En esta entrevista de Help Net Security, Robin Long, fundador de Kiowa Security , comparte ideas sobre la mejor manera de abordar la implementación del estándar de seguridad de la información ISO/IEC 27001.
Long aconseja a las organizaciones que establezcan una hoja de ruta detallada del proyecto y reserven auditorías de certificación en una etapa temprana. También recomienda seleccionar un equipo interno que incluya un líder con la calificación de Implementador Líder ISO 27001 y sugiere que, en algunos casos, el mejor enfoque para el estándar puede ser comenzar priorizando un número limitado de «victorias de seguridad» antes de embarcarse en la implementación completa.
Algunos puntos generales sobre ISO 27001, antes de pasar a las preguntas:
1. La documentación detrás de ISO/IEC 27001:2022 (“ISO 27001”) se divide en dos partes principales: la propia ISO/IEC 27001, que contiene la guía principal, y un ‘documento de guía’ llamado ISO/IEC 27002, que enumera controles de seguridad de la información sugeridos que pueden determinarse e implementarse con base en el análisis de riesgos que se realiza de acuerdo con los requisitos del documento principal.
ISO 27001 también está respaldada por otros estándares ISO/IEC 27000:2018 (técnicas de seguridad de TI) e ISO/IEC 27005:2022 (seguridad de la información, ciberseguridad y protección de la privacidad), entre otros.
Todos estos son desarrollados y mantenidos por la Organización Internacional de Normalización (ISO), con sede en Ginebra, Suiza.
2. Aunque hay una serie de cosas que está obligado a hacer si busca una conformidad certificada con la norma, en realidad es bastante flexible en cuanto a los detalles. Incluso los “requisitos” –las cláusulas obligatorias del documento 27001– generalmente permiten un rango de interpretación bastante amplio. Esto tiene sentido si se piensa que ISO 27001 se ha desarrollado como un sistema único para todos los tipos y tamaños de organizaciones que manejan información confidencial.
Cuando lo miras así, inmediatamente se vuelve menos intimidante.
3. Si decide seguir adelante e implementar ISO 27001, se recomienda encarecidamente elaborar una hoja de ruta detallada que defina los objetivos de lo que se debe lograr en qué fecha del cronograma del proyecto (los diagramas de Gantt son buenos para esto; mírelos). ¡arriba!). Esto ayuda a mantener el proyecto bajo control y reduce el riesgo de exceso de tiempo y presupuesto. Dividir el proyecto en componentes semanales también lo hace menos desalentador.
4. También deberá definir un (pequeño) grupo de personas para llevar a cabo, mantener y ser responsables de la implementación del estándar. Podría llamarlo el ‘Equipo SGSI’ (donde SGSI significa Sistema de gestión de seguridad de la información, otra forma de describir ISO 27001). Idealmente, este equipo debería incorporar conocimientos y experiencia en TI, desarrollo empresarial y protección de datos, y tener un canal hacia la alta dirección.
¿Cómo recomienda a las organizaciones que aborden la comprensión e implementación de la amplia gama de controles y requisitos de ISO 27001, especialmente aquellos nuevos en la gestión de seguridad de la información?
Como consultor, soy consciente del conflicto de intereses, pero debo decir que creo que tiene sentido contratar asesoramiento externo para que me ayude con la implementación de ISO 27001, para la auditoría interna y la interacción con los auditores de certificación.
Una de las principales responsabilidades de dicho asesor es ayudar a comprender el estándar y la gestión de la seguridad de la información en general, tanto en niveles altos como bajos. La gama de controles ISO27002, por ejemplo, es realmente amplia, pero un consultor competente los dividirá en partes manejables que se aplicarán una por una, en un orden cuidadosamente planificado.
Ya sea que decida contratar a un consultor o no, también es una buena idea enviar al líder del equipo ISMS a un curso de Implementador líder (LI) ISO2 7001. Estos cursos suelen durar unos tres días y son útiles. Tenga en cuenta que ISO 27001 requiere que la organización proporcione evidencia de la competencia de los participantes clave en el proyecto, y la calificación LI para un miembro del equipo indica un grado razonable de conocimiento y compromiso con respecto a la norma.
La implementación de ISO 27001 puede consumir muchos recursos. ¿Qué consejo daría a las organizaciones, en particular a las PYME, a la hora de asignar eficazmente recursos y presupuestos para la implementación de ISO 27001?
Es cierto que la implementación de la norma ISO 27001 necesariamente consume recursos, en términos de dinero y otros activos, particularmente el tiempo de las personas. La cuestión crítica es si el costo de los recursos se compensa con las ganancias percibidas, y esto tiene que ver en gran medida con la eficiencia de la asignación. Entre otros métodos que podemos utilizar para intentar optimizar esto se encuentran:
1. Uso de una hoja de ruta, como se mencionó anteriormente, que lleva a la organización hasta el proceso de auditoría de certificación de dos etapas a un nivel granular (semanal).
2. Selección temprana del auditor de certificación y acuerdo de fechas tentativas para las auditorías de certificación. Los beneficios de hacer esto incluyen el psicológico de anotar una fecha de finalización en el diario para ayudar a definir la hoja de ruta del proyecto. El costo de las auditorías de certificación también es una parte importante del presupuesto general, y el organismo de certificación proporcionará cotizaciones para estas en esta etapa.
Tenga en cuenta que, además de las dos auditorías de certificación iniciales, hay un par de auditorías de vigilancia (aproximadamente anuales) y una auditoría de recertificación después de tres años. Todas estas auditorías cuestan dinero, por supuesto, y requieren un presupuesto.
3. Estar atento a algunos de los costos menos obvios, incluidos los posibles cargos asociados con:
- Trabajo legal sobre modificaciones/adiciones a contratos de trabajo, NDA, etc.
- Prueba de penetración /escaneo de vulnerabilidades si es necesario
- Software que elija instalar, por ejemplo, antimalware, IDS, etc.
¿Qué estrategias se pueden emplear para convencer a la alta dirección de la necesidad y los beneficios del cumplimiento de la norma ISO 27001?
A las empresas de consultoría les encanta responder a esta pregunta (en sus sitios web) con una lista de viñetas.
Sin embargo, puedo decirles que en casi todos los casos hay un solo factor clave en juego, y es comercial: se han identificado clientes o socios potenciales importantes que requieren certificación según el estándar. Las organizaciones que operan en sectores sensibles (finanzas, infraestructuras críticas, sanidad…) ya lo han aprendido o están en proceso de aprenderlo, y no necesitan que se lo comuniquen. Si no lo saben, ¡díselo por todos los medios!
Otras razones que considero completamente válidas y creíbles incluyen:
- La mejora percibida en el nivel de seguridad de la información de una organización proporciona seguridad a otras partes interesadas, además de los clientes (inversionistas, altos directivos, reguladores, proveedores, etc.) con respecto a los riesgos de seguridad de la información para la organización.
- La implementación de ISO 27001 puede ayudar a las empresas más pequeñas en su expansión. Por ejemplo, puede ayudar con el desarrollo de políticas sólidas de recursos humanos, con procedimientos relacionados con la continuidad del negocio, la recuperación ante desastres y la gestión de cambios, y varias otras áreas.
- Tenga en cuenta que ISO 27001 no se refiere de ninguna manera sólo a datos personales, sino que también se ocupa de otros tipos de información confidencial, en particular la propiedad intelectual o «IP» (incluidos los secretos comerciales y el código fuente). Para muchas nuevas empresas tecnológicas, estos son los principales activos del negocio y deben estar bien protegidos.
La gestión de riesgos y la evaluación del desempeño son aspectos críticos pero desafiantes de ISO 27001. ¿Cómo deberían las organizaciones abordar estos elementos para garantizar un Sistema de Gestión de Seguridad de la Información (SGSI) eficaz?
De hecho, estas son posiblemente las áreas centrales de ISO 27001. Entre los aspectos críticos que se deben recordar con respecto a las evaluaciones de riesgos se encuentran:
- Al menos debería intentar identificar todos los posibles riesgos de seguridad de la información (internos y externos) que enfrenta o podría enfrentar su organización. La mejor manera de hacerlo es mediante una lluvia de ideas en un grupo basado en el equipo ISMS.
La norma ISO 27001 se desglosa fundamentalmente en: “¿A qué riesgos de seguridad de la información nos enfrentamos? ¿Cómo deberíamos gestionarlos mejor?
- Así como la gallina puede venir antes que el huevo, tenga en cuenta que lo que debería suceder en este caso es identificar primero los riesgos y luego seleccionar los controles que ayuden a gestionar esos riesgos.
Definitivamente no es necesario aplicar todos los controles, y casi todas las organizaciones tratan algunos, válidamente, como no aplicables en su Declaración de Aplicabilidad. Por ejemplo, las empresas donde todos los empleados trabajan de forma remota simplemente no tienen toda la gama de riesgos que pueden beneficiarse de la mitigación mediante controles físicos.
Cuando se trata de evaluación del desempeño, se trata en gran medida de revisar las cláusulas y controles relevantes y acordar qué tan bien está haciendo el trabajo la organización al tratar de cumplir con los requisitos asociados. Los que se seleccionen para el seguimiento, medición y evaluación dependerán del tipo y tamaño de la organización y de sus objetivos de negocio. Estos son básicamente indicadores clave de desempeño ( KPI ) para la seguridad de la información y pueden incluir evaluaciones de proveedores y eventos, incidentes y vulnerabilidades documentados.
Específicamente para soluciones en la nube como Microsoft 365, ¿qué desafíos únicos enfrentan las organizaciones al implementar ISO 27001 y cómo se pueden abordar?
El cambio hacia el trabajo remoto y el uso de recursos en la nube ha sido bastante disruptivo para la ISO 27001. La versión 2022 se ha adaptado en cierta medida (mediante modificaciones en los controles) para reflejar el cambio en las condiciones laborales. Sin embargo, todavía presta mucha atención a los lugares de trabajo físicos tradicionales, las redes y los proveedores de estilo anterior a SaaS.
El gran cambio del software descargado localmente a los servicios en la nube significa que debemos aprovechar la flexibilidad de ISO 27001 para interpretar los controles 27002 de la manera correspondiente, por ejemplo:
- Pensar menos en redes y más en la configuración segura de los recursos de la nube.
- Centrarse en aspectos de los controles de las ‘relaciones con proveedores’ que son relevantes para los proveedores de SaaS.
- Recuerde que si los recursos de la nube son muy importantes para el manejo y almacenamiento de datos confidenciales en su negocio, entonces el nuevo control 5.23 (Seguridad de la información para el uso de servicios en la nube) es igualmente importante para su negocio y debe abordarse con cuidado y rigor. Es casi seguro que se aplica a usted, y hay muchas cosas ahí.
- Tenga en cuenta que la continuidad del negocio/ recuperación ante desastres para una organización con empleados que trabajan de forma remota utilizando servicios en la nube se convierte en gran medida en una cuestión de cómo los proveedores de la nube pertinentes gestionan las copias de seguridad, la redundancia de almacenamiento/cómputo, etc.
ISO 27001 requiere un compromiso de mejora continua. ¿Cómo deberían las organizaciones abordar esto, particularmente en lo que respecta a la gestión y respuesta a incidentes?
Esta es una sección enigmática de la cláusula 10 (Mejora) con la que las organizaciones tienden a tener problemas (la segunda parte trata sobre cómo abordar las no conformidades y es mucho más clara sobre lo que se debe hacer).
Me parece que el mejor enfoque es plantear la pregunta de «¿cómo podemos mejorar el SGSI?». en las reuniones periódicas de gestión del SGSI, presente algunos ejemplos mediante los cuales esto se pueda lograr y luego proporcione cualquier progreso observado en la dirección correcta. Eso significa que en el momento de la primera auditoría de seguimiento (vigilancia) debería poder presentar una lista de varias mejoras potenciales junto con cómo se están logrando.
Me gustaría finalizar mencionando que nada impide que su organización implemente ISO 27001 sin obtener la certificación, o incluso realizar una implementación parcial. A muchas empresas les gusta el concepto de ISO 27001, pero no están preparadas para comprometerse plenamente. En ese caso, recomiendo encarecidamente el siguiente modelo de implementación:
1. Decida qué áreas de seguridad de la información son prioridades para su organización en términos de aumento incremental de la seguridad, recursos (dinero, tiempo, personal) necesarios y facilidad de implementación. Puede llamarlos su «fruta de seguridad más fácil» si es necesario. Entre los posibles ejemplos se incluyen el control de acceso, la seguridad de recursos humanos o la seguridad de terminales.
2. Revíselos uno por uno según los controles 27002 pertinentes.
3. Una vez que haya cubierto las áreas de mayor prioridad, comience a trabajar en niveles de prioridad más bajos.
4. Después de unos meses de esto, es posible que sienta que ISO 27001 no es tan formidable y que está listo para abordarla.
Fuente y redacción: Mirko Zorz / helpnetsecurity.com
