78
Perspectiva Empresarial
Procesos y ventajas en la obtención de una certificación del SGSI
LAS PAUTAS A SEGUIR PARA ELABORAR UN SGSI SE ESCOGERÁN SIGUIENDO LAS RECOMENDACIONES QUE UNA INSTITUCIÓN MARQUE A TRAVÉS DE UNA NORMA O ESTÁNDAR CONCRETO
Arsenio Tortajada Gallego
CONSULTOR SENIOR DE SEGURIDAD DE LA INFORMACIÓN CISA. ISO 27001 LEAD AUDITOR TB·Security
Rafael Estevan de Quesada
RESPONSABLE DE SEGURIDAD CISA. SEI-CERT/CC AUTHORIZED INSTRUCTOR TB·Security
Sistema de Gestión de la Seguridad de la Información (SGSI), que se establece a partir de un análisis del riesgo al que se encuentran sometidos los datos en poder de la entidad. El propósito de un SGSI es, por tanto, garantizar que los riesgos de la seguridad de la información de una organización sean conocidos, asumidos, gestionados y minimizados.
E
l aumento de intercambio de información en la actualidad ha traído consigo una mayor
Y esto debe realizarse de forma
preocupación por la seguridad de los datos que circulan. Para evitar posibles incidentes, las organizaciones han establecido Sistemas de Gestión de Seguridad de la Información (SGSI), que se rigen según criterios recomendados por normas nacionales o internacionales, entre ellas el estándar ISO/ IEC 27001: 2005. Para obtener una certificación, el proceso implica la superación de una auditoría, que no es otra cosa que la comprobación del correcto funcionamiento del SGSI concebido para la organización. En este artículo se detalla el proceso de auditoría y se describen las principales ventajas para la obtención de una certificación.
En este artículo se detalla el proceso de auditoría y se describen las principales ventajas para la obtención de una certificación
Con el objetivo de reducir los incidentes de seguridad, las organizaciones tienen implantadas una serie de medidas con la idea de que, si ocurren, las consecuencias que provoquen sean mínimas. En el caso de la información y su tratamiento, estas medidas de seguridad y los mecanismos para gestionarla conforman lo que se denomina
documentada, estructurada, eficiente y adaptada a los cambios. Las pautas a seguir para elaborar un SGSI se escogerán siguiendo las recomendaciones que una institución marque a través de una norma o estándar concreto. Después de la verificación de la correcta implantación de los indicadores de este modelo, un organismo certificador elegido será quien certifique que el SGSI se implantó y se opera con arreglo al estándar correspondiente. En el ámbito de los SGSI, el estándar internacional ISO/ IEC 27001: 2005 es el que goza de mayor prestigio. Aunque la certificación de esta norma no es obligatoria, existen múltiples ventajas que aconsejan disponer de esta distinción:
nº 26
octubre 2008
�79
Perspectiva Empresarial
Ventajas externas: - Aumenta la credibilidad y confianza de clientes y administración. Como hemos señalado, la certificación no es obligatoria, aunque en determinados sectores suele ser un punto que facilita el intercambio de información (sobre todo aquéllos en los que la seguridad de la información constituya un punto crítico). Es importante la mayor confianza que se le da al cliente sobre las condiciones en que el contratista tratará la información que se le va a facilitar - Facilitar el intercambio y acceso a mercados externos. El reconocimiento mundial de la norma ISO/IEC 27001 (por ser publicada por el organismo de estandarización mundial ISO, International Organization for Standardization: www.iso.org) contribuye a abrir puertas en el extranjero. Si la auditoría está realizada por una entidad de certificación acreditada internacionalmente, el certificado que emita tendrá también un reconocimiento internacional. - Simplificar las evaluaciones sobre los productos o servicios de la entidad. - Ser un elemento diferenciador de la competencia. - Facilitar la compra al cliente, el cual cuenta con más información sobre el servicio que ofrecemos. Ventajas internas: - Proporcionar confianza a las personas de la organización. Desde el momento en que los procesos están definidos y documentados, el personal se verá capacitado para desempeñar sus tareas de forma más segura, con más convicción y menos posibilidad de fallo. Lo que trae consigo, a la vez, una mayor motivación de la plantilla. - Reducir costes. Manteniendo la línea del punto anterior, los trabajadores llevarán a cabo sus funciones de forma más ágil, siguiendo las pautas del proceso concreto para cada ocasión. Por otro lado, la consideración previa de los riesgos que Existen una serie de organizaciones en el mercado que están acreditadas para otorgar certificaciones (BSI, DNV Certification B.V, Bureau Veritas, SGS, Applus+…), las cuales, a su vez, se someten al control de las entidades de acreditación, que validarán si son aptas o no para esta función (en España esta tarea la desempeña el organismo público ENAC, Entidad Nacional de Acreditación y Certificación, que sigue las políticas y recomendaciones pueden afectar a la organización provoca que se evite, o como mínimo que se reduzca, el impacto de las consecuencias de un eventual incidente. - Mejora de los procesos y, por ende, del producto o servicio. establecidas por la Unión Europea. Además, el ENAC establece Acuerdos de Reconocimiento Mutuo establecidos internacionalmente entre organismos de acreditación de todo el mundo.). Las organizaciones de certificación verificarán el ajuste del SGSI implantado, según los requerimientos de la norma, a través de las auditorías, cuyos pasos a seguir, según se refleja en la norma 'UNE-ISO/ IEC 17021:2006 Requisitos para los organismos que realizan auditoría y certificación de Sistemas de Gestión', son: 1. ETAPA 1 a. Solicitud y revisión de la solicitud. Trámite administrativo que culmina en la apertura de un expediente por parte de la organización de certificación y en la preparación de documentación sobre SGSI por parte
Los costes a pagar a la entidad certificadora encargada de expedir la certificación se fijan en función del tiempo dedicado a la auditoría
Proceso de certificación de SGSI
de la empresa auditada. b. Auditoría documental. El equipo auditor revisa la documentación que forma parte del SGSI. Como mínimo, se deberá presentar: la política de seguridad de la organización; el alcance de la certificación y el análisis de riesgos de la organización (el auditor que prestará especial atención a este apartado- determinará si cubre todo el alcance definido por la empresa y si es aceptable en función de los activos y la naturaleza de la organización). También será imprescindible aportar
nº 26
octubre 2008
�80
Perspectiva Empresarial
documentación sobre la selección de controles, que deberá estar de acuerdo con la declaración de aplicabilidad, así como la revisión de la documentación de los controles seleccionados. Se concertará una visita de auditoría previa, en la que el auditor visitará las dependencias, completará el análisis de la documentación, comprobará en términos generales la implantación del SGSI y, finalmente, fijará la fecha de la auditoría final. 2. ETAPA 2 a. Auditoría in situ. Ésta comportará una nueva visita a las instalaciones y una prueba del cumplimiento del funcionamiento del SGSI. El propósito de esta etapa es evaluar la implementación, incluida la eficacia, del SGSI mediante la revisión de evidencias que demuestren la conformidad con la norma ISO/ IEC 27001, con especial hincapié en lo relativo al compromiso de la dirección, la adecuación del SGSI a los objetivos de negocio, la continuidad de negocio, y la revisión interna del funcionamiento del SGSI. En caso de que el auditor detecte “no conformidades”, pedirá a la organización auditada que exponga una serie de acciones correctoras, o bien detendrá el proceso de certificación y propondrá un nuevo planteamiento del SGSI para un posterior requerimiento de la auditoría, en caso de desviaciones muy graves. Si, por el contrario, el auditor no detecta no conformidades, el proceso continuará y pasará a la fase siguiente. Estas acciones son ejecutadas tanto al finalizarse la etapa 1 como al final de la etapa 2. A partir del análisis de la auditoría final in situ y de la documentación recogida, el auditor redactará un informe final. b. Evaluación. Un comité evaluador -procedente de la misma entidad certificadora- será quien valore el caso basándose en el informe final elaborado por el auditor. Es en esta parte del proceso en la que se decidirá la conveniencia de otorgar la certificación Los costes a pagar a la entidad certificadora encargada de expedir la certificación se fijan en función del tiempo dedicado a la auditoría. Es la norma ISO/IEC 27006: 2007 quien establece el número de jornadas aproximadas designadas, que se calcularán en función de las dimensiones de la empresa (volumen de trabajadores, número de sucursales…), así como de la complejidad del sistema a evaluar. Se deberán tener en cuenta también los gastos derivados de todo el proceso de preparación para someterse con éxito a la auditoría: desde el tiempo invertido por a la organización auditada. Una vez se ha obtenido una resolución positiva, se entregará el certificado y se entrará en un ciclo de revisión de la certificación: de forma anual se realizará una auditoría parcial (seleccionando controles concretos). Esta certificación estará vigente durante tres años. En el caso de que se encuentren anomalías importantes en cualquiera de las etapas de la auditoría, no se otorgará la certificación, y la organización auditada deberá replantear su SGSI y someterlo a análisis en una auditoría posterior. los trabajadores asignados a desarrollar el planteamiento del propio SGSI y su correspondiente documentación, hasta los costes originados por la implantación de medidas de seguridad (alarmas, software, cursos de formación…). Aunque son múltiples las organizaciones que deciden emprender este proyecto valiéndose de sus recursos internos, la complejidad del proceso sugiere una preparación a conciencia, lo que en muchas ocasiones implica la contratación del servicio de especialistas en la materia. Por su experiencia, su conocimiento específico y las garantías de éxito que ofrecen, recurrir a empresas externas para mejorar los procesos de seguridad y adaptarlos al cumplimiento de normas internacionales, se convierte en una opción más que indicada.
La complejidad del proceso sugiere una preparación a conciencia, lo que en muchas ocasiones implica la contratación del servicio de especialistas en la materia
Minimizar gastos: el asesoramiento para la obtención de certificaciones
ISO/ IEC 27001, la destacada entre varios estándares
La definición más exhaustiva de Sistema de Gestión de la Seguridad de la Información (SGSI) está descrita en los estándares internacionales publicados por la International Organization for Standardization (ISO), ISO/IEC 27001 e ISO/IEC 27002. El primero de ellos, fue aprobado en octubre de 2005 (su versión en castellano, UNE-ISO/ IEC 27001: 2007, fue publicada el año pasado). Existen otros estándares que regulan y establecen las características de un SGSI, además de la ISO/ IEC 27001. Uno de ellos es el SOGP, "Information Security Forum's Standard of Good Practice”, considerado más bien un código de “buenas prácticas” y que está elaborado por el ISF, Information Security Forum. Information Security Management Maturity Model -conocida como ISMCubed o ISM3- es otra forma de SGSI. ISM3 está basado en estándares como ITIL, ISO/ IEC 20000, ISO 9001, CMM, ISO/ IEC 27001, e incorpora información general de conceptos de seguridad.
nº 26
octubre 2008
�