Es muy frecuente que todo aquél que se interesa por primera vez en la serie ISO 27000 se encuentre con algún problema al delimitar y entender las fronteras y los ámbitos de las dos principales normas que la componen.
El primer concepto que debemos tener claro para aclarar nuestras dudas es el de SGSI. Un Sistema de Gestión de la Seguridad de la Información (SGSI) consiste en un conjunto de políticas y procedimientos que normalizan la gestión de la seguridad de la información, bien de toda una organización o bien de uno o varios de sus procesos de negocio. Es importante tener siempre en mente que por Seguridad de la Información se entiende el triple vector de confidencialidad, integridad y disponibilidad de la misma. Un SGSI debe abordar de forma integral estas tres vertientes.
Existen diversos estándares, marcos de trabajo o metodologías para implantar y mantener un SGSI, pero sin duda, la más socorrida es la serie ISO 27000. Este estándar internacional comprende todo un conjunto de normas relacionadas con la Seguridad de la Información, de entre las que destacan las más conocidas: la ISO 27001 y la ISO 27002.
Según mi experiencia, aquí es donde empieza el lío para aquellos que se enfrentan por primera vez a este estándar. ¿Qué diferencias hay entre ambas o cómo se relacionan entre sí?
Identificar riesgos
En primer lugar, la ISO 27001 establece el marco de trabajo para definir un SGSI, centrándose en la visión de la gestión de la seguridad como un proceso continuo en el tiempo. Para certificar un proceso u organización es necesario analizar y gestionar los riesgos fundamentales a los que están expuestos.
Una vez se han identificado estos riesgos, es necesario establecer la estrategia a seguir para cada uno de ellos. En este sentido, las diferentes alternativas que tenemos para cada riesgo son:
- Evitar el riesgo, abandonando el proceso o actividad que lo genera cuando el riesgo exceda a los beneficios que nos aporta.
- Traspasar el riesgo a terceros, por ejemplo, mediante cláusulas contractuales o pólizas de seguros.
- Gestionar el riesgo, estableciendo contramedidas que mitiguen o limiten el riesgo, reduciendo la probabilidad de que se materialicen las consecuencias que de éste se puedan derivar.
- Asumir el riesgo, aceptándolo cuando el establecimiento de las contramedidas supere el coste que pueda suponer la materialización del propio riesgo.Otro aspecto básico de la ISO 27001 es la gestión de la Seguridad de la Información mediante procesos basados en el método de mejora continua Plan, Do, Check, Act (PDCA), también conocido como Círculo de Deming.
Este método establece un procedimiento cíclico mediante el cual se definen las medidas y controles de seguridad a implantar (Plan); se procede a su implantación (Do); se verifica y evalúa el éxito de los controles implantados para detectar errores o áreas de mejora (Check); y, finalmente, se modifican dichas medidas y controles en base a las desviaciones detectadas en el paso anterior (Act).Por otro lado, la ISO 27002 consiste en una guía de buenas prácticas que permiten a las organizaciones mejorar la seguridad de su información. Con este fin, define una serie de objetivos de control y gestión que deberían ser perseguidos por las organizaciones. Éstos se hallan distribuidos en diferentes dominios que abarcan de una forma integral todos los aspectos que han de ser tenidos en cuenta por las organizaciones.
La única norma a certificar es la ISO 27001, no así la ISO 27002, que sólo establece recomendaciones
Dominios de la ISO 27002
Estos dominios que estructura la ISO 27002 son:
- La política de seguridad.
- Los aspectos organizativos de la seguridad de la información.
- La gestión de activos.
- La seguridad ligada a los recursos humanos.
- La seguridad física y ambiental.
- La gestión de las comunicaciones y de las operaciones.
- Los controles de acceso a la información.
- La adquisición, desarrollo y mantenimiento de los sistemas de información.
- La gestión de incidentes en la seguridad de la información.
- La gestión de la continuidad del negocio.
- Los aspectos de cumplimiento legal y normativo.
Se debe señalar que la única norma a certificar de la serie es la ISO 27001. No así la ISO 27002, que, como hemos comentado, tan sólo establece una serie de recomendaciones y buenas prácticas.
También hay que tener presente que para lograr la certificación en ISO 27001 no es necesario implantar todos los controles recomendados por la ISO 27002, sino que la organización debe priorizar y seleccionar aquellos controles que se alineen con su estrategia de riesgo, teniendo en cuenta la capacidad presupuestaria de la organización y sus necesidades de negocio.
Por último, creo importante recordar las principales ventajas que una certificación como la ISO 27001 puede aportar a las organizaciones que decidan abordarla:
- Establece un marco de gestión de la seguridad consistente e internacionalmente reconocido.
- Se garantizan los controles internos, los controles de requisitos de gestión corporativa y de continuidad de la actividad de negocio.
- Se demuestra el cumplimiento de leyes y normativas que se apliquen a la organización.
- Ofrece interesantes ventajas competitivas al mostrar a los clientes que la seguridad de su información es primordial, promoviendo a su vez la confianza en las relaciones con terceros.
- Reduce los riesgos estableciendo un marco de gestión de la seguridad.
- Demuestra el compromiso de la cúpula directiva de la organización con la seguridad de la información.