Cuando hablo con alguien nuevo en ISO 27001, a menudo me encuentro el mismo problema: esta persona piensa que la norma describirá en detalle todo lo que necesita hacer – p.e., cada cuánto tiempo se debe hacer un respaldo, cuán distante debe estar el sitio para recuperación de desastre, o aún peor, qué tipo de tecnología deben usar para protección de la red o cómo deben hacer para configurar el router.
He aquí las malas noticias: ISO 27001 no describe esas cosas; trabaja de una manera completamente diferente. Veamos por qué…
¿Por qué ISO 27001 no dice lo que se tiene que hacer?
Imaginemos que la norma dice que usted necesita hacer un respaldo cada 24 horas – ¿es esa la medida correcta para usted? Podría ser, pero créame, para muchas compañías en la actualidad eso sería insuficiente – la tasa de cambio en los datos es tan alta que necesitan hacer un respaldo si no en tiempo real, entonces al menos cada hora. Por otra parte, aún existen compañías que podrían pensar que un respaldo diario es demasiado – su tasa de cambio aún es baja, así que no tiene sentido hacer respaldo con tanta frecuencia.
El punto es – si la norma se debe adaptar a cualquier tipo de compañía, entonces este enfoque de decir lo que hay que hacer no es posible. Así que, es prácticamente imposible no sólo definir la frecuencia de respaldo, sino también la tecnología que se debe usar, cómo configurar cada dispositivo, etc.
Por cierto, la percepción de ISO 27001 como rector de todas las actividades que se deben ejecutar es el más grande generador de mitos acerca de ISO 27001 – vea también Los 5 grandes mitos sobre ISO 27001.
Gestión de Riesgo es la idea central de ISO 27001
Así que, usted se podría preguntar, “¿Por qué necesito una norma que no me dice nada en concreto?”
Porque ISO 27001 le ofrece un marco de trabajo para que usted decida acerca de la protección más apropiada. Del mismo modo, p.e., usted no puede copiarse una campaña de mercadeo de otra empresa y usarla en la suya, el mismo principio es válido para la seguridad de la información – usted debe adaptarla a sus necesidades particulares.
Y la manera en la cual ISO 27001 le dice cómo lograr esa adaptación es ejecutando una evaluación de riesgo y un tratamiento de los riesgos. Esto no es más que una visión sistemática de las cosas malas que pueden ocurrirle (evaluar los riesgos) y luego decidir cuáles medidas de seguridad debe implementar para prevenir que esas cosas malas ocurran (tratamiento de los riesgos).
Figura: Método de selección de medidas de seguridad en ISO 27001
La idea general acá es que usted debería implementar sólo las medidas (controles) que se necesitan de acuerdo a los riesgos, no las que le guste más o crea que sean más bonitas; pero, esta lógica también quiere decir que usted debería implementar todos los controles necesarios de acuerdo a los riesgos, sin excluir los que a usted no le gusten.
Vea también: Evaluación y Tratamiento del Riesgo en ISO 27001 – 6 pasos básicos.
TI sola no es suficiente
Si usted trabaja en el departamento de TI, usted probablemente está en cuenta que la mayoría de los incidentes ocurren no precisamente porque las computadoras se echan a perder, sino porque los usuarios usan los sistemas de información de la manera equivocada.
Y esa manera equivocada no se previene sólo con medidas de seguridad – lo que también se necesita son políticas y procedimiento claros, capacitación y toma de conciencia, protección legal, medidas disciplinarias, etc. Las experiencias de la vida real han comprobado que mientras más medidas se apliquen, mayor será el nivel de seguridad alcanzado.
Y cuando se da cuenta, que no toda la información sensible está en formato digital (probablemente aún tenga papeles con información confidencial en ellos), la conclusión es que las medidas de TI no son suficientes, y que el departamento de TI, a pesar que es fundamental en un proyecto de seguridad de la información, no puede llevar a cabo este tipo de proyecto solo.
De nuevo, el hecho que la Seguridad de TI es solo el 50% de la seguridad de la información es reconocido en ISO 27001 – la norma le dice cómo implementar la seguridad de la información mediante un proyecto global donde no sólo TI, sino toda la organización, debe participar.
Haciendo que la Dirección se comprometa
Pero, ISO 27001 no se detiene con la implementación de varias medidas de seguridad – sus autores entendieron perfectamente bien que la gente del departamento de TI, o de otras posiciones en niveles medios o bajos de la organización, no podían lograr mucho si los ejecutivos en niveles altos no hacían algo al respecto.
Por ejemplo, usted puede proponer una nueva política para la protección de documentos confidenciales, pero si la alta dirección no hace que los trabajadores (o ellos mismos) cumplan dicha política, la misma no servirá de mucho en la compañía.
Así que, ISO 27001 le ofrece una lista de verificación sistemática acerca de lo que debe hacer la alta dirección:
- Establecer las expectativas del negocio (objetivos) de la seguridad de la información
- Publicar una política acerca de cómo controlar si las expectativas fueron cumplidas
- Designar los principales responsables para la seguridad de la información
- Proveer suficientes recursos financieros y humanos
- Revisar periódicamente si las expectativas fueron cumplidas
No permite que el sistema se deteriore
Si usted trabaja en una compañía por dos años o más, entonces probablemente debe saber cómo funcionan los nuevos proyectos o iniciativas – al principio parecen bonitos y brillantes y todos (o al menos a la mayoría de los trabajadores) tratan de hacer lo posible por hacer que todo funcione. Pero sin embargo, con el tiempo, el interés y el entusiasmo decaen, y con ellos, todo lo relacionado con el proyecto también decae.
Por ejemplo, seguro que tenían un sistema de clasificación que funcionaba bien inicialmente, pero con el tiempo la tecnología cambió, la organización cambió y la gente cambió, y si nadie se ocupó de actualizar la política, seguro que cayó en obsolescencia. Y, como debe imaginarse, nadie va a cumplir lo que está establecido en un documento obsoleto, lo cual quiere decir que la seguridad será peor.
Para prevenir eso, ISO 27001 ha descrito un par de métodos para prevenir que ocurra ese deterioro; aún más, estos métodos se usan para mejorar la seguridad en el tiempo, haciéndola mejor que cuando inició el proyecto. Estos métodos incluyen el seguimiento y medición, auditorías internas, acciones correctivas, etc.
Por lo tanto, usted no debería ser negativo acerca de ISO 27001 – puede parecer vago en la primera lectura, pero puede ser un marco de trabajo muy útil para resolver muchos de los problemas de seguridad en su compañía. Es más, puede ayudarle a hacer su trabajo más fácil, y obtener mayor reconocimiento por parte de la dirección. (Vea también: 4 reasons why ISO 27001 is useful for techies.)
Haga click acá para registrarse en un Webinar gratuito: ISO 27001: Resumen del proceso de implementación de SGSI.