Iso 27001 y las PyMEs
6
ISO-27001 y las PyMEs (por Alejandro Corletti: [email protected]) Este artículo va a presentar una visión concreta y realista de la situación de las PyMEs Españolas en cuanto a ISO-27001. Se trata de “vislumbrar lo que se viene” para anticipar un poco lo que a las PyMEs casi les vendrá impuesto. Esto no es una novedad, con ISO 9000 ya sucedió, la diferencia tal vez sea que este nuevo estándar está creciendo más vertiginosamente y a su vez toda PyMEs que desee seguir compitiendo en este “Cybermercado” necesitará cada vez más abrir/compartir sus SSII, deberá acceder y ser accedido a su información de Stock, facturación, pedidos, clientes, productos, precios, listados, nómina, etc..... y para ello le exigirán un cierto nivel de seguridad de los mismos. Este nivel, la mejor forma de demostrarlo es a través de una certificación reconocida mundialmente, y en esto, la calve la tiene ISO-27001. 1. Claves para una PyME. Vamos a empezar un poco al revés de la estrategia común de un artículo. Más allá del desarrollo teórico, deseo dejar claro que a nuestro juicio, existen cuarto CLAVES para una PyME que se plantea ISO-27001 (primera cuestión que tal vez no sea así en una gran empresa): - Orientar la Seguridad con sus procesos de negocio. - Gestionar su seguridad (no solo medidas técnicas) - Obtener una validación sólida sobre su situación en LOPD y LSSI. - Entrar en el proceso de “Lobby” que se está gestando. Desarrollemos brevemente cada uno de ellos: a. Orientar la Seguridad con sus procesos de negocio: El primer paso para la implementación de ISO-27001, es el análisis de riesgo (AR) (hasta podríamos discutir si es previo o no a la determinación del “Ámbito a certificar”, pero no vale la pena hacerlo ahora....). Esta actividad que está muy de moda hoy, puede hacerse siguiendo cualquier metodología, siempre y cuando demuestre coherencia. El resultado final de la misma, será a través del análisis de activos, impacto, salvaguardas, etc, llegar a determinar los niveles de riesgo (fundamentalmente residuales) al que cada activo quedará expuesto, con la intención de “trabajar” de aquí en más sobre los mismos, en un ciclo continuo (Plan-Do-Check-Act). Hemos visto mucho de esto en la viña del Señor y estamos convencidos, que para una PyMEs lo fundamental, es que en el resultado final del mismo se vea claramente que lo principal para esta PyME es comenzar todo el trabajo por aquellos activos que “dan de comer a la empresa”, es decir los procesos primarios de negocio. Sinceramente, no nos sirve de mucho reconocer que la página web posee un alto riesgo, si esta empresa no opera a través de ella, es importante, pero no fundamental. ASPECTOS TRATADOS EN ESTAS LÍNEAS 1. Claves para una PyME. 2. El nicho de mercado principal de ISO-27001 son las PyMEs. 3. Metodología de implantación y certificación en las PyMEs.
-
Upload
alejandro-corletti-estrada -
Category
Internet
-
view
2.637 -
download
0
Transcript of Iso 27001 y las PyMEs
ISO-27001 y las PyMEs (por Alejandro Corletti: [email protected])
Este artículo va a presentar una visión concreta y realista de la situación de las PyMEs Españolas en cuanto a ISO-27001. Se trata de “vislumbrar lo que se viene” para anticipar un poco lo que a las PyMEs casi les vendrá impuesto. Esto no es una novedad, con ISO 9000 ya sucedió, la diferencia tal vez sea que este nuevo estándar está creciendo más vertiginosamente y a su vez toda PyMEs que desee seguir compitiendo en este “Cybermercado” necesitará cada vez más abrir/compartir sus SSII, deberá acceder y ser accedido a su información de Stock, facturación, pedidos, clientes, productos, precios, listados, nómina, etc..... y para ello le exigirán un cierto nivel de seguridad de los mismos. Este nivel, la mejor forma de demostrarlo es a través de una certificación reconocida mundialmente, y en esto, la calve la tiene ISO-27001.
1. Claves para una PyME.
Vamos a empezar un poco al revés de la estrategia común de un artículo. Más allá del desarrollo teórico, deseo dejar claro que a nuestro juicio, existen cuarto CLAVES para una PyME que se plantea ISO-27001 (primera cuestión que tal vez no sea así en una gran empresa):
- Orientar la Seguridad con sus procesos de negocio. - Gestionar su seguridad (no solo medidas técnicas)
- Obtener una validación sólida sobre su situación en LOPD y LSSI. - Entrar en el proceso de “Lobby” que se está gestando.
Desarrollemos brevemente cada uno de ellos:
a. Orientar la Seguridad con sus procesos de negocio: El primer paso para la implementación de ISO-27001, es el análisis de riesgo (AR) (hasta podríamos discutir si es previo o no a la determinación del “Ámbito a certificar”, pero no vale la pena hacerlo ahora....). Esta actividad que está muy de moda hoy, puede hacerse siguiendo cualquier metodología, siempre y cuando demuestre coherencia. El resultado final de la misma, será a través del análisis de activos, impacto, salvaguardas, etc, llegar a determinar los niveles de riesgo (fundamentalmente residuales) al que cada activo quedará expuesto, con la intención de “trabajar” de aquí en más sobre los mismos, en un ciclo continuo (Plan-Do-Check-Act). Hemos visto mucho de esto en la viña del Señor y estamos convencidos, que para una PyMEs lo fundamental, es que en el resultado final del mismo se vea claramente que lo principal para esta PyME es comenzar todo el trabajo por aquellos activos que “dan de comer a la empresa”, es decir los procesos primarios de negocio. Sinceramente, no nos sirve de mucho reconocer que la página web posee un alto riesgo, si esta empresa no opera a través de ella, es importante, pero no fundamental.
ASPECTOS TRATADOS EN ESTAS LÍNEAS
1. Claves para una PyME. 2. El nicho de mercado principal de ISO-27001 son las PyMEs. 3. Metodología de implantación y certificación en las PyMEs.
Si se han asociado eficientemente los procesos de Negocio con los activos fundamentales, entonces ahora se puede pensar la seguridad de los mismos como una cuestión ya no de gasto, sino de beneficio para esta PyME. Cada una de las acciones estará orientada a optimizar y garantizar el correcto funcionamiento de cada uno de ellos. Desde la contratación de personal, los cacuerdos con terceros, la adquisición de hardware y software, la segmentación de redes, las medidas de seguridad física, hasta la preparación/prevención y tratamiento de incidentes, las conformidades legales, etc. Cada uno de estos temas estará centrado en su eficiente adecuación para el proceso de negocio. Conclusión: el resultado final del AR, debe ser un claro reflejo de lo prioritario que es, para esta empresa en particular, cada activo relacionado con sus procesos de negocio (sino, ya empezamos mal....). Luego se optimizará cada uno de ellos.
b. Gestionar su seguridad (no solo medidas técnicas):
El holismo enfatiza la importancia del todo, el cual, es más grande que la suma de las partes y da importancia a la interdependencia de estas.
Holismo, eso es gestionar la seguridad. Nuestra experiencia, es que la seguridad hasta ahora no deja de ser un conjunto de partes, conformadas por mayor o menor cantidad de medidas técnicas, según la empresa. ISO-27001, reúne la totalidad de ellas y al integrarlas a través de un Sistema de Gestión de la Seguridad de la Información (SGSI) y llevado como un ciclo continuo (PDCA) genera holismo, un resultado superior a la suma de sus partes. Esto no es una mera hipótesis, es el resultado que ofrecen los puntos 4 al 8 de ISO-27001. Hasta ISO-17799 (Actual ISO-27002), la seguridad era solamente una serie de 133 controles técnicos y nada más. La diferencia (Fundamental), entre su predecesora 17799 y la actual 27001, es que a través de esos nuevos apartados, se genera un verdadero Sistema de Gestión consensuado y llevado a la práctica mundialmente, pues se está demostrando que es la única forma de interpretar la seguridad, “como un todo” = Holismo. Lo importante de esto para una PyME es que, es más grande que la suma de sus partes, y a través de estos puntos (4 al 8), no deja nada librado al azar, garantizando y homogeneizando el propio sistema con el de otras empresas, independientemente de la magnitud de las mismas.
c. Obtener una validación sólida sobre su situación en LOPD y LSSI: Para todas las PyMEs que tengan la incertidumbre de “Qué hacer con estos aspectos legales”: Por fin llegó ISO-27001..... Es interesante analizar este aspecto. Tanto en Europa como en EEUU, se están dando elementos de juicio que avalan este hecho. A mediados del pasado mes de julio, se publicó en la revista “Computer Weekly” un artículo muy interesante de directivos de Microsoft, expresaban textualmente que ISO-27001, puede ser el puente de unión entre las orillas de la seguridad y las regulaciones legales. En el caso de este País, se refiere más a Sarbanes-Oxley e HIPAA. Pero en el caso concreto de España, ya hubo también algunos antecedentes concretos de inspecciones de la Agencia Protectora
Se está demostrando que la única forma de interpretar la seguridad, es “como un todo”: Holismo
Si se han asociado eficientemente los procesos de Negocio con los activos fundamentales, entonces ahora se puede pensar la seguridad de los mismos como una cuestión ya no de gasto, sino de beneficio para esta PyME.
de Datos a empresas certificadas en ISO-27001 en los cuales, al tomar conocimiento de la certificación, los responsables de esta agencia la consideraron como un trabajo superior aún al solo hecho de la legalidad con la LOPD, pues evidentemente habían encarado un desafío mucho más grande, que incluía como parte de él, los aspectos relacionados con la protección de datos, y no hicieron ningún tipo de observaciones.
Estas consideraciones no pueden dejar dudas, pues el último grupo de controles de ISO-27001, se refiere a “Marco legal y buenas prácticas”, y su no cumplimiento es motivo de No Conformidad Mayor, lo que ocasiona la no certificación. Es decir, el recibir la certificación ISO-27001, implica y avala, que los auditores correspondientes, han realizado una evaluación de las conformidades legales de la empresa y dieron el visto bueno.......Se podría presentar una hipotética situación, en la cual una inspección de la Agencia de Protección de Datos o cualquier organismo oficial, ponga en duda lo controlado por la Autoridad Certificadora..... humm... que incertidumbre..... ¿Quién se animará a bombardear este puente primero?
d. Entrar en el proceso de “Lobby” que se está gestando: Uno de los principales motores que están llevando al incremento de certificaciones ISO 27001 está siendo la aparición en contratos, de sugerencias al proveedor respecto a estar certificado en esta norma. Cada vez más contratos, estipulan ya que el proveedor apropiado debería tener la certificación en ISO-27001. Nuevamente no es de extrañarse, pues ya sucedió con otros estándares y es lógico que así suceda, pues estamos hablando de empresas que han decidido invertir en mejorar y garantizar sus SSII y otras que no. Para no pecar de inocente, en este ámbito tan “sanamente” competitivo, es muy lógico pensar que algunas empresas que ya tienen la certificación ISO 27001 harán “lobby” a favor de incluirlo como requisito en las ofertas de los clientes, obstaculizando a cualquier rival que no la tenga (no se porqué, me suena conocido este discurso......). Por tanto y como nueva motivación, la certificación de la seguridad puede ser una oportunidad de negocio más que un coste. Lo que no se puede pensar es obtener la certificación, por este sólo hecho, y muchísimo menos, hacerlo contra reloj pues sería inabordable.
2. El nicho de mercado principal de ISO-27001 son las PyMEs.
Como la mayoría de los estándares, este también nace como una respuesta del mercado ante requerimientos concretos de seguridad. En definitiva, cualquiera de estas normas, lo que busca es homogeneizar las buenas prácticas que se comienzan a poner en marcha. Por eso todo proceso de estandarización de ISO, nace recolectando la opinión de las empresas del mercado que desean formar parte, proponiendo un primer borrador, y en base a las objeciones, comentarios técnicos, editoriales, etc. el borrador va madurando hasta llegar al nivel de estándar.
El tema venía fácil para las grandes empresas mientras fue ISO-17799. En definitiva solo era cuestión de implementar muchas medidas técnicas que se ajusten a los controles, pero al producirse el cambio a ISO 27001 (la parte certificable de la familia 27000) cuya diferencia de fondo no es trivial, podríamos afirmar categóricamente que el nicho de mercado de esta norma cambió radicalmente. La magnitud e implicaciones de un verdadero SGSI y un PDCA es tan
“ISO-27001, puede ser el puente de unión entre las orillas de la seguridad y las regulaciones legales”
La certificación de la seguridad puede ser una oportunidad de negocio más que un coste.
considerable, que una gran empresa lo tiene muy cuesta arriba, y a los hechos me remito: No existe ninguna gran empresa que haya podido certificar el 100% de sus sistemas de información. Todas han empezado por acotar su ámbito de certificación, para avanzar paso a paso e ir creciendo hasta ver a dónde llegan. Es natural, pues desde la línea de partida es difícil ponerse de acuerdo, pues un análisis de riesgo que pueda identificar TODOS los SSII que afectan sus procesos de negocio, para una gran empresa es imposible (insisto, me refiero a TODOS llegando al máximo nivel de detalle que permita concatenarse con la medición de impacto, las salvaguardas, y cuantificando el riesgo con valores concretos). Si no se puede partir de una base sólida, las inconsistencias se suman y se propagan, llegando a presentar serias brechas, para lo cual el mejor camino es “acotar la tarea”, con un buen cimiento, es decir un ámbito reducido, y luego seguir avanzando ladrillo a ladrillo.
Esta realidad, podemos afirmarla pues justamente para corroborar este hecho, fue que en NCS nos propusimos la meta de certificar el 100% de nuestros sistemas y comprobar que esto es factible para una PyME, viviendo muy de cerca la dificultad que esto presenta a grandes empresas. Una PyME hoy, tiene el camino mucho más fácil, pues hasta la totalidad de su ámbito puede quedar bajo el control de un SGSI por la magnitud y sencillez que representa frente a una grande.
Como acabamos de expresar entonces, esta norma no pretende llegar únicamente a grandes empresas, sino que casi lo contrario, deberá necesariamente ser aplicado en las PyMEs que deseen trabajar como socias de negocio de cualquier otra grande o pequeña empresa. Todo indica que desde varios organismos oficiales están apuntando a este hecho, a través de proyectos, subvenciones, gestiones, etc.
3. Metodología de implantación y certificación en las PyMEs.
El principal objetivo de este artículo es ofrecer un claro curso de acción para las PyMEs. No está orientado a las grandes empresas, pues cualquiera de ellas está en condiciones de contratar una consultoría externa y desentenderse del tema (....grave error), asumiendo también los grandes costes que ello implica. Por esta razón, es que toda PyME debe hacer una fuerte diferencia entre la “Necesidad de certificar” y el “Negocio de la Certificación”, que es la finalidad última de todo este texto pues, bien entendidas estas posturas es lo que les permitirá implementar a las PyMEs la mayoría de los puntos de este estándar, con gran independencia del “Negocio de la Certificación” que se gesta alrededor de todo estándar certificable.
Para serles sinceros, si se poseen los conocimientos y capacidades necesarias, afirmaría que se puede “Dibujar” una certificación ISO 27001 (y lo que acabo de afirmar, es muy, pero muy atrevido….). Lo que también afirmo y con mucha más contundencia, es que será imposible de mantener esta mentira.
Comentario: al solicitar la certificación ISO-27001, se debe especificar un ámbito para la misma, este ámbito deja fuera todo lo que uno no desee cubrir por el certificado. Por ejemplo, se puede solicitar la certificación para el CPD central de la empresa, para el proceso de control de stock, de ventas, para la plataforma de transmisión de datos WAN, para la infraestructura informática de tal provincia, etc. Es decir, el certificado ISO-27001, solo aplica al ámbito en el cual se acotó la certificación, cosa que en el Logo que exhibe la empresa no figura, pero sí en el certificado (recomendamos especialmente, prestar atención a este hecho)
Lo que se trata de reflejar en el cuadro anterior es la decisión que deberá adoptar todo responsable de sistemas en los próximos años, es decir:
Tal vez parezca cruel, o poco serio, pero es la cruda realidad (a veces la realidad supera ampliamente a la ficción, y en este tipo de determinaciones puedo asegurarlo con mucha certeza) .
Se puede encarar esta ardua tarea, con la intención de aprovechar el esfuerzo o simplemente, para cumplir con un requisito que permita a la empresa seguir fielmente las exigencias del mercado y hacer el mínimo esfuerzo posible, tratando de (fría y crudamente) engañar al auditor…..(Lo que recuerden que, también afirmo y con mucha más contundencia, es que será imposible de mantener esta mentira). Puedo garantizar que será humanamente imposible volver a demostrar, año tras año, que el SGSI sigue rodando (la mentira tiene patas cortas). Es decir, no merece la pena tratar de encarar una futura certificación ISO 27001 si no se tiene como objetivo fundamental y sincero:
“Implementar un VERDADERO SGSI” Esto se desmorona muy rápidamente si se partió de pilares débiles, engañosos o falsos, tratando meramente de obtener el sello de “ISO 27001” como única meta.
Por lo tanto, primer “consejo” (si se puede llamar así): No se autoengañen, encaren esta tarea con la sana intención de aprovechar al máximo cada esfuerzo que esta les requiera.
Una vez comprendido esto, creo necesario avanzar un poco más aún, pues esto afecta de lleno a las PyMEs y tal vez no tanto a una gran empresa.
Todo responsable de implementar ISO 27001 en una PyME, en mayor o menor medida, “SÍ o SÍ” ¡¡ debe MOJARSE !!
Una gran empresa, tal vez pueda darse el lujo de externalizar todo el proceso, el mantenimiento y las acciones a futuro……….una PyME seguro que no. A lo sumo, deberá contratar una consultora que le analice, diseñe, planifique e implemente inicialmente desde el vamos, todo el SGSI, pero es casi seguro que no podrá subcontratar el mantenimiento que un SGSI requiere, esta tarea implica poseer un claro entendimiento de lo que se hizo y el funcionamiento de todo el SGSI, por lo tanto, en cualquier caso alguien, responsable de la PyME deberá intervenir en profundidad. Esto no quiere decir que le implicará abandonar el resto de sus tareas, pero se debe ser consciente, que algo de su tiempo le deberá dadicar.
El responsable de seguridad de la PyME deberá “Mojarse” desde el inicio. Puede hacerlo, embebiéndose del Estándar, e ir preparando poco a poco su empresa con un mínimo apoyo de algún especialista. Este curso de acción, requiere un mayor esfuerzo de los administradores de informática de la empresa (y de su responsable), pero es el que mayor experiencia les aportará y, los resultados, si se ponen ganas, serán muy buenos y dejarán claros los pasos a futuro para mantener el SGSI funcionando perfectamente.
La segunda opción que puede tener el responsable de seguridad de una PyME, es contratar una consultoría para que lo guíe paso a paso en todo el proceso, ¡¡ ojo !!, no estoy diciendo que haga
Evidentemente, necesito certificar ISO 27001 en el corto plazo:
¿Busco sólo el sello? ¿Lo hago
como se debe?
todo el trabajo, sino que vaya guiando a la empresa en cómo hacerlo, pues si lo hace la consultora, se cae en la mentira anteriormente mencionada, pues una vez que se retire el consultor, el SGSI será muy duro de mantener. Por lo tanto lo más importante a reflexionar sobre esta segunda opción es que no es “lavarse las manos”, sino trabajar codo a codo con el consultor, para aprovechar al máximo la experiencia de éste en cada paso, y ser capaz de tener un claro conocimiento de todo lo realizado, para mantenerlo en funcionamiento, se reitera que de esto se trata: “un ciclo de vida continuo”.
En cualquiera de los dos casos, es perfectamente posible preparar una PyME para luego solicitar a los auditores acreditados la certificación ISO 27001.
