Aplicacin de normas ISO/IEC 27001, Caso de Estudio Techgate PLC
Edgar Columba, Publio Estupian, Luis Soria
Maestra en Gestin de las Comunicaciones y Tecnologas de la Informacin, Escuela Politcnica Nacional 25/04/13
Abstract.- El presente artculo, analiza el caso de estudio de la empresa Techgate plc, empresa de servicios informticos que decidi implantar un Sistema de Gestin de Seguridad de la Informacin - SGSI- certificada en ISO/IEC 27001, basada en un enfoque de riesgo empresarial, que se establece para crear, implementar, operar, supervisar, revisar, mantener y mejorar la seguridad de la informacin, obteniendo como resultado importantes ventajas de negocio. Este tipo de empresas, al tener como objeto de su negocio los sistemas de informacin de sus clientes, obtienen una clara ventaja competitiva por medio de la implantacin de estas normas, que dan una garanta a los usuarios de sus servicios de que la informacin es tratada con procesos, procedimientos y directrices de seguridad claras. El caso revela algunas conexiones sorprendentes entre la gestin de la seguridad de la informacin y la gestin empresarial en general, adems de numerosas ventajas indirectas que no suelen mencionarse. I. INTRODUCCIN Los sistemas de gestin en general nacen de las necesidad que las organizaciones tienen para cumplir con las exigencias cada vez mas altas del mundo globalizado, para optimizar procesos y mejorar la consecucin de objetivos institucionales. Dentro de esta lnea existen varios modelos de gestin a los cuales una organizacin puede alinearse, es asi como en la actualidad los modelos de gestin pueden estar enfocados a la satisfaccin del cliente, cuidado ambiental, responsabilidad social, seguridad ocupacional y el que en este documento es objeto de estudio la seguridad de la informacin. Cuando se decide implementar un Sistema de Gestin de Seguridad de la Informacin, SGSI, se debe determinar a donde quiere llegar la organizacin, que objetivos desean alcanzar, cual es el compromiso de la alta direccin y disponer de los recursos humanos, materiales y financieros para su implementacin. Para gestionar la seguridad informtica se utiliza como referencia la normativa ISO/IEC 27001:2001 la misma que se define como : La parte del sistema de gestin general basada en un enfoque empresarial, que se establece para crear, implementar, operar, verificar, mantener y mejorar la seguridad de la informacin. Al igual que otras normas de gestin esta se alinea al modelo PHVA (Planificar, Hacer, Verificar y Actuar) es decir la mejora continua. Para la correcta ejecucin de la normativa debe estar fundada en un solida pirmide documental que incluye un manual, procedimientos, instructivos, y programas. Entre los tems mas relevantes la empresa debe definir el alcance de las poltica, objetivos del SGSI, la estructura organizativa, gestin de riesgos, compromiso de la direccin as como tambin indicadores para evaluacin de la gestin. Para que esta norma sea susceptible de certificacin debe cumplir con requisitos de auditoria donde se mida la correcta ejecucin de los parmetros establecidos en la norma. II. ANTECEDENTES DE LA EMPRESA En esta seccin se describe las generalidades sobre la organizacin que es caso de estudio: Techgate plc, es una empresa ubicada en el Reino Unido, constituida en el ao 2001, que ofrece sistemas de produccin de TI altamente resistentes y de vanguardia, la empresa sigue un modelo de negocio flexible, operativo y tcnico para responder a las necesidades del cliente y del mercado en forma eficiente. Para alcanzar estos objetivos la empresa cuenta con un equipo de gestin capacitado para escuchar y aprender de los clientes las necesidades de TI, lo que le ha permitido participacin en foros a fines del negocio. La empresa cuenta con dos certificaciones: la primera BS 25999 que establece la gestin de continuidad del negocio y la segunda la ISO 27001 que describe las mejores practicas para un sistema de gestin de la seguridad, objeto del presente estudio. Posee 2 centros de datos los cuales les permite proporcionar una infraestructura complementa mente resistente como centros y redes de datos como servicios de alta disponibilidad.
III. PLANIFICACION DEL SGSI Segn la norma ISO/IEC 27001, las actividades que comprende la creacin del SGSI son: Definicin del alcance y lmites. Establecimiento de una poltica del SGSI Primeras fases de la gestin del riesgo: o Enfoque para la evaluacin del riesgo: metodologa y criterios de aceptacin del riesgo. o Anlisis y valoracin del riesgo. o Evaluacin del riesgo. o Seleccin de las acciones ms apropiadas para su tratamiento. Obtencin de la aprobacin por la direccin del riesgo residual propuesto y de la autorizacin de implementar y operar el sistema. Plasmacin en la declaracin de aplicabilidad de la decisin tomada sobre el tratamiento del riesgo, identificando los controles a aplicar y justificando las exclusiones. A continuacin se describe, como Techgate plc desarrollo su plan de creacin del SGSI. IV. DEFINICION DEL ALCANCE Y LIMITES DEL SGSI Cuando se quiere implantar un sistema de gestin, debe tenerse claro qu es lo que se pretende, adnde se quiere llegar; es decir, los objetivos previstos. El tipo o naturaleza de estos objetivos ser lo que identifique el sistema de gestin. Basados en este hecho, el alcance y los lmites del SGSI deben definirse en trminos de la actividad empresarial, de la organizacin, su ubicacin, sus activos y tecnologa [1]. Techgate plc, decidi implantar un sistema de gestin de la seguridad de la informacin en la empresa, como estaban haciendo otras organizaciones del sector, y para ello organiz un debate interno con los interesados, directivos, y bajo la asesora de la consultora Ultima Risk Managment (URM). De este debate, se determin que el alcance de la certificacin sera a toda la organizacin pues era la nica opcin razonable, teniendo en cuenta la necesidad de un enfoque coherente y la necesidad de maximizar el valor percibido por los clientes [2]. V. ANALISIS DE IMPACTO Y RIESGOS La gestin del riesgo es la piedra angular de esta norma. En la definicin de la poltica del SGSI ya se indica que deber estar alineada con el contexto de la estrategia de gestin de riesgos de la organizacin, contexto en el que tendr lugar la creacin y el mantenimiento del SGSI (4.2.1.b.3) [1]. Techgate plc identific cules eran sus procesos de negocio y los activos en los que se sustentaban, y realiz un anlisis de riesgos para conocer sus amenazas y vulnerabilidades. Obtuvo el documento de aplicabilidad y se formul un plan de tratamiento del riesgo. En concreto, se empez por elaborar el manual del sistema y poltica del SGSI (control A.5.1.1) [2], que fue aprobado por el Director de Operaciones Graham Greeh (control A.6.1.1) [2]. El anlisis de riesgos dej al descubierto numerosas vulnerabilidades que era necesario tratar (control A.14.1.2). Aunque muchas de ellas eran conocidas, al estar plasmadas en un documento y ser requisito de la norma el corregirlas, result ms fcil conseguir el apoyo de la direccin y los recursos necesarios para afrontar su resolucin. Con estas acciones realizadas ya se tena un punto de partida para afianzar la implantacin con unas directrices documentadas e impulsadas desde la direccin. VI. IMPLANTACION DEL SGSI Una de las primeras acciones que Techgate plc llev a cabo fue la formacin en materia de seguridad de la informacin de todo el personal, incluida la direccin (control A.8.2.2). La concienciacin fue la clave del xito de la implantacin. Se dio a conocer el alcance de este sistema de gestin, sus objetivos y la importancia de llevar a cabo ciertas acciones no solo para la proteccin de los datos, sino de todos los activos de informacin, incluido el personal. De esta forma se sensibiliz al personal y no se encontr resistencia a la hora de pasar a firmar las clusulas de confidencialidad (control A.6.1.5) y el compromiso de cumplir la normativa interna referente a la seguridad de la informacin. Se cre un sistema documental que diera soporte a la implantacin del sistema (apartado 4.3.1), y de esta manera se recogieron en un solo sitio los procedimientos e instrucciones que ya haba en la empresa, pero que casi todo el mundo desconoca. Se dejaron en una carpeta pblica, en modo lectura, los documentos que deban estar al alcance de todo el personal. De esta forma, el responsable del SGSI era el encargado de actualizarlos y la direccin tena constancia de los empleados accedan en todo
momento a la ltima versin validada, previniendo as la utilizacin de documentos obsoletos (apartado 4.3.2). Tambin se implant la gestin de incidencias de seguridad, llevndose un registro de las ocurridas (control A.13.2). La primera consecuencia positiva de este operativo para el administrador de sistemas fue poder justificar su tiempo de trabajo ante la direccin. VII. FACTORES CLAVES DE EXITO PARA LA IMPLANTACION DEL SGSI Compromiso Alta Direccin y Participacin Un factor clave de xito para implantar un SGSI es el compromiso de la direccin, que se plasma a lo largo de todas las fases de implantacin en una serie de acciones, principalmente del apoyo de la direccin, puesto que esta es la que aprueba las acciones a tomar y facilita los recursos necesarios para llevarlas a cabo. Capacitacin y Concienciacin El principal problema a la hora de implantar un sistema de gestin en una empresa es la resistencia al cambio por parte del personal. Para vencerla, es fundamental una labor de sensibilizacin y concienciacin a travs de la formacin. El objetivo es que todo el mundo sepa cules son sus responsabilidades y su papel dentro del sistema. Esta formacin no tiene por qu ser presencial: podra ser una presentacin o un pequeo manual colgado en una intranet. La realizacin de este tipo de acciones al comienzo de la implantacin facilita su desarrollo, contribuyendo a que todo el personal involucrado tome parte de una forma positiva. Igualmente, una vez finalizada dicha implantacin es conveniente volver a realizar una breve formacin para fijar conceptos e incidir en las responsabilidades de cada integrante del sistema. Asimismo, la repeticin peridica de este tipo de acciones contribuye al buen funcionamiento y mantenimiento del sistema. Consultora y Asesora Externa La mejor forma de abordar una implantacin exitosa, es con la ayuda de una consultora externa que tenga experiencia, que guie a la empresa en el cumplimiento con los requisitos de la norma, y sobre todo al inicio ayude a la empresa a plantearse objetivos realistas y fciles de alcanzar. Con ello se consiguen resultados positivos inmediatos que animan a los implicados a continuar y favorecen la buena disposicin a los cambios, minimizando el tiempo y el esfuerzo de la implantacin. Asimismo, se facilita la integracin gradual de la empresa en el ciclo de mejora continua. Implantacin basado en Administracin Proyectos
VIII. BENEFICIOS DE LA IMPLANTACION DEL SGSI Beneficios Directos Mejora del control por parte de la direccin: La direccin tiene ms control sobre la organizacin y mejor informacin de calidad para gestionar la misma; se reduce, por tanto, el esfuerzo de la direccin. Beneficios Indirectos IX. CONCLUSIONES
REFERENCIAS [1] Modelo para el gobierno de las TIC basado en las normas ISO, Fernandez Sanchez, Carlos Manuel; Velthuis, Mario Piattini, AENOR, 2012. [2] ISO 27001 Case Study Techgate plc, URMs consultancy services, whitepaper, 2012. [3] ISO/IEC 27001:2007, http://www.iso27001security.com/html/27001.h tml