Implantación de la ISO27001: Factores críticos de éxito y visión de la norma como
                     motor de generación...
incidentes de seguridad 2008     Lo importante de estos estándares, es que son
               (PriceWaterhouseCooper, 2008...
se pueda obtener un proceso continuo y             La implantación del SGSI debería tener en
continuado.                  ...
La detección temprana de todas aquellas                      más factible empezar por un proceso de
regulaciones, leyes y ...
Frente a este escenario, el estándar ISO ofrece      La implantación de un SGSI permite demostrar
un enfoque global y razo...
certificación puede ser muy a menudo un factor      securización de la dirección con respecto a sus
diferenciador decisivo...
CURRICULUM BREVE

David Reinares Lara (dreinares@sequre.es)

Máster en Seguridad de la Información por la
ALI/Universidad ...
Upcoming SlideShare
Loading in...5
×

Ponencia148 1

358

Published on

Trabajo de Recopilacion de Información De estanadres ISO-27001

Published in: Business, Travel
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
358
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
2
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Ponencia148 1

  1. 1. Implantación de la ISO27001: Factores críticos de éxito y visión de la norma como motor de generación de valor añadido. David Reinares Lara, Consultor Senior, Innotec System RESUMEN 1. INTRODUCCIÓN La aparición de la norma ISO27001 ha En un entorno cada vez más conectado y representado un gran cambio en la manera de dependiente de los SI, el coste de la inseguridad plantear la seguridad, ofreciendo un modelo crece exponencialmente. Según un estudio iterativo y global con el que encarar la realizado por Ashish Grag, Jeffrey Curtis y seguridad en las empresas. Sin embargo su Hilary Halper, sobre un total de 22 incidentes de implantación práctica presenta complejidades seguridad entre 1996 y 2002, el precio de las que pueden hacer fracasar el proyecto, a la vez acciones de las empresas afectadas cayó un 2,7 que representa un gran gasto para la empresa por ciento el primer día tras conocerse que no siempre es fácil de justificar a la públicamente la noticia, y un promedio del 4,5 dirección. por ciento, lo que supuso una pérdida media por incidente de 918 millones de dólares (Garg, y Existen una serie de factores críticos que deben otros, 2003). Aunque estos resultados no pueden ser tomados en cuenta desde el inicio del ser extrapolados a todos los tipos de compañías, proyecto y que suelen coincidir en la mayoría de son un claro ejemplo del daño causado por un las implantaciones como causas principales de incidente de seguridad medido tan solo en los fracaso en el proyecto. Estos factores, encarados costes del daño a la imagen corporativa. de manera correcta desde el principio, sin embargo, pueden desembocar en que el La Tabla 1 recoge las conclusiones de un proyecto resulte más sencillo y su ejecución más estudio realizado por PriceWaterhouseCoopers rápida y con menor gasto. Conocer estos para el Departamento de Comercio e Industria factores es por lo tanto clave para la en el año 2008 consecución de cualquier proyecto de 2008 Grandes implantación y certificación de la ISO 27001. 2008 Global empresas Interrupción del 8.000-15.000£ en 80.000-130.000£ En la implantación existen beneficios añadidos negocio 1-2 días en 1-2 días al de la “securización” de la empresa, como Tiempo pueden ser la mejora de la imagen exterior, el dedicado a 600-1.200£ en 2- 2.500-5.000£ en control de la inversión realizada, la mejora responder al 4 días-hombre 6-13 días-hombre incidente continua mediante la detección de desviaciones, Dinero gastado entre otros. En definitiva, un valor añadido para de manera directa en 1.000-2.000£ 4.000-8.000£ la empresa que ha de ser expuesto a la alta responder al dirección en la fase de aprobación del proyecto, incidente y que debe ser explotado como un beneficio Perdida financiera adicional importante a la inversión realizada y directa (pérdida 500-1.000£ 4.000-8.000£ tenido en cuenta a la hora de calcular el retorno de activos, bienes, etc) de la inversión en seguridad. Daño a la 50-200£ 2.000-15.000£ reputación Palabras claves: seguridad, SGSI, ISO27001, Coste total del peor incidente 10.000 – 20.000£ 90.000-170.000£ factores críticos de éxito, generación de valor, de media proceso, ciclo, certificación. Tabla 1 ¿Cuál fue el coste del peor incidente de seguridad el año pasado?, fuente Informe de
  2. 2. incidentes de seguridad 2008 Lo importante de estos estándares, es que son (PriceWaterhouseCooper, 2008). reconocidos e impulsados mundialmente, y las más grandes empresas y gobiernos ya están La pregunta que surge de manera lógica ante certificándose en ella; dándose el caso incluso estas cifras es, ¿qué se puede hacer? Y la de países como EEUU, que contando con sus respuesta es sencilla: invertir en seguridad. O propias normativas (la serie 800 del NIST en el quizás no sea tan sencilla ¿Qué compramos? ¿A caso americano), muchas de sus empresas y de quién contratamos? ¿Qué hacemos? Existen sus instituciones públicas se están certificando miles de productos software y hardware de en la norma, lo que da cuenta de su importancia seguridad, así como manuales, normativas, y amplio respaldo. estándares de diversos países. Además, lamentablemente, muchas de estas tecnologías 2. FACTORES CRÍTICOS DE ÉXITO aún no son estándares, por lo que cada compañía las implementa de una manera, El proceso de implantación de un SGSI es un provocando que en numerosos casos no se tema complejo, que requiere de muchos puedan comunicar entre sí, lo cual sería recursos y puede llegar a suponer una deseable en aras de la seguridad global de la interrupción en el trabajo diario. Por ello empresa. muchas empresas han necesitado tomar un segundo o incluso tercer proceso de Ante esta situación, la organización ISO, certificación antes de lograr ser certificado en el impulsada por miles de empresas estándar, con el consiguiente gasto de recursos internacionales y decenas de gobiernos, decidió financieros, de personal y de tiempo. Estos crear un conjunto de normativas agrupadas bajo procesos de certificación fallidos empezaron a el epígrafe ISO27000; siendo la primera y más ser estudiados para intentar hallar una serie de importante la ISO27001 (Information patrones de fallo, y localizar aquellas áreas que technology - Security techniques - Information debían ser especialmente tratadas en aras de security management systems – Requirements), implantar un SGSI exitoso. que establece como modelo de seguridad para las empresas el Sistema de Gestión de la Los Factores Críticos de Éxito (FCE en Seguridad de la Información (SGSI), un modelo adelante) pueden ser definidos como "el número basado en el ciclo de Demming, que limitado de áreas en las cuales los resultados, si fundamenta su existencia en un proceso cíclico son satisfactorios, asegurarán un rendimiento de mejora continua. Esta norma a su vez es competitivo exitoso para la organización. Son sustentada por otras normas, como la ISO27002 las pocas áreas clave donde las cosas deben ir (Information technology - Security techniques - bien para que el negocio florezca. Si los Code of practice for information security resultados en estas áreas no son los adecuados, management), un conjunto de controles para los esfuerzos organizacionales para el periodo implantar en la empresa que tratan todos los serán menos que los deseados.” (Rockart, y aspectos de la seguridad, desde la seguridad otros, 1981). física, hasta la formación y concienciación de En primer lugar se debe buscar el compromiso los empleados, pasando por el desarrollo de y soporte gerencial, de manera que el proyecto aplicaciones, la subcontratación o la gestión de venga patrocinado desde arriba en la dirección, claves. Aún faltan por salir varios estándares de y sea esta la primera en dar ejemplo a la hora de esta familia, siendo uno de los más importantes aplicar aquellas medidas necesarias para definir, la ISO27003 (Information Technology - Security aplicar y mantener la seguridad en la empresa. techniques. Information security management Además es necesario que la gerencia establezca system implementation guidance), una guía para una serie de comités de alto nivel para la toma el proceso de implantación de un SGSI, de decisiones, de manera que las prioridades no entrando en profundidad en cada una de las cambien en caso de problemas operacionales y cuatro fases del ciclo de Demming (Plan, Do, Check, Act, PDCA, según sus siglas en inglés).
  3. 3. se pueda obtener un proceso continuo y La implantación del SGSI debería tener en continuado. cuenta la cultura organizativa de la empresa, de manera que, al adaptarse a la misma, facilite Las políticas, objetivos y actividades de la adopción por parte de los empleados de las seguridad deben reflejar de manera clara y contramedidas, cualesquiera que sean estas. correcta los objetivos del negocio. El SGSI Esto implica que el equipo encargado de la debe formar parte integral de la empresa estando implantación debería primeramente averiguar alineado con los objetivos de negocio de la cuál es la cultura organizativa, o dicho de forma misma, dándoles soporte y asegurándoles su más coloquial, como se hacen las cosas en cada éxito frente a las amenazas externas e internas área, de manera que al proponer cada que puedan ponerlos en riesgo. Esta es una tarea contramedida se adapte a la idiosincrasia compleja que debe ser refinada en los sucesivos empresarial. Esto no implica que no haya que ciclos del SGSI, y que está alineada con el realizar cambios en la cultura empresarial de la anterior FCE, en cuanto debe ser la alta organización, puesto que la adopción de un dirección junto con las gerencias de cada unidad ciclo de mejora continua para la seguridad de negocio quienes ayuden a conseguir esta presupone que la empresa madurará su cultura alineación estratégica y operativa. hacia una más consciente de la seguridad, y en la cual la misma está presente en todos los La visión de la implantación del SGSI como ámbitos. Sin embargo los cambios culturales un proceso, en lugar de cómo un proyecto. De son a largo plazo, por lo que adaptar las esta manera se puede asegurar que no se acabará medidas a implantar a la forma de trabajo de las cancelando si el presupuesto general se reduce, personas hará más sencillo que este cambio ni dependerá de la voluntad de un directivo. En gradual suceda. Una manera sencilla sin cuanto proceso definido en la empresa, será el embargo de provocar este cambio gradual sería comité encargado quien disponga del mismo. que, desde la dirección se revisara la Esto facilita así mismo la alineación de la definición de objetivos y metas de cada implantación con los objetivos del negocio puesto de manera que la seguridad sea uno más definido en el factor anterior y la gestión del de los factores de evaluación y ascenso de cada SGSI a lo largo del tiempo. Esto es vital debido empleado. a que un SGSI debe ser refinado en fases sucesivas en un ciclo que nunca finaliza, El involucramiento de todos los interesados debido a los continuos cambios a los que las (stakeholders) es vital para que el proyecto empresas están sometidas. salga adelante. Ningún proceso de implantación que quiera ser exitoso puede ser realizado sin La formación de los empleados en todos los contar con la colaboración y conocimiento de niveles, desde pequeños cursos o seminarios de los trabajadores, colaboradores, subcontratados concienciación en la seguridad, hasta formación o incluso accionistas sobre la empresa, sus especializada en herramientas y tecnologías activos, las amenazas que pueden poner en según las necesidades detectadas y peligro a los activos, el impacto y la contramedidas a establecer en cada unidad de probabilidad de cada amenaza, la manera de negocio e incluso departamento. Esta formación trabajar y de gestionar la información (lo cual debería ser evaluada y mejorada de manera enlaza de manera directa con el anterior FCE), continua para que resulte totalmente adaptada al etc. Por ello no solo se debería contar con estos nivel de conocimientos y habilidades de los interesados en el trabajo de recogida de diferentes empleados de la empresa, asegurando información, sino que sería conveniente darles de esta manera su fácil comprensión y que de una mínima formación sobre la implantación esta manera aumenten las posibilidades de que de un SGSI y el análisis de riesgos, de forma los empleados asimilen estas buenas prácticas que puedan aportar un mayor conocimiento en en su trabajo diario. la recogida de información al saber por qué se hacen las cosas y que se busca con ellas.
  4. 4. La detección temprana de todas aquellas más factible empezar por un proceso de regulaciones, leyes y estándares de la negocio especialmente crítico que industria que afectan a la empresa, y que deben intentar primeramente implantar un encontrar su contrapartida en el SGSI. La norma SGSI para toda la empresa) y en la ISO27001, a pesar de ser un estándar global, da elección de la metodología de análisis una importancia capital (especialmente en el y gestión del riesgo (en los primeros proceso de certificación) al cumplimiento de los ciclos es recomendable una anteriores por parte de las empresas metodología ligera, y según el equipo y implantando un SGSI, debido a que hace propia la empresa madure en la gobernanza de la máxima “piensa globalmente, actúa la seguridad, ampliar la metodología). localmente”. Los códigos de buenas prácticas • A no ser que la empresa tenga ya un ofrecidos por la norma ISO son el resultado del equipo de seguridad que junto con el trabajo de muchos subcomités a lo largo de todo departamento de TI tengan una el mundo que han debido consensuar el trabajo madurez considerable en la gobernanza final para ser válido para todos, lo que implica y gestión de TI y en la implantación de que cada país o sector de manera individual procesos y servicios de TI, es mejor puede hacer énfasis en diferentes aspectos. subcontratar la implantación a un equipo externo especializado en SGSI Por último, que no menos importante, el y que cuente con una alta experiencia establecimiento de un sistema de medición que en proyectos de implantación y en el permita valorar la marcha del SGSI de modo sector en el que su empresa se mueve. global y particular, detectando desviaciones y En este caso será especialmente cambios en la empresa que deban ser tratados importante el FCE “involucramiento de para que el SGSI se mantenga operativo. Este todos los interesados”. sistema debe permitir también la participación de las personas en la forma de críticas y 3. VISIÓN DE LA NORMA COMO sugerencias para la mejora. MOTOR DE GENERACIÓN DE VALOR AÑADIDO Además, se deberían realizar unas buenas prácticas que harán que la implantación sea más La seguridad no debe ser buscada per se. sencilla y acometible: Aunque parezca una afirmación trivial, muchas empresas, sin darse cuenta, lo hacen. Aún no ha • Se deberían establecer unos pasado el tiempo del Miedo, Incertidumbre y “quickwinnings”, metas a corto plazo Duda (FUD por sus siglas en inglés), en el cual que permitan ciertos beneficios la decisión de afrontar la implantación de inmediatos. Esto ayudará a mejorar la seguridad (o más seguridad) en una empresa se imagen del SGSI entre la dirección y hace por el pánico desatado por todas las los empleados. Este es un proyecto a noticias de ataques que circulan en los medios, o largo plazo, pero si el beneficio tarda peor aún, porque es lo que todos hacen. en llegar, el proyecto corre el peligro de acabar siendo relegado a un segundo Implantar medidas de seguridad en una empresa plano, o incluso llegarse a cancelar si la es un proceso costoso y que debería ser muy dirección pierde la confianza en él. razonado antes de dar el primer paso. Una • En los primeros ciclos del proyecto se empresa no se puede permitir sin más empezar a debería ser poco ambicioso. Es mejor invertir en productos y soluciones de seguridad, ir ampliando y refinando en el futuro, porque este camino solo conduce a la que acometer un proyecto que será desorganización, un estado de la seguridad ingobernable y extremadamente empresarial donde se toman decisiones no complejo. Esto se debería reflejar basadas en las necesidades reales de la empresa especialmente a la hora de definir y y que acaban conduciendo a una falsa sensación delimitar el alcance del proyecto (es de seguridad.
  5. 5. Frente a este escenario, el estándar ISO ofrece La implantación de un SGSI permite demostrar un enfoque global y razonado. A través de las que la alta dirección y la gerencia muestran el cuatro fases del PDCA aplicadas en diferentes debido cuidado y la diligencia debida (due ciclos, se refina el modelo de implantación en la care, due diligence). El cuidado debido son los empresa. pasos tomados para demostrar que una compañía ha tomado la responsabilidad por las El análisis de riesgos permite gestionar la actividades realizadas en la organización y que inversión en seguridad. Mediante la asignación ha tomado los pasos necesarios para ayudar a de riesgos a las amenazas a los activos, la proteger a la compañía, a sus recursos y a sus empresa puede centrarse en aquellos riesgos que empleados. La debida diligencia son las requieran de atención inmediata maximizando actividades continuas para asegurar que los el retorno de inversión. Si la empresa cuenta mecanismos de protección están continuamente con un presupuesto ajustado, puede asegurarse monitorizados y operacionales. (Harris, 2003). de que las amenazas más graves (por su impacto En el mundo corporativo ha habido un antes y y/o probabilidad) han sido tratadas. De esta un después del caso Enron/Arthur Andersen. manera se asegura que el gasto de recursos es Después de que este caso estallase, desde varios razonado, y no atiende a modas o preferencias gobiernos se han tomado medidas para evitar personales de los encargados de seguridad. una situación parecida en el futuro, siendo especialmente importante la ley Sarbanex-Osley La asignación de responsables de activos y de de EEUU. Mediante la implantación y posterior implantación de contramedidas permite que certificación de un SGSI, la dirección de una las probabilidades de éxito de la implantación organización puede mostrar que ha tomado los del SGSI aumenten. En el modelo anterior el pasos adecuados y que ha actuado de una responsable es el encargado de la seguridad en manera diligente. En caso de que algún ataque o la empresa, lo que no refleja la realidad. Si bien mala práctica llegase a juicio, la diligencia y este responsable debe estar siempre ahí para cuidados debidos pueden ser demostrados, lo ayudar en la implantación y ofrecer sugerencias que conllevaría a una reducción de la pena desde su conocimiento de las tecnologías y impuesta, o incluso a la exoneración de los soluciones de seguridad, el único que conoce la directivos. La responsabilidad de la dirección realidad de un activo o proceso de negocio es por lo que pase con la información de la aquel que tiene su control en la operativa diaria, empresa va a continuar creciendo en el futuro. de manera que esta persona debería ser el Incluso gobiernos tan reacios a involucrarse en responsable por la correcta securización de los mercados privados mediante regulaciones dicho activo o proceso, pudiendo detectar de como EEUU han tenido que endurecer sus leyes manera sencilla cualquier desviación respecto o crear nuevas para afrontar los últimos casos de de las medidas adoptadas y aportar sugerencias corrupción, debido a la magnitud de los mismos. de mejora desde el conocimiento profundo de la La protección de los empleados y de los problemática que puede afectar a dicho accionistas son temas muy serios que pueden ser activo/proceso. Esto mismo también permite tratados en la parte que le corresponde mediante que a medio plazo, los riesgos disminuyan, al la certificación en el estándar ISO27001. familiarizarse los responsables con la metodología y los controles (Hinson, 2008). La implantación de un SGSI permite actuar como elemento de mejora de la confianza y La concienciación del personal aumenta, al percepción de la organización por parte de los haber sido involucrado en el proceso desde una clientes y de los socios comerciales. Cualquier etapa temprana. Esto a su vez se traduce en empresa certificada se apresura a incluir el sello mayores probabilidades de éxito, así como de la certificación en sus anuncios y mayor facilidad para el cambio progresivo de documentación externa. Una vez que se ha la cultura empresarial a una más consciente de realizado el enorme esfuerzo de certificarse hay la seguridad y que la ha adoptado en su trabajo que aprovechar e involucrar al departamento de diario como un requisito más. marketing de la empresa. En esta línea, la
  6. 6. certificación puede ser muy a menudo un factor securización de la dirección con respecto a sus diferenciador decisivo entre organizaciones responsabilidades por la información. competidoras, especialmente cuando se compite por la adjudicación de un proyecto. La 5. BIBLIOGRAFÍA seguridad ya es parte integral de muchas ofertas Garg Ashish, Curtis Jeffrey y Halper Hilary tanto públicas como privadas de adjudicación de Quantifying the financial impact of security proyectos. Una organización certificada es una breaches, artículo en Information Management organización con muchos puntos ganados para and Computer Security [Publicación obtener importantes contratos. periódica]. - Emerald, 2003. - 2 : Vol. 11. La estandarización acaba redundando en una Harris Shon All-in-one CISSP Certification mayor interoperabilidad entre sistemas de Exam Guide [Libro]. - Emeryville, CA : diferentes partes, al seguir una guía común. De McGraw-Hill/Osborne, 2003. esta manera se reducen costes en el desarrollo e implantación de sistemas, se permite la PriceWaterhouseCooper 2008 Information reutilización y puede servir como un factor de security breaches survey [Informe]. - 2008. mejora de la calidad de los mismos. Rockart John F. y Bullen Christine V. A El tener implantada la seguridad como un primer on Critical Success Factors [Informe]. - proceso permite a medio y largo plazo ahorrar Center for Information Systems Research, costes de consultores y empresas externas de Alfred P. Sloan School of Management, MIT, seguridad. Si bien en un principio se ha 1981. recomendado como buena práctica subcontratar el proceso de implantación de SGSI, a medida Hinson Gary, The financial implications of que la empresa vaya creciendo en madurez, irá implementing ISO/IEC 27001 & 27002: a asumiendo más y más responsabilidades, de generic cost-benefit model [Informe].- manera que al final solo se necesite una o dos http://www.iso27001security.com, 2008. auditorías anuales externas para asegurar que las cosas vayan bien (cumplimiento) e identificar una lista de oportunidades para la mejora. 4. CONCLUSIONES La implantación de un SGSI es un proceso largo y complejo, que si no es gestionado correctamente desde el inicio, puede conllevar unos gastos incrementados y la posibilidad de fracaso. Sin embargo, los mismos factores que pueden hacer fracasar este tipo de proyecto, administrados con especial cuidado, pueden resultar en ventajas que resulten en un proyecto más sencillo de realizar y gestionar, y con unos gastos ajustados. Además, el proceso de implantación deviene en unos beneficios adicionales importantes para la empresa, aportando ventajas competitivas, un control más fino del gasto y de la gestión, la concienciación temprana de los usuarios y la
  7. 7. CURRICULUM BREVE David Reinares Lara (dreinares@sequre.es) Máster en Seguridad de la Información por la ALI/Universidad Politécnica de Madrid (UPM) 2007-2008. Ingeniero Superior Informático por la Universidad Rey Juan Carlos (URJC) 2004- 2007. Ingeniero Técnico en Informática de Gestión por la Universidad Complutense de Madrid (UCM) 1998-2004. Miembro de ISACA y de su capítulo español ASIA. Certificado en ITIL Foundations (V2). Pasó las pruebas conducentes a la obtención de las certificaciones CISM, CISSP y CISA. De Enero de 2007 a Noviembre de 2007 trabajó para ITDeusto como técnico de seguridad, instalando y gestionando la herramienta OSSIM, así como generando incidencias e informes de incidencias para los clientes. De Enero de 2008 a Julio de 2008 trabajó para Sequre Consultores como consultor junior de seguridad, encargándose de planes directores de seguridad, LOPD e ISO27001, así como de aspectos técnicos del departamento de Seguridad Gestionada. Desde Octubre de 2008 trabaja en Innotec System como consultor sénior de seguridad, gestionando proyectos de LOPD, ISO27001, análisis de riesgos, planes de continuidad de negocio y recuperación ante desastres y auditoría de seguridad (técnica y normativa). También trabaja en la formación de un SOC para soporte a clientes.

×