Novedades

Entrevista a Gisel Porto sobre ISO 27001


Gisel Porto, docente de la Diplomatura en Sistema de Gestión de Seguridad de la Información y del curso de Auditor Interno ISO 27001, nos cuenta respecto de los beneficios de la implementación de esta norma, las carencias en seguridad de la información más comunes y cuáles son las empresas que mayormente requieren o solicitan este tipo de certificación.

 

 

¿Cuáles son los requisitos para implementar ISO 27001?

Las normas ISO/IEC 27001 son normas aplicables a cualquier tipo de industria.

El propósito de la misma es el de establecer un sistema de gestión de la seguridad (SGSI) para la protección de los activos de información mediante un proceso sistemático y documentado conocido por la organización.

La seguridad de la información consiste en preservar las tres propiedades de la información:

 

  • Confidencialidad: Propiedad por la cual la información no esté disponible ni sea divulgada a individuos, organismos o procesos no autorizados.
  • Integridad: Propiedad de proteger la precisión y la totalidad de los activos
  • Disponibilidad: Propiedad de estar accesible y ser utilizable a demanda por parte de un organismo autorizado.

 

¿Cuáles son las empresas y/o sectores en los que se muestra un mayor interés por la ISO 27001? 

Son diversos los motivos por el cual las empresas certifican. La mayoria lo hacen para contar con una ventaja competitiva sobre el resto de empresas proveedoras de servicio, en general interesadas demostrar a sus clientes que protegen adecuadamente la información de éstos. Por ejemplo: los Data Centers que ofrecen servicios de “hosting” o “housing” a terceros, o empresas que proveen SaaS (Software como servicio) y que mantienen información sensible de sus clientes en una nube propia. Otras empresas, en menor medida, lo hacen para ordenar la gestión de la seguridad de la información.

 

¿Qué tareas debe realizar una empresa para la implementación de esta norma?

El paso previo a implementar es el entendimiento por parte de:

  •  la Dirección de la necesidad de que cumpla con los requisitos establecidos en la norma que están bajo su responsabilidad sin delegar en ningún área o persona la responsabilidad en la implementación de los mismos y
  • de quien lidere el proyecto vele por la implementación de los requisitos en forma “no burocrática” evitando la frase típica: “lo hacemos por la ISO” en lugar de “establecimos el requisito entendiéndolo para luego implementarlo como la organización lo necesita”.

 

Para la implementación se requiere:

 

  • Definir el alcance en términos de procesos.
  • Identificar las áreas clave involucradas.
  • Capacitar al personal involucrado.
  • Establecer todos los requisitos normativos.
  • Realizar las auditorías internas para asegurar la conformidad con los requisitos.
  • Seleccionar un Ente de Certificación para que luego de realizar la auditoría externa otorgue el certificado.

 

¿Cuáles son las carencias en gestión de seguridad más destacables y habituales? 

Las principales carencias son:

  • Alta dependencia en un sólo empleado para la realización de un proceso crítico sin contar con personas alternativas, documentos y/o registros adecuados que permitan evidenciar la trazabilidad de la actividad, en el caso de necesitarse.
  • Falta de concientización en las áreas no-técnicas en el cuidado de la información.
  • Falta de entendimiento de la necesidad de contar con procesos para gestionar los controles establecidos con la finalidad de monitorear su eficacia.
  • Fuerte propulsión a corregir los problemas o incidentes sin analizar las causas que los originaron con la finalidad de minimizar la ocurrencia.

 

¿Es necesario medir la seguridad de la información?

Como todo proceso de la organización es necesario medirlo para comprender si cumple con su propósito y en cuánto contribuye en el logro de los objetivos del negocio.

Si tomamos la definición del NIST, es muy clara en este concepto:  “las métricas de Seguridad de la Información: se usan para facilitar el proceso de decisión y mejorar la performance y la responsabilidad “accountability” a través de la colección, análisis e informe de datos relevantes de desempeño. El propósito de medir el desempeño es monitorear el estado de las actividades medidas y facilitar su mejora aplicando acciones correctivas basadas en mediciones observadas”.

Las acciones correctivas son las acciones tomadas a partir del análisis de causas del incidente con la finalidad de minimizar el riesgo de su repetición.