Artículos

Seguridad de la Información, Familia de normas ISO/IEC 27000

Presentación dada en el Congreso de Tecnología organizado por la Universidad Mariano Gálvez de Guatemala.  Se explicó en manera resumida el funcionamiento de los comités técnicos de la Organización Internacional de Estandares (ISO).

Por Elder Guerra

ISO/IEC JTC 1/SC27 Líder de Delegación de INLAC para América Latina

Ver Presentacion

(Se bajó el tamaño de la presentación, favor dar click derecho + rotar para verla bien)

Consejos prácticos para la Implementación de ISO 27001:2013 Enfoque Alta Dirección

Seguridad de la Información = Más controles?

La Alta Dirección termina delegando el proyecto al área de Tecnologías de Información (TI) cuando en la realidad debe ser un proyecto transversal para toda la organización. La selección de los controles es un paso, es solamente una cláusula de la norma. ISO 27001:2013.

“Recientemente viajé a Ecuador a dar un curso de Implementación de ISO 27001:2013, surgieron varias dudas sobre los controles de la ISO 27002:2013 versus el Sistema de Gestión de la ISO 27001:2013 y motivado por ello escribí el presente artículo en un lenguaje simple y no técnico, con enfoque a la Alta Dirección.  Sugiero ver el video corto que está al final con el cual ampliará los conceptos”.
Me han preguntado en varias ocasiones si es posible aplicar la norma solo en el área de TI y la respuesta es que la norma no se escribió pensando solo en el área de IT, la norma existe para enseñarnos a Implementar un Sistema de Gestión que incorporará los mecanismos necesarios para mitigar los riesgos asociados a la confidencialidad, integridad y disponibilidad de la información de la organización, información que fluye dentro de los procesos propios de la organización, entre ellos los procesos de  valor que son los que interactúan con los clientes y algunas partes interesadas y los procesos de apoyo que por su naturaleza permiten a los de valor cumplir su propósito dentro de la organización.  Podemos blindar el área de TI pero descuidamos los procesos que realmente interactúan con el cliente que es donde realmente se captura la información.  El área de TI dentro de una organización es el equivalente al  sistema nervioso del cuerpo humano, es un área de vital importancia, por allí fluye mucha información.

¿Por dónde debo arrancar? ¿Qué órden sigo?

No olvidemos que, la información puede ser representada en distintos medios, uno de ellos es el medio electrónico, la información puede estar en medios escritos, puede estar en videos corporativos dentro de la intranet, en papel, en la mente de los colaboradores, etc.
A un nivel muy macro, para implementar un Sistema de Gestión de Seguridaad de la Información sugiero tener claros los siguientes conceptos: (un paso no necesariamente incluye al otro es solamente una idea para entenderlo en forma simple).
  1. Establecer el Sistema de Gestión de Seguridad de la Información
  2. Gestionar los Riesgos de Seguridad de la Información (Identificación, valoración, tratamiento)
  3. Seleccionar los Controles de Seguridad de la Información.

1. Sistema de Gestión de Seguridad de la Información

sgsiAunque al final se terminan implementando varios controles de seguridad de la información, no sirve de nada solamente implementarlos si no tenemos en cuenta que lo que busca la norma ISO 27001 es crear un Sistema de Gestión de Seguridad de la Información con el enfoque a procesos que mejor se adecue a la organización. La norma cuenta con un Anexo en el cual encontramos 114 controles que pueden ser seleccionaros al momento de Gestionar los riesgos.

Un SGSI debe ser planeado, implementado, medido/verificado y ser constantemente mejorado, sin importar el enfoque de procesos seleccionado.  Para ello se debe contar con políticas que son desplegadas a en la organización por medio de procedimientos y sus respectivos registros en las distintas etapas. Se debe dejar información documentada útil para validar el cumplimiento de cada etapa.
Por ejemplo, es una buena práctica hacer Auditorías internas al SGSI (Cláusula 9.1 ISO 27001:2013) donde queden documentados como registros los distintos hallazgos y los planes de acción generados.  Si nos vamos a los controles en el Anexo A, no encontraremos ningún control relacionado a las Auditorías Internas.  Sabe Porqué?   Porque hacer Auditorías Internas es parte del Sistema de Gestión no simplemente parte de los controles de Seguridad de la Información, podríamos pensar que dicho procedimiento es un macro control del SGSI.

2. Gestión de Riesgos de Seguridad de la Información

phva riesgosUn paso de suma importancia al implementar un SGSI es el análisis de riesgos de seguridad de la información y es una buena práctica dejar un procedimiento documentado donde se indique claramente como se hace, para que dicho procedimiento pueda ser reutilizado las veces que sea necesario.

En una manera muy simple de explicar con el fin de que se entienda, a nivel macro y sin entrar en tecnicismos ni detalles, los pasos son los siguientes: (no es una guía de implementación, tampoco una traducción de los pasos de la norma, para referencia detallada favor leer la norma ISO/IEC 27001:2013 y LA ISO/IEC 27005:2011 y donde corresponda se hace referencia a la cláusula de la norma para que pueda entender más a detalle)
[1] Como parte del proceso, primero se deben crear los criterios de riesgo donde parte de lo que estará indicado serán los niveles generales de riesgos aceptados por la organización, normalmente se define una escala numérica relaciona a Alto, Medio, Bajo.  (ISO/IEC 27001:2013 6.1.2)
[2] Luego se deben inventariar los activos de riesgo con información sensible, se deben evaluar/calcular los niveles de riesgo a los cuales están expuestos dichos activos (uno por uno o agrupados en grupos similares), se deben tomar en cuenta los controles de seguridad de información actuales con los que cuente la organización. El resultado se compara contra los criterios dados en [1] y si están sobre la escala de riesgos aceptables, se debe buscar la forma de disminuir dicho riesgo continuando en el siguiente paso.
[3] Para disminuir el nivel actual de riesgo se deben seleccionar opciones para el tratamiento del riesgo (aquí entran los controles del Anexo A y controles adicionales de otras fuentes que la organización considere conveniente) (ISO/IEC 27001:2013 6.1.3)
[4] Luego de seleccionar dichas opciones de tratamiento de riesgo debemos re-calcular el nivel de riesgo y comparar contra los parámetros definidos en [1] y los resultados previos de[2], si el nivel de riesgo sigue estando arriba de los parámetros aceptables, se pueden seleccionar/crear más controles regresando a [3] y el proceso se repite hasta llegar a los niveles de riesgo aceptado por la organización.  Normalmente no se llega a riesgo 0, siempre quedará cierto nivel de riesgo expuesto al cual se denomina riesgo residual.
[5] En función del Anexo A, con todos los controles seleccionados en [4], los excluidos y los nuevos si hubieren, se debe crear un reporte denominado Declaración de Aplicabilidad (SOA por sus Siglas en Ingles) donde por cada control se deja justificado el motivo ya sea que se implemente o no. (ISO/IEC 27001:2013 6.1.3.d)
[6] Se debe generar un plan para implementar los indicado en el SOA al cual denominaremos Plan de Tratamiento del Riesgo de Seguridad de la Información, dicho plan incluirá el presupuesto necesario para la implementación, debe monitorearse la ejecución de dicho plan. (ISO/IEC 27001:2013 6.1.3.e)
[7] Se debe obtener por parte de los dueños de los riesgos, la aprobación para la Implementación del Plan de Tratamiento de Riesgos y la aceptación de los riesgos residuales relacionados a Seguridad de la Información. (ISO/IEC 27001:2013 6.1.3.f)

3. Selección de controles de Seguridad de la Información

Si usted empieza por aquí estará cometiendo el error típico que he visto en muchas ocasiones, donde empiezan por los controles.  La selección de los controles es solamente un paso que es parte de la Gestión de Riesgos de Seguridad de la Información, le sugiero iniciar por [1. Sistema de Gestión de Seguridad de la Información].
Les adjuntamos un video sobre los puntos mencionados 

Elder A. Guerra V.

INLAC Latam Delegation Leader

ISO/IEC JTC 1/SC27/WG1

Information Secutiry Management Systems

eguerra@inlac.org.gt

Seguridad de la Información para no informáticos

Que es seguridad de la información?  Para no informáticos. Punto de Vista para la Alta Dirección

Por Elder Guerra / Director

 La creciente importancia de la gestión de los activos intangibles ha crecido cada vez más.  Estamos hoy en día, inmersos en la nueva era de la información y el conocimiento, la era de la economía digital donde las transacciones, comercio electrónico, uso de certificados digitales, etc. son cada vez temas con los que nos topamos cada día.

A manera de referencia, en la siguiente tabla puede observarse la creciente  importancia de los activos intangibles en general.

Activos Intangibles SyP500Cuáles son los activos intangibles de su empresa?  Le garantizo que la Información es uno de esos activos intangibles, junto con el capital humano, capital organizacional entre otros.

Constantemente cuando abordo con mis alumnos de los programas de MBA tanto en Guatemala como en Chile, el tema de los activos intangibles, surgen muchas inquietudes y vemos como financieramente hablando, por ejemplo cuando damos una capacitación en vez de ser tomado como una inversión ya que afecta un activo intangible como lo es el capital humano, lo que se hace es pasarlo por el gasto, es la solución más fácil, sabe porque? Porque no es tan fácil calcular el retorno de la inversión (ROI) como resulta con los otros activos tangibles o de más fácil realización.    Así mismo, pasa con el activo intangible capital de información. Cuánto vale su base de datos? Cuánto cuesta para la empresa el costo de una mala imagen porque le hackearon su servidor web? Cuando le cuesta a la empresa el hecho que un empleado descontento atente contra la seguridad de la información de la empresa?

En otros artículos he escrito sobre los otros activos intangibles en general, www.xpertia.gt/downloads/articulos/estrategia/activosintangibles.pdf , en el presente artículo abordaremos la forma de blindar ese activo tan importante de su empresa como lo es su información.

Picture2La familia de normas ISO 27000, son creadas/editadas en el ISO/IEC JTC 1/SC27 IT Security Techniques.  Lo que se busca es crear un Sistema de Gestión de Seguridad de la Información (SGSI), la norma que contiene los requerimientos para poder tener un SGSI certificado a nivel internacional es la norma ISO 27001. La familia es numerosa y tenemos varias normas que apoyan el proyecto.  Como todo estándar internacional emitido por la Organización Internacional de Estándares (ISO por sus siglas en inglés), se busca cumplir con el ciclo Planear-Hacer-Verificar-Actuar (PHVA) con lo cual se puede decir tenemos implementado un sistema de gestión debido a que se cierra el ciclo completo.

Muchas veces al abordar el tema de seguridad de la información, por desconocimiento, se piensa que se trata de comprar el ultimo software que llevará el tema, algunas veces he encontrado que piensan que se trata de comprar un firewall más potente o de poner más hardware o software y la norma ISO 27001 es mucho más que eso.  La norma tiene un impacto directo en el capital organizacional de la empresa (cultura, estilo de liderazgo, trabajo en equipo) asi como al capital humano debido a que deben generarse competencias relacionadas al tema.  Seguridad de la información no se trata de una simple capacitación sobre sensibilización de la importancia de la confidencialidad de la información de los clientes, Seguridad de la información trata de implementar un sistema de gestión completo integral dentro de la empresa y la norma ISO 27001 es la solución para ello.

La última versión de la norma ISO 27001 fue liberada a finales del año 2013, por ello ahora se referencia a la norma ISO 27001:2013, para un resumen de los cambios entre la versión ISO 27001:2005 y la ISO 27001:2013 le sugiero leer el artículo www.xpertia.gt/downloads/articulos/ISMS/Diferencias_versiones_2005_ 2013_norma_ISO27001.pdf

Pensemos en la laptop de un vendedor de su empresa. Resulta que el vendedor mientras visita un cliente, deja su laptop en el carro parqueado sobre una calle cualquiera, y la laptop contiene información importante comercial de su empresa! Como protegemos eso? Piense un poco sobre ello antes de continuar con la lectura. Le sugiero tomar un papel y anotar las formas en que usted cree que se podría proteger esa información.

Seguramente como me pasa en muchas oportunidades, al abordar este mismo tema en cursos de las maestrías o seminarios/congresos locales e internacionales donde he estado, empiezan a hacer una lista de cosas como encriptar el disco duro, ponerle clave de arranque (boot) distinta de la clave del sistema operativo,  usar algún dispositivo biométrico como muchas traen ya incorporados, etc. Si es fue su caso está entre los usuarios que tienen un conocimiento promedio de lo que es seguridad de la información. No se preocupe, es buen momento para empezar a entender más este mundo.

La lista de acciones a tomar que regularmente hacen pueden ser llamadas controles, como los listados en el párrafo anterior, pero existen otro tipo de controles para resguardar la confidencialidad, integridad y disponibilidad de su información sensible, entre estos controles tenemos algunos relacionados al capital humano, como acuerdos de confidencialidad firmados, otros controles como políticas y procedimientos para uso de dispositivos electrónicos fuera de la empresa, políticas y procedimientos de capacitación/inducción a estos temas,  transferencia del riesgo a un tercero como puede ser una aseguradora, etc.  Como podrá ver, temas que no se resuelven solo con hardware y software.  De esto trata la norma ISO 27001.

La norma contiene dentro de su cuerpo varias cláusulas el Anexo A, en el cual se encuentran 114 controles que pueden ser utilizados para resguardar la seguridad de su información.   Continuará..

Para leer mas sobre la familia de normas ISO 27000 y entender los conceptos básicos puede ver la siguiente presentación:   ISO 27K Conceptos Basicos

Execution Premium (El Sistema de Gestión de Estrategia)

Presentación dada a miembros la International Project Management Association (IPMA) Capítulo Guatemala (APMGT www.apmgt.org),  en Marzo. Abordamos el modelo Execution Premium, última creación de los Doctores Kaplan y Norton, creadores de herramientas como los Mapas Estratégicos y el Balanced ScoreCard. Se tuvo una discusión interesante sobre el modelo, se dieron ejemplos prácticos sobre la aplicación a la realidad Guatemalteca y de América Laitna.

Por Elder Guerra

Kaplan&Norton BSC Certified

Ver Presentacion

Guatemala, América Latina en los comités técnicos de ISO

  • Guatemala participa en algún comité técnico de la Organización Internacional de Estándares (ISO por sus siglas en inglés)?
  • Cual es la participación de América Latina?
  • Cuál es la participación en el comité técnico ISO TC 176 Quality Management Systems (Comité Técnico que crea/edita la familia de normas ISO 9000)
  • Cuál es la participación en el comité técnico ISO/IEC JTC 1/SC27 IT Security Techniques? (Comité Técnico que crea/edita la familia de normas ISO 27000)
  • Quienes somos el Instituto Latinoamericano de la Calidad INLAC-GT?

Estos temas y algunos mas se abordan en la presentación de referencia.

Ver Presentacion

Sistema de Gestión Empresarial y Normas ISO

El experto guatemalteco en estrategias empresariales, Elder Guerra, participó en el VI Congreso Internacional de la Calidad, que se desarrolló en la Universidad Andina Simón Bolívar con el tema “El nuevo rol de la calidad: aplicaciones futuras de herramientas de la calidad probadas”.