ponencia148 1
DESCRIPTION
Trabajo de Recopilacion de Información De estanadres ISO-27001TRANSCRIPT
Implantación de la ISO27001: Factores críticos de éxito y visión de la norma como motor de generación de valor añadido.
David Reinares Lara, Consultor Senior, Innotec System
RESUMEN
La aparición de la norma ISO27001 ha representado un gran cambio en la manera de plantear la seguridad, ofreciendo un modelo iterativo y global con el que encarar la seguridad en las empresas. Sin embargo su implantación práctica presenta complejidades que pueden hacer fracasar el proyecto, a la vez que representa un gran gasto para la empresa que no siempre es fácil de justificar a la dirección.
Existen una serie de factores críticos que deben ser tomados en cuenta desde el inicio del proyecto y que suelen coincidir en la mayoría de las implantaciones como causas principales de fracaso en el proyecto. Estos factores, encarados de manera correcta desde el principio, sin embargo, pueden desembocar en que el proyecto resulte más sencillo y su ejecución más rápida y con menor gasto. Conocer estos factores es por lo tanto clave para la consecución de cualquier proyecto de implantación y certificación de la ISO 27001.
En la implantación existen beneficios añadidos al de la “securización” de la empresa, como pueden ser la mejora de la imagen exterior, el control de la inversión realizada, la mejora continua mediante la detección de desviaciones, entre otros. En definitiva, un valor añadido para la empresa que ha de ser expuesto a la alta dirección en la fase de aprobación del proyecto, y que debe ser explotado como un beneficio adicional importante a la inversión realizada y tenido en cuenta a la hora de calcular el retorno de la inversión en seguridad.
Palabras claves: seguridad, SGSI, ISO27001, factores críticos de éxito, generación de valor, proceso, ciclo, certificación.
1. INTRODUCCIÓN
En un entorno cada vez más conectado y dependiente de los SI, el coste de la inseguridad crece exponencialmente. Según un estudio realizado por Ashish Grag, Jeffrey Curtis y Hilary Halper, sobre un total de 22 incidentes de seguridad entre 1996 y 2002, el precio de las acciones de las empresas afectadas cayó un 2,7 por ciento el primer día tras conocerse públicamente la noticia, y un promedio del 4,5 por ciento, lo que supuso una pérdida media por incidente de 918 millones de dólares (Garg, y otros, 2003). Aunque estos resultados no pueden ser extrapolados a todos los tipos de compañías, son un claro ejemplo del daño causado por un incidente de seguridad medido tan solo en los costes del daño a la imagen corporativa.
La Tabla 1 recoge las conclusiones de un estudio realizado por PriceWaterhouseCoopers para el Departamento de Comercio e Industria en el año 2008
2008 Global 2008 Grandes empresas
Interrupción del negocio
8.000-15.000£ en 1-2 días
80.000-130.000£ en 1-2 días
Tiempo dedicado a
responder al incidente
600-1.200£ en 2-4 días-hombre
2.500-5.000£ en 6-13 días-hombre
Dinero gastado de manera directa en
responder al incidente
1.000-2.000£ 4.000-8.000£
Perdida financiera
directa (pérdida de activos, bienes, etc)
500-1.000£ 4.000-8.000£
Daño a la reputación 50-200£ 2.000-15.000£
Coste total del peor incidente
de media 10.000 – 20.000£ 90.000-170.000£
Tabla 1 ¿Cuál fue el coste del peor incidente de seguridad el año pasado?, fuente Informe de
incidentes de seguridad 2008 (PriceWaterhouseCooper, 2008).
La pregunta que surge de manera lógica ante estas cifras es, ¿qué se puede hacer? Y la respuesta es sencilla: invertir en seguridad. O quizás no sea tan sencilla ¿Qué compramos? ¿A quién contratamos? ¿Qué hacemos? Existen miles de productos software y hardware de seguridad, así como manuales, normativas, estándares de diversos países. Además, lamentablemente, muchas de estas tecnologías aún no son estándares, por lo que cada compañía las implementa de una manera, provocando que en numerosos casos no se puedan comunicar entre sí, lo cual sería deseable en aras de la seguridad global de la empresa.
Ante esta situación, la organización ISO, impulsada por miles de empresas internacionales y decenas de gobiernos, decidió crear un conjunto de normativas agrupadas bajo el epígrafe ISO27000; siendo la primera y más importante la ISO27001 (Information technology - Security techniques - Information security management systems – Requirements), que establece como modelo de seguridad para las empresas el Sistema de Gestión de la Seguridad de la Información (SGSI), un modelo basado en el ciclo de Demming, que fundamenta su existencia en un proceso cíclico de mejora continua. Esta norma a su vez es sustentada por otras normas, como la ISO27002 (Information technology - Security techniques - Code of practice for information security management), un conjunto de controles para implantar en la empresa que tratan todos los aspectos de la seguridad, desde la seguridad física, hasta la formación y concienciación de los empleados, pasando por el desarrollo de aplicaciones, la subcontratación o la gestión de claves. Aún faltan por salir varios estándares de esta familia, siendo uno de los más importantes la ISO27003 (Information Technology - Security techniques. Information security management system implementation guidance), una guía para el proceso de implantación de un SGSI, entrando en profundidad en cada una de las cuatro fases del ciclo de Demming (Plan, Do, Check, Act, PDCA, según sus siglas en inglés).
Lo importante de estos estándares, es que son reconocidos e impulsados mundialmente, y las más grandes empresas y gobiernos ya están certificándose en ella; dándose el caso incluso de países como EEUU, que contando con sus propias normativas (la serie 800 del NIST en el caso americano), muchas de sus empresas y de sus instituciones públicas se están certificando en la norma, lo que da cuenta de su importancia y amplio respaldo.
2. FACTORES CRÍTICOS DE ÉXITO
El proceso de implantación de un SGSI es un tema complejo, que requiere de muchos recursos y puede llegar a suponer una interrupción en el trabajo diario. Por ello muchas empresas han necesitado tomar un segundo o incluso tercer proceso de certificación antes de lograr ser certificado en el estándar, con el consiguiente gasto de recursos financieros, de personal y de tiempo. Estos procesos de certificación fallidos empezaron a ser estudiados para intentar hallar una serie de patrones de fallo, y localizar aquellas áreas que debían ser especialmente tratadas en aras de implantar un SGSI exitoso.
Los Factores Críticos de Éxito (FCE en adelante) pueden ser definidos como "el número limitado de áreas en las cuales los resultados, si son satisfactorios, asegurarán un rendimiento competitivo exitoso para la organización. Son las pocas áreas clave donde las cosas deben ir bien para que el negocio florezca. Si los resultados en estas áreas no son los adecuados, los esfuerzos organizacionales para el periodo serán menos que los deseados.” (Rockart, y otros, 1981).
En primer lugar se debe buscar el compromiso y soporte gerencial, de manera que el proyecto venga patrocinado desde arriba en la dirección, y sea esta la primera en dar ejemplo a la hora de aplicar aquellas medidas necesarias para definir, aplicar y mantener la seguridad en la empresa. Además es necesario que la gerencia establezca una serie de comités de alto nivel para la toma de decisiones, de manera que las prioridades no cambien en caso de problemas operacionales y
se pueda obtener un proceso continuo y continuado.
Las políticas, objetivos y actividades de seguridad deben reflejar de manera clara y correcta los objetivos del negocio. El SGSI debe formar parte integral de la empresa estando alineado con los objetivos de negocio de la misma, dándoles soporte y asegurándoles su éxito frente a las amenazas externas e internas que puedan ponerlos en riesgo. Esta es una tarea compleja que debe ser refinada en los sucesivos ciclos del SGSI, y que está alineada con el anterior FCE, en cuanto debe ser la alta dirección junto con las gerencias de cada unidad de negocio quienes ayuden a conseguir esta alineación estratégica y operativa.
La visión de la implantación del SGSI como un proceso, en lugar de cómo un proyecto. De esta manera se puede asegurar que no se acabará cancelando si el presupuesto general se reduce, ni dependerá de la voluntad de un directivo. En cuanto proceso definido en la empresa, será el comité encargado quien disponga del mismo. Esto facilita así mismo la alineación de la implantación con los objetivos del negocio definido en el factor anterior y la gestión del SGSI a lo largo del tiempo. Esto es vital debido a que un SGSI debe ser refinado en fases sucesivas en un ciclo que nunca finaliza, debido a los continuos cambios a los que las empresas están sometidas.
La formación de los empleados en todos los niveles, desde pequeños cursos o seminarios de concienciación en la seguridad, hasta formación especializada en herramientas y tecnologías según las necesidades detectadas y contramedidas a establecer en cada unidad de negocio e incluso departamento. Esta formación debería ser evaluada y mejorada de manera continua para que resulte totalmente adaptada al nivel de conocimientos y habilidades de los diferentes empleados de la empresa, asegurando de esta manera su fácil comprensión y que de esta manera aumenten las posibilidades de que los empleados asimilen estas buenas prácticas en su trabajo diario.
La implantación del SGSI debería tener en cuenta la cultura organizativa de la empresa, de manera que, al adaptarse a la misma, facilite la adopción por parte de los empleados de las contramedidas, cualesquiera que sean estas. Esto implica que el equipo encargado de la implantación debería primeramente averiguar cuál es la cultura organizativa, o dicho de forma más coloquial, como se hacen las cosas en cada área, de manera que al proponer cada contramedida se adapte a la idiosincrasia empresarial. Esto no implica que no haya que realizar cambios en la cultura empresarial de la organización, puesto que la adopción de un ciclo de mejora continua para la seguridad presupone que la empresa madurará su cultura hacia una más consciente de la seguridad, y en la cual la misma está presente en todos los ámbitos. Sin embargo los cambios culturales son a largo plazo, por lo que adaptar las medidas a implantar a la forma de trabajo de las personas hará más sencillo que este cambio gradual suceda. Una manera sencilla sin embargo de provocar este cambio gradual sería que, desde la dirección se revisara la definición de objetivos y metas de cada puesto de manera que la seguridad sea uno más de los factores de evaluación y ascenso de cada empleado.
El involucramiento de todos los interesados (stakeholders) es vital para que el proyecto salga adelante. Ningún proceso de implantación que quiera ser exitoso puede ser realizado sin contar con la colaboración y conocimiento de los trabajadores, colaboradores, subcontratados o incluso accionistas sobre la empresa, sus activos, las amenazas que pueden poner en peligro a los activos, el impacto y la probabilidad de cada amenaza, la manera de trabajar y de gestionar la información (lo cual enlaza de manera directa con el anterior FCE), etc. Por ello no solo se debería contar con estos interesados en el trabajo de recogida de información, sino que sería conveniente darles una mínima formación sobre la implantación de un SGSI y el análisis de riesgos, de forma que puedan aportar un mayor conocimiento en la recogida de información al saber por qué se hacen las cosas y que se busca con ellas.
La detección temprana de todas aquellas regulaciones, leyes y estándares de la industria que afectan a la empresa, y que deben encontrar su contrapartida en el SGSI. La norma ISO27001, a pesar de ser un estándar global, da una importancia capital (especialmente en el proceso de certificación) al cumplimiento de los anteriores por parte de las empresas implantando un SGSI, debido a que hace propia la máxima “piensa globalmente, actúa localmente”. Los códigos de buenas prácticas ofrecidos por la norma ISO son el resultado del trabajo de muchos subcomités a lo largo de todo el mundo que han debido consensuar el trabajo final para ser válido para todos, lo que implica que cada país o sector de manera individual puede hacer énfasis en diferentes aspectos.
Por último, que no menos importante, el establecimiento de un sistema de medición que permita valorar la marcha del SGSI de modo global y particular, detectando desviaciones y cambios en la empresa que deban ser tratados para que el SGSI se mantenga operativo. Este sistema debe permitir también la participación de las personas en la forma de críticas y sugerencias para la mejora.
Además, se deberían realizar unas buenas prácticas que harán que la implantación sea más sencilla y acometible:
• Se deberían establecer unos “quickwinnings”, metas a corto plazo que permitan ciertos beneficios inmediatos. Esto ayudará a mejorar la imagen del SGSI entre la dirección y los empleados. Este es un proyecto a largo plazo, pero si el beneficio tarda en llegar, el proyecto corre el peligro de acabar siendo relegado a un segundo plano, o incluso llegarse a cancelar si la dirección pierde la confianza en él.
• En los primeros ciclos del proyecto se debería ser poco ambicioso. Es mejor ir ampliando y refinando en el futuro, que acometer un proyecto que será ingobernable y extremadamente complejo. Esto se debería reflejar especialmente a la hora de definir y delimitar el alcance del proyecto (es
más factible empezar por un proceso de negocio especialmente crítico que intentar primeramente implantar un SGSI para toda la empresa) y en la elección de la metodología de análisis y gestión del riesgo (en los primeros ciclos es recomendable una metodología ligera, y según el equipo y la empresa madure en la gobernanza de la seguridad, ampliar la metodología).
• A no ser que la empresa tenga ya un equipo de seguridad que junto con el departamento de TI tengan una madurez considerable en la gobernanza y gestión de TI y en la implantación de procesos y servicios de TI, es mejor subcontratar la implantación a un equipo externo especializado en SGSI y que cuente con una alta experiencia en proyectos de implantación y en el sector en el que su empresa se mueve. En este caso será especialmente importante el FCE “involucramiento de todos los interesados”.
3. VISIÓN DE LA NORMA COMO MOTOR DE GENERACIÓN DE VALOR AÑADIDO
La seguridad no debe ser buscada per se. Aunque parezca una afirmación trivial, muchas empresas, sin darse cuenta, lo hacen. Aún no ha pasado el tiempo del Miedo, Incertidumbre y Duda (FUD por sus siglas en inglés), en el cual la decisión de afrontar la implantación de seguridad (o más seguridad) en una empresa se hace por el pánico desatado por todas las noticias de ataques que circulan en los medios, o peor aún, porque es lo que todos hacen.
Implantar medidas de seguridad en una empresa es un proceso costoso y que debería ser muy razonado antes de dar el primer paso. Una empresa no se puede permitir sin más empezar a invertir en productos y soluciones de seguridad, porque este camino solo conduce a la desorganización, un estado de la seguridad empresarial donde se toman decisiones no basadas en las necesidades reales de la empresa y que acaban conduciendo a una falsa sensación de seguridad.
Frente a este escenario, el estándar ISO ofrece un enfoque global y razonado. A través de las cuatro fases del PDCA aplicadas en diferentes ciclos, se refina el modelo de implantación en la empresa.
El análisis de riesgos permite gestionar la inversión en seguridad. Mediante la asignación de riesgos a las amenazas a los activos, la empresa puede centrarse en aquellos riesgos que requieran de atención inmediata maximizando el retorno de inversión. Si la empresa cuenta con un presupuesto ajustado, puede asegurarse de que las amenazas más graves (por su impacto y/o probabilidad) han sido tratadas. De esta manera se asegura que el gasto de recursos es razonado, y no atiende a modas o preferencias personales de los encargados de seguridad.
La asignación de responsables de activos y de implantación de contramedidas permite que las probabilidades de éxito de la implantación del SGSI aumenten. En el modelo anterior el responsable es el encargado de la seguridad en la empresa, lo que no refleja la realidad. Si bien este responsable debe estar siempre ahí para ayudar en la implantación y ofrecer sugerencias desde su conocimiento de las tecnologías y soluciones de seguridad, el único que conoce la realidad de un activo o proceso de negocio es aquel que tiene su control en la operativa diaria, de manera que esta persona debería ser el responsable por la correcta securización de dicho activo o proceso, pudiendo detectar de manera sencilla cualquier desviación respecto de las medidas adoptadas y aportar sugerencias de mejora desde el conocimiento profundo de la problemática que puede afectar a dicho activo/proceso. Esto mismo también permite que a medio plazo, los riesgos disminuyan, al familiarizarse los responsables con la metodología y los controles (Hinson, 2008).
La concienciación del personal aumenta, al haber sido involucrado en el proceso desde una etapa temprana. Esto a su vez se traduce en mayores probabilidades de éxito, así como mayor facilidad para el cambio progresivo de la cultura empresarial a una más consciente de la seguridad y que la ha adoptado en su trabajo diario como un requisito más.
La implantación de un SGSI permite demostrar que la alta dirección y la gerencia muestran el debido cuidado y la diligencia debida (due care, due diligence). El cuidado debido son los pasos tomados para demostrar que una compañía ha tomado la responsabilidad por las actividades realizadas en la organización y que ha tomado los pasos necesarios para ayudar a proteger a la compañía, a sus recursos y a sus empleados. La debida diligencia son las actividades continuas para asegurar que los mecanismos de protección están continuamente monitorizados y operacionales. (Harris, 2003). En el mundo corporativo ha habido un antes y un después del caso Enron/Arthur Andersen. Después de que este caso estallase, desde varios gobiernos se han tomado medidas para evitar una situación parecida en el futuro, siendo especialmente importante la ley Sarbanex-Osley de EEUU. Mediante la implantación y posterior certificación de un SGSI, la dirección de una organización puede mostrar que ha tomado los pasos adecuados y que ha actuado de una manera diligente. En caso de que algún ataque o mala práctica llegase a juicio, la diligencia y cuidados debidos pueden ser demostrados, lo que conllevaría a una reducción de la pena impuesta, o incluso a la exoneración de los directivos. La responsabilidad de la dirección por lo que pase con la información de la empresa va a continuar creciendo en el futuro. Incluso gobiernos tan reacios a involucrarse en los mercados privados mediante regulaciones como EEUU han tenido que endurecer sus leyes o crear nuevas para afrontar los últimos casos de corrupción, debido a la magnitud de los mismos. La protección de los empleados y de los accionistas son temas muy serios que pueden ser tratados en la parte que le corresponde mediante la certificación en el estándar ISO27001.
La implantación de un SGSI permite actuar como elemento de mejora de la confianza y percepción de la organización por parte de los clientes y de los socios comerciales. Cualquier empresa certificada se apresura a incluir el sello de la certificación en sus anuncios y documentación externa. Una vez que se ha realizado el enorme esfuerzo de certificarse hay que aprovechar e involucrar al departamento de marketing de la empresa. En esta línea, la
certificación puede ser muy a menudo un factor diferenciador decisivo entre organizaciones competidoras, especialmente cuando se compite por la adjudicación de un proyecto. La seguridad ya es parte integral de muchas ofertas tanto públicas como privadas de adjudicación de proyectos. Una organización certificada es una organización con muchos puntos ganados para obtener importantes contratos.
La estandarización acaba redundando en una mayor interoperabilidad entre sistemas de diferentes partes, al seguir una guía común. De esta manera se reducen costes en el desarrollo e implantación de sistemas, se permite la reutilización y puede servir como un factor de mejora de la calidad de los mismos.
El tener implantada la seguridad como un proceso permite a medio y largo plazo ahorrar costes de consultores y empresas externas de seguridad. Si bien en un principio se ha recomendado como buena práctica subcontratar el proceso de implantación de SGSI, a medida que la empresa vaya creciendo en madurez, irá asumiendo más y más responsabilidades, de manera que al final solo se necesite una o dos auditorías anuales externas para asegurar que las cosas vayan bien (cumplimiento) e identificar una lista de oportunidades para la mejora.
4. CONCLUSIONES
La implantación de un SGSI es un proceso largo y complejo, que si no es gestionado correctamente desde el inicio, puede conllevar unos gastos incrementados y la posibilidad de fracaso.
Sin embargo, los mismos factores que pueden hacer fracasar este tipo de proyecto, administrados con especial cuidado, pueden resultar en ventajas que resulten en un proyecto más sencillo de realizar y gestionar, y con unos gastos ajustados.
Además, el proceso de implantación deviene en unos beneficios adicionales importantes para la empresa, aportando ventajas competitivas, un control más fino del gasto y de la gestión, la concienciación temprana de los usuarios y la
securización de la dirección con respecto a sus responsabilidades por la información.
5. BIBLIOGRAFÍA
Garg Ashish, Curtis Jeffrey y Halper Hilary Quantifying the financial impact of security breaches, artículo en Information Management and Computer Security [Publicación periódica]. - Emerald, 2003. - 2 : Vol. 11.
Harris Shon All-in-one CISSP Certification Exam Guide [Libro]. - Emeryville, CA : McGraw-Hill/Osborne, 2003.
PriceWaterhouseCooper 2008 Information security breaches survey [Informe]. - 2008.
Rockart John F. y Bullen Christine V. A primer on Critical Success Factors [Informe]. - Center for Information Systems Research, Alfred P. Sloan School of Management, MIT, 1981.
Hinson Gary, The financial implications of implementing ISO/IEC 27001 & 27002: a generic cost-benefit model [Informe].- http://www.iso27001security.com, 2008.
CURRICULUM BREVE
David Reinares Lara ([email protected])
Máster en Seguridad de la Información por la ALI/Universidad Politécnica de Madrid (UPM) 2007-2008.
Ingeniero Superior Informático por la Universidad Rey Juan Carlos (URJC) 2004-2007.
Ingeniero Técnico en Informática de Gestión por la Universidad Complutense de Madrid (UCM) 1998-2004.
Miembro de ISACA y de su capítulo español ASIA.
Certificado en ITIL Foundations (V2).
Pasó las pruebas conducentes a la obtención de las certificaciones CISM, CISSP y CISA.
De Enero de 2007 a Noviembre de 2007 trabajó para ITDeusto como técnico de seguridad, instalando y gestionando la herramienta OSSIM, así como generando incidencias e informes de incidencias para los clientes.
De Enero de 2008 a Julio de 2008 trabajó para Sequre Consultores como consultor junior de seguridad, encargándose de planes directores de seguridad, LOPD e ISO27001, así como de aspectos técnicos del departamento de Seguridad Gestionada.
Desde Octubre de 2008 trabaja en Innotec System como consultor sénior de seguridad, gestionando proyectos de LOPD, ISO27001, análisis de riesgos, planes de continuidad de negocio y recuperación ante desastres y auditoría de seguridad (técnica y normativa). También trabaja en la formación de un SOC para soporte a clientes.