Post107 nn

Método para implementar un SGSI según el ISO/IEC 27001:2013


Imagen 1
Gianncarlo Gómez

Introducción


La información se ha convertido en el activo más importante para cualquier organización, y el aseguramiento de la misma como un punto primordial para lograr ventajas competitivas y generación de valor hacia los clientes, usuarios y población en general. Todo ello siendo posible con un adecuado resguardo de la Confidencialidad, Disponibilidad e Integridad de la Información.


El propósito del presente artículo es desarrollar y proponer un método que permita implementar un Sistema de Gestión de Seguridad de la Información aplicable a cualquier tipo de entidad, incluyendo el proceso de certificación del ISO/IEC 27001:2013.


Método Propuesto




01. Formalización del Proyecto


Es importante que la Alta dirección esté comprometida con el proyecto de implementación de un SGSI, es por ello que se debe exponer ante ellos los beneficios, tiempos, recursos y áreas involucradas en esta implementación.


Es por ello que la Alta Dirección deberá aprobar el proyecto, y brindar los recursos necesarios para la implementación del SGSI, con ello se estaría evidenciando el Liderazgo de la Alta Dirección.


Cumpliendo con lo señalado en la cláusula 5.1 “Liderazgo y compromiso”, la cual indica que la alta dirección debe demostrar liderazgo y compromiso respecto del sistema de gestión de seguridad de la información:


  1. asegurando que la política de seguridad de la información y los objetivos de seguridad de la información son establecidos y compatibles con la dirección estratégica de la organización;
  2. asegurando la integración de los requisitos del sistema de gestión de seguridad de la información en los procesos de la organización;
  3. asegurando que los recursos necesarios para el sistema de gestión de seguridad de la información estén disponibles;
  4. comunicando la importancia de una efectiva gestión de seguridad de la información y en conformidad con los requisitos del sistema de gestión de seguridad de la información;
  5. asegurando que el sistema de gestión de seguridad de la información logre su(s) resultado(s) previsto(s);
  6. dirigiendo y apoyando a las personas para que contribuyan con la efectividad del sistema de gestión de seguridad de la información;
  7. promoviendo la mejora continua;
  8. apoyando a otros roles relevantes de gestión para demostrar su liderazgo tal como se aplica a sus áreas de responsabilidad.


02. Análisis de Brecha (GAP)


Basado en el Modelo CMMI, se usa un modelo de madurez con el propósito de ayudar a evaluar la seguridad de la información, a determinar en qué nivel o grado se encuentra y así tomar decisiones que permitan identificar las falencias que se tienen en un determinado nivel:



La idea es poder determinar un nivel de madurez de cada cláusula y control del ISO/IEC 27001:2013 (lista de 114 controles del anexo A)



03. Determinación del alcance del SGSI

El alcance es el límite en base a procesos, ubicaciones físicas y ciudades del Sistema de Gestión de Seguridad de la Información, deberá ser determinado sobre la base del Contexto de la Organización, los factores internos y externos, las partes interesadas y sus expectativas relacionadas a seguridad de la Información.


Cumpliendo con lo señalado en la Cláusula 4.3 “Determinar el alcance del sistema de gestión de seguridad de la información”, donde se indica que la organización debe determinar los límites y la aplicabilidad del sistema de gestión de seguridad de la información para establecer su alcance.


Cuando se determina este alcance la organización debe considerar:


  1. Los aspectos externos e internos referidos en 4.1;
  2. Los requisitos referidos en 4.2;
  3. Las interfaces y dependencias entre actividades realizadas por la organización y las que son realizadas por otras organizaciones.



04. Elaboración de la Política de Seguridad de la Información


La política de la organización es la que va a sentar las bases de lo que se va a hacer, mostrará el compromiso de la dirección con el SGSI y servirá para coordinar responsabilidades y tareas.


Cumpliendo con lo señalado en la Cláusula 5.2 “Política de Seguridad de la Información”, donde se indica que la alta dirección debe establecer una política de seguridad de la información que:


  1. Es apropiada al propósito de la organización;

  2. Incluye objetivos de seguridad de la información (véase 6.2) o proporciona el marco de referencia para fijar los objetivos de seguridad de la información;

  3. Incluye un compromiso de satisfacer requisitos aplicables relacionados a la seguridad de la información; 

  4. Incluye un compromiso de mejora continua del sistema de gestión de seguridad de la información.



  • 05. Análisis y Gestión de Riesgos.


    El análisis de riesgos es la piedra angular de un SGSI, es la actividad cuyo resultado nos va a dar información de dónde residen los problemas actuales o potenciales que tenemos que solucionar para alcanzar el nivel de seguridad deseado.


    El análisis de riesgos debe ser proporcionado a la naturaleza y valoración de los activos y de los riesgos a los que los activos están expuestos.


    Cumpliendo con lo señalado en la Cláusula 6.1 “Acciones para tratar los riesgos y las oportunidades”, donde indica cuando se planifica para el sistema de gestión de seguridad de la información, la organización debe considerar los asuntos referidos en el numeral 4.1 y los requisitos referidos en el numeral 4.2 y determinar los riesgos y oportunidades que necesitan ser tratados para:


    1. Asegurar que el sistema de gestión de seguridad de la información pueda lograr su(s) resultado(s) esperado(s);

    2. Prevenir, o reducir, efectos indeseados; 

    3. Lograr la mejora continua.



    06. Información Documentada


    La información documentada son todos los documentos y registros mandatarios exigidos por el ISO/IEC 27001.2013.


    Cumpliendo con lo señalado en la Cláusula 7.5 “Información documentada”, la cual indica que el sistema de gestión de seguridad de la información de la organización debe incluir:


      1. información documentada requerida por el ISO/IEC 27001:2013; e

      2. información documentada determinada por la organización como necesaria para la efectividad del sistema de gestión de seguridad de la información.


    Eso indica que no solo nos limitaremos a los documentos exigidos por el ISO/IEC 27001:2013, sino también los documentos internos o externos necesarios, como normas, políticas, instructivos, etc.


    La extensión de la información documentada para un sistema de gestión de seguridad de la información puede diferir de una organización a otra debido a:


      1. El tamaño de la organización y su tipo de actividades, procesos, productos y servicios;

      2. La complejidad de los procesos y sus interacciones; 

      3. La competencia de las personas.




      07. Formación y Concientización


      Las personas que trabajan bajo el control de la organización deben ser conscientes de la política de seguridad de información; su contribución a la efectividad del sistema de gestión de seguridad de la información, incluyendo los beneficios de un mejor desempeño de la seguridad de la información; y las implicancias de no tener conformidad con los requisitos del sistema de gestión de seguridad de la información.


      Cumpliendo con lo señalado en la Cláusula 7.3 “Concientización”, la cual indica que las personas que trabajan bajo el control de la organización deben ser conscientes de:


        1. la política de seguridad de información;

        2. su contribución a la efectividad del sistema de gestión de seguridad de la información, incluyendo los beneficios de un mejor desempeño de la seguridad de la información;


        Es conocido que el tema presupuestal nos puede jugar en contra al momento de desplegar las capacitaciones de Seguridad de la Información, es allí que podemos usar herramientas de LMS (Learning Management System) como Moodle para abaratar costos, interrumpir en las labores diarias a nuestros colaboradores y poder masificar dichas capacitaciones


        08. Auditoria Interna


        La organización debe conducir auditorías internas en intervalos planificados para proporcionar información sobre si el sistema de gestión de seguridad de la información está en conformidad con los requisitos de la propia organización para su sistema de gestión de seguridad de la información; y los requisitos del ISO/IEC 27001: 2013, en concordancia con lo solicitado en la cláusula 9.2.


        09. Revisión por la alta Dirección


        La alta dirección debe revisar el sistema de gestión de seguridad de la información de la organización a intervalos planificados para asegurar su conveniencia, adecuación y efectividad continua.


        10. Proceso de Certificación


        Una vez que se ha culminado la implementación del SGSI, se ha realizado una auditoria interna como mínimo y sin ningún hallazgo o desviación relevante y se ha realizado las revisiones por parte dela alta dirección, podemos optar por iniciar el proceso de certificación.


        Para ello se deberá seleccionar una entidad certificadora acreditada para realizar esta actividad, dicha entidad, deberá dimensionar la cantidad de auditores y horas/auditor sobre la base del alcance, cantidad del personal involucrado en la organización y sedes que abarca el SGSI.


        La certificación del Sistema de Gestión de Seguridad de la Información, de acuerdo al ISO/IEC 27001:2013, contribuye a fomentar las actividades de protección de la información en las organizaciones, mejorando su imagen y generando confianza frente a terceros.



        Conclusiones: 


        1. La alta dirección tiene un rol protagónico y principal en el proceso de Seguridad de la Información, este rol permite la asignación de recursos, liderazgo del proyecto y adecuada implementación del SGSI.
        2. Aún después de una adecuada implantación, se debe revisar el SGSI en intervalos planificados para detectar de una manera oportuna, alguna desviación del SGSI y mejorarlo en el tiempo.
        3. No existe una receta mágica que permita asegurar en su totalidad los activos críticos de una organización, ni componentes tecnológicos ni normas que nos garanticen que todo irá bien y que no tendremos problemas en el corto o largo plazo, se debe considerar una serie de factores como la importancia que le damos a la seguridad en la organización, el apoyo y compromiso de la alta dirección, los recursos asignados, la propia experiencia y el lugar que tiene en nuestra agenda los temas relacionados a la Seguridad de la Información.
        4. El factor humano es importante en la seguridad de la información, sensibilizarlos y entrenarlos en estos temas garantiza el apoyo y conocimiento en el proceso de aseguramiento de la información.







Artículos que te pueden interesar


Unos meses atrás estaba configurando un ambiente de contenedores para unos sitios web en un servidor y llego la fase del proyecto de colocar htt... Elzer Pineda


Continuar Leyendo

Shutterstock 179770802

Artículos

Evil Limiter

Si se encuentra con un compañero de cuarto que acapara el ancho de banda de datos limitado con videojuegos o descubre que un vecino se ha invita... Erik Garcia


Continuar Leyendo

La inteligencia de amenazas ciberneticas tiene muchas aristas, y se deben utilizar muchas herramientas para tomar un veredicto en relación a una... Cristian Jose Acuña Ramirez


Continuar Leyendo