Aplicacin de normas ISO/IEC 27001, Caso de Estudio Techgate PLC

Edgar Columba, Publio Estupian, Luis Soria

Maestra en Gestin de las Comunicaciones y Tecnologas de la Informacin, Escuela Politcnica Nacional
25/04/13

Abstract.- El presente artculo, analiza el caso de
estudio de la empresa Techgate plc, empresa de
servicios informticos que decidi implantar un
Sistema de Gestin de Seguridad de la Informacin -
SGSI- certificada en ISO/IEC 27001, basada en un
enfoque de riesgo empresarial, que se establece para
crear, implementar, operar, supervisar, revisar,
mantener y mejorar la seguridad de la informacin,
obteniendo como resultado importantes ventajas de
negocio.
Este tipo de empresas, al tener como objeto de su
negocio los sistemas de informacin de sus clientes,
obtienen una clara ventaja competitiva por medio de
la implantacin de estas normas, que dan una garanta
a los usuarios de sus servicios de que la informacin es
tratada con procesos, procedimientos y directrices de
seguridad claras.
El caso revela algunas conexiones sorprendentes entre
la gestin de la seguridad de la informacin y la
gestin empresarial en general, adems de numerosas
ventajas indirectas que no suelen mencionarse.
I. INTRODUCCIN
Los sistemas de gestin en general nacen de las
necesidad que las organizaciones tienen para
cumplir con las exigencias cada vez mas altas del
mundo globalizado, para optimizar procesos y
mejorar la consecucin de objetivos institucionales.
Dentro de esta lnea existen varios modelos de
gestin a los cuales una organizacin puede
alinearse, es asi como en la actualidad los modelos
de gestin pueden estar enfocados a la satisfaccin
del cliente, cuidado ambiental, responsabilidad
social, seguridad ocupacional y el que en este
documento es objeto de estudio la seguridad de la
informacin.
Cuando se decide implementar un Sistema de
Gestin de Seguridad de la Informacin, SGSI, se
debe determinar a donde quiere llegar la
organizacin, que objetivos desean alcanzar, cual es
el compromiso de la alta direccin y disponer de los
recursos humanos, materiales y financieros para su
implementacin.
Para gestionar la seguridad informtica se utiliza
como referencia la normativa ISO/IEC 27001:2001
la misma que se define como : La parte del sistema
de gestin general basada en un enfoque
empresarial, que se establece para crear,
implementar, operar, verificar, mantener y mejorar
la seguridad de la informacin. Al igual que otras
normas de gestin esta se alinea al modelo PHVA
(Planificar, Hacer, Verificar y Actuar) es decir la
mejora continua. Para la correcta ejecucin de la
normativa debe estar fundada en un solida pirmide
documental que incluye un manual, procedimientos,
instructivos, y programas. Entre los tems mas
relevantes la empresa debe definir el alcance de
las poltica, objetivos del SGSI, la estructura
organizativa, gestin de riesgos, compromiso de la
direccin as como tambin indicadores para
evaluacin de la gestin.
Para que esta norma sea susceptible de certificacin
debe cumplir con requisitos de auditoria donde se
mida la correcta ejecucin de los parmetros
establecidos en la norma.
II. ANTECEDENTES DE LA EMPRESA
En esta seccin se describe las generalidades sobre
la organizacin que es caso de estudio:
Techgate plc, es una empresa ubicada en el Reino
Unido, constituida en el ao 2001, que ofrece
sistemas de produccin de TI altamente resistentes
y de vanguardia, la empresa sigue un modelo de
negocio flexible, operativo y tcnico para responder
a las necesidades del cliente y del mercado en forma
eficiente.
Para alcanzar estos objetivos la empresa cuenta con
un equipo de gestin capacitado para escuchar y
aprender de los clientes las necesidades de TI, lo
que le ha permitido participacin en foros a fines
del negocio.
La empresa cuenta con dos certificaciones: la
primera BS 25999 que establece la gestin de
continuidad del negocio y la segunda la ISO 27001
que describe las mejores practicas para un sistema
de gestin de la seguridad, objeto del presente
estudio.
Posee 2 centros de datos los cuales les permite
proporcionar una infraestructura complementa
mente resistente como centros y redes de datos
como servicios de alta disponibilidad.


III. PLANIFICACION DEL SGSI
Segn la norma ISO/IEC 27001, las actividades que
comprende la creacin del SGSI son:
Definicin del alcance y lmites.
Establecimiento de una poltica del SGSI
Primeras fases de la gestin del riesgo:
o Enfoque para la evaluacin del riesgo:
metodologa y criterios de aceptacin del
riesgo.
o Anlisis y valoracin del riesgo.
o Evaluacin del riesgo.
o Seleccin de las acciones ms apropiadas
para su tratamiento.
Obtencin de la aprobacin por la direccin
del riesgo residual propuesto y de la
autorizacin de implementar y operar el
sistema.
Plasmacin en la declaracin de
aplicabilidad de la decisin tomada sobre el
tratamiento del riesgo, identificando los
controles a aplicar y justificando las
exclusiones.
A continuacin se describe, como Techgate plc
desarrollo su plan de creacin del SGSI.
IV. DEFINICION DEL ALCANCE Y LIMITES
DEL SGSI
Cuando se quiere implantar un sistema de gestin,
debe tenerse claro qu es lo que se pretende, adnde
se quiere llegar; es decir, los objetivos previstos. El
tipo o naturaleza de estos objetivos ser lo que
identifique el sistema de gestin. Basados en este
hecho, el alcance y los lmites del SGSI deben
definirse en trminos de la actividad empresarial, de
la organizacin, su ubicacin, sus activos y
tecnologa [1].
Techgate plc, decidi implantar un sistema de
gestin de la seguridad de la informacin en la
empresa, como estaban haciendo otras
organizaciones del sector, y para ello organiz un
debate interno con los interesados, directivos, y bajo
la asesora de la consultora Ultima Risk Managment
(URM).
De este debate, se determin que el alcance de la
certificacin sera a toda la organizacin pues era la
nica opcin razonable, teniendo en cuenta la
necesidad de un enfoque coherente y la necesidad
de maximizar el valor percibido por los clientes [2].
V. ANALISIS DE IMPACTO Y RIESGOS
La gestin del riesgo es la piedra angular de esta
norma. En la definicin de la poltica del SGSI ya
se indica que deber estar alineada con el contexto
de la estrategia de gestin de riesgos de la
organizacin, contexto en el que tendr lugar la
creacin y el mantenimiento del SGSI (4.2.1.b.3)
[1].
Techgate plc identific cules eran sus procesos de
negocio y los activos en los que se sustentaban, y
realiz un anlisis de riesgos para conocer sus
amenazas y vulnerabilidades. Obtuvo el documento
de aplicabilidad y se formul un plan de tratamiento
del riesgo. En concreto, se empez por elaborar el
manual del sistema y poltica del SGSI (control
A.5.1.1) [2], que fue aprobado por el Director de
Operaciones Graham Greeh (control A.6.1.1) [2].
El anlisis de riesgos dej al descubierto numerosas
vulnerabilidades que era necesario tratar (control
A.14.1.2). Aunque muchas de ellas eran conocidas,
al estar plasmadas en un documento y ser requisito
de la norma el corregirlas, result ms fcil
conseguir el apoyo de la direccin y los recursos
necesarios para afrontar su resolucin.
Con estas acciones realizadas ya se tena un punto
de partida para afianzar la implantacin con unas
directrices documentadas e impulsadas desde la
direccin.
VI. IMPLANTACION DEL SGSI
Una de las primeras acciones que Techgate plc
llev a cabo fue la formacin en materia de
seguridad de la informacin de todo el personal,
incluida la direccin (control A.8.2.2). La
concienciacin fue la clave del xito de la
implantacin. Se dio a conocer el alcance de este
sistema de gestin, sus objetivos y la importancia de
llevar a cabo ciertas acciones no solo para la
proteccin de los datos, sino de todos los activos de
informacin, incluido el personal. De esta forma se
sensibiliz al personal y no se encontr resistencia a
la hora de pasar a firmar las clusulas de
confidencialidad (control A.6.1.5) y el compromiso
de cumplir la normativa interna referente a la
seguridad de la informacin.
Se cre un sistema documental que diera soporte a
la implantacin del sistema (apartado 4.3.1), y de
esta manera se recogieron en un solo sitio los
procedimientos e instrucciones que ya haba en la
empresa, pero que casi todo el mundo desconoca.
Se dejaron en una carpeta pblica, en modo lectura,
los documentos que deban estar al alcance de todo
el personal. De esta forma, el responsable del SGSI
era el encargado de actualizarlos y la direccin tena
constancia de los empleados accedan en todo


momento a la ltima versin validada, previniendo
as la utilizacin de documentos obsoletos (apartado
4.3.2).
Tambin se implant la gestin de incidencias de
seguridad, llevndose un registro de las ocurridas
(control A.13.2). La primera consecuencia positiva
de este operativo para el administrador de sistemas
fue poder justificar su tiempo de trabajo ante la
direccin.
VII. FACTORES CLAVES DE EXITO PARA LA
IMPLANTACION DEL SGSI
Compromiso Alta Direccin y Participacin
Un factor clave de xito para implantar un SGSI es
el compromiso de la direccin, que se plasma a lo
largo de todas las fases de implantacin en una serie
de acciones, principalmente del apoyo de la
direccin, puesto que esta es la que aprueba las
acciones a tomar y facilita los recursos necesarios
para llevarlas a cabo.
Capacitacin y Concienciacin
El principal problema a la hora de implantar un
sistema de gestin en una empresa es la resistencia
al cambio por parte del personal. Para vencerla, es
fundamental una labor de sensibilizacin y
concienciacin a travs de la formacin. El objetivo
es que todo el mundo sepa cules son sus
responsabilidades y su papel dentro del sistema.
Esta formacin no tiene por qu ser presencial:
podra ser una presentacin o un pequeo manual
colgado en una intranet. La realizacin de este tipo
de acciones al comienzo de la implantacin facilita
su desarrollo, contribuyendo a que todo el personal
involucrado tome parte de una forma positiva.
Igualmente, una vez finalizada dicha implantacin
es conveniente volver a realizar una breve
formacin para fijar conceptos e incidir en las
responsabilidades de cada integrante del sistema.
Asimismo, la repeticin peridica de este tipo de
acciones contribuye al buen funcionamiento y
mantenimiento del sistema.
Consultora y Asesora Externa
La mejor forma de abordar una implantacin
exitosa, es con la ayuda de una consultora externa
que tenga experiencia, que guie a la empresa en el
cumplimiento con los requisitos de la norma, y
sobre todo al inicio ayude a la empresa a plantearse
objetivos realistas y fciles de alcanzar. Con ello se
consiguen resultados positivos inmediatos que
animan a los implicados a continuar y favorecen la
buena disposicin a los cambios, minimizando el
tiempo y el esfuerzo de la implantacin. Asimismo,
se facilita la integracin gradual de la empresa en el
ciclo de mejora continua.
Implantacin basado en Administracin Proyectos

VIII. BENEFICIOS DE LA IMPLANTACION
DEL SGSI
Beneficios Directos
Mejora del control por parte de la direccin: La
direccin tiene ms control sobre la organizacin y
mejor informacin de calidad para gestionar la
misma; se reduce, por tanto, el esfuerzo de la
direccin.
Beneficios Indirectos
IX. CONCLUSIONES


REFERENCIAS
[1] Modelo para el gobierno de las TIC basado en
las normas ISO, Fernandez Sanchez, Carlos
Manuel; Velthuis, Mario Piattini, AENOR,
2012.
[2] ISO 27001 Case Study Techgate plc, URMs
consultancy services, whitepaper, 2012.
[3] ISO/IEC 27001:2007,
http://www.iso27001security.com/html/27001.h
tml