin en llegar a l mercado con una certificacin adecuada. AVANZANDO Implantar ISO 27001 requiere una cuidadosa reflexin, planificacin y coordinacin que asegure una adaptacin cmoda. La decisin acerca de cuando y como implantar el estndar puede verse influida por un nmero de factores que incluyen los distintos objetivos de negocio, los niveles actuales de madurez TI y esfuerzos para la conformidad, aceptacin y concienciacin de los usuarios, necesidades de los clientes u obligaciones contractuales y la capacidad de la organizacin de adaptacin al cambio y adopcin de los procesos internos. Para conocer ms sobre los estndar, BSI ha preparado una gua disponible en su Web, http://asia.bsiglobal.com/InformationSecurity/ISO27001+Guidance/download.xalter. Adems, el Web site, www.standardsdirect.org/iso27001.htm, pone a disposicin la ltima versi n del estndar.
K. K. Mookhey es fundador y principal consultor de Network Intelligence India (NII) Pvt. Ltd., firma de consultora en seguridad TI situada en Mumbai, India, que ofrece servicios de hacking tico, auditoras de seguridad, BS 7799 y de gestin de continuidad de negocio. Mookhey ha trabajado en proyectos de investigacin para ISACA y ha publicado varios artculos y recomendaciones. Tambin ha liderado equipos en numerosas auditoras de seguridad y labores de implantacin y ha formado a personal de firmas financieras del Big Four y compaas del Fortune 500 en asuntos relacionados con la seguridad TI. Khushbu Jithra ha participado en proyectos de documentacin para la seguridad de la informacin para NII y ayuda en la direccin de investigaciones en seguridad para la organizacin. Adems, ella disea y revisa las propuestas comerciales e informes de consultora en seguridad, especialmente, aquellas relacionadas con pruebas de penetracin, evaluacin de vulnerabilidades, ISO 27001 y auditoras de seguridad.

__________________________________________________ Originally published in ITAudit, Vol. 9, February 10, 2006, published by The Institute of Internal Auditors Inc., www.theiia.org/itaudit. Translation to Spanish made by www.iso27000.es with express authorization of authors K. K. Mookhey y Khushbu Jithra and ITAudit.

Any comment about contents or further distribution, please get contact with ITAudit, www.theiia.org/itaudit. Any comment about Spanish translation, please get contact with www.iso27000.es. __________________________________________________

Originalmente publicado en ITAudit, Vol. 9, February 10, 2006, publicado por The Institute of Internal Auditors Inc., www.theiia.org/itaudit. Traduccin al espaol realizada por www.iso27000.es con autorizacin expresa de los autores K. K. Mookhey y Khushbu Jithra y de la publicacin ITAudit. Cualquier comentario sobre el contenido o su distribucin, contacten por favor con ITAudit, www.theiia.org/itaudit Cualquier comentario sobre la traduccin, contacten por favor con www.iso27000.es