Documentos de Académico
Documentos de Profesional
Documentos de Cultura
2
Seguro & Simple:
Una guía para la pequeña empresa para la implementación
de la ISO 27001 con medios propios
3
También de Dejan Kosutic:
4
Dejan Kosutic
5
Copyright ©2016 by Dejan Kosutic
Todos los derechos reservados. Ninguna parte de este libro puede ser
reproducida, almacenada en un sistema de recuperación, o transmitida
en cualquier forma o por cualquier medio, electrónico, mecánico, fo-
tocopia, grabación u otro tipo, sin el permiso escrito del autor, excep-
tuando la inclusión de breves citas en un informe.
ISBN: 978-953-57452-7-3
6
A mi esposa, que me ha hecho sentirme seguro;
y que ha hecho que todo lo demás sea posible.
7
SOBRE EL AUTOR
8
TABLA DE CONTENIDOS
SOBRE EL AUTOR............................................................................................8
LISTADO DE FIGURAS....................................................................................15
1 INTRODUCCIÓN..........................................................................................17
1.1 ¿Por qué la seguridad de la información? ¿Por qué ISO 27001?..............17
1.2 Principios básicos de seguridad de la información ..................................19
1.3 ISO 27001 lo une todo...........................................................................20
1.4 ¿Quién debería leer este libro?...............................................................21
1.5 Cómo leer este libro...............................................................................22
1.6 Lo que no es este libro............................................................................23
1.7 Recursos adicionales...............................................................................24
3O
BTENER LA PARTICIPACIÓN DE LA ALTA DIRECCIÓN
Y OTROS EMPLEADOS ..............................................................................44
3.1 Cómo convencer a la alta dirección para implementar la ISO 27001.............. 44
3.2 Cómo presentar los beneficios a la alta dirección........................................... 47
3.3 ¿Es posible calcular el Retorno de la Inversión en Seguridad (RIS)?................. 48
3.4 Tratar con la línea de responsables y otros empleados................................... 50
3.5 Cerrar la brecha entre TI y el negocio............................................................. 51
3.6 Factores de éxito............................................................................................ 53
9
4.6 Quién debería ser el responsable de proyecto ............................................... 62
4.7 ¿Cuánto puede durar?.................................................................................. 64
4.8 ¿Cuánto puede costar? ............................................................................... 65
4.9 Usar herramientas y plantillas ....................................................................... 68
4.10 Decida su estrategia de documentación...................................................... 70
4.11 Factores de éxito.......................................................................................... 72
5 PRIMEROS PASOS EN EL PROYECTO........................................................ 73
5.1 Comprender el contexto de su organización (cláusula 4.1)............................ 73
5.2 Listado de partes interesadas y sus requerimientos (cláusula 4.2)................... 76
5.3 Definición del alcance del SGSI (cláusula 4.3)................................................. 78
5.4 Qué se le requiere a la alta dirección (cláusula 5.1)........................................ 82
5.5 Escribir la política de seguridad de la información (cláusula 5.2)..................... 83
5.6 Definir los objetivos del SGSI de alto nivel (cláusulas 5.2 b y 6.2)................... 86
5.7 Roles y responsabilidades, y cómo documentarlas (cláusula 5.3).................... 88
5.8 Factores de éxito............................................................................................ 90
6 CUESTIONES NO RELACIONADAS CON LA SEGURIDAD,
NECESARIAS PARA GESTIONAR LA SEGURIDAD..................................... 91
6.1 Gestionar documentos y registros (cláusula 7.5)............................................ 91
6.2 Proporcionar recursos para el SGSI (cláusula 7.1)........................................... 94
6.3 Proporcionar formación en seguridad (cláusula 7.2)....................................... 95
6.4 Concienciar a tu gente en por qué es importante la seguridad
de la información (cláusula 7.3).....................................................................97
6.5 Cómo comunicar y con quien (cláusula 7.4).................................................. 99
6.6 Factores de éxito.......................................................................................... 101
7 GESTIÓN DE RIESGOS............................................................................. 102
7.1 Abordar riesgos y oportunidades (cláusula 6.1.1)........................................ 102
7.2 Cinco pasos en el proceso de gestión de riesgos (cláusula 6.1)................... 103
7.3 Escribir la metodología de análisis de riesgos (cláusula 6.1.2)...................... 105
7.4 Análisis de riesgos parte I: Identificando riesgos (cláusulas 6.1.2 y 8.2) ...... 109
7.5 Análisis de riesgos parte II: Analizando y evaluando riesgos
(cláusulas 6.1.2 y 8.2) ................................................................................ 112
7.6 Realizando el tratamiento de riesgos (cláusulas 6.1.3 y 8.3)........................ 115
7.7 Declaración de aplicabilidad: El documento central de todo el SGSI
(cláusula 6.1.3 d)........................................................................................ 119
7.8 Desarrollando el Plan de tratamiento de riesgos (cláusulas 6.1.3, 6.2, y 8.3)... 122
7.9 Factores de éxito......................................................................................... 125
10
8.3 Decidir qué políticas y procedimientos escribir........................................... 131
8.4 Escribir la documentación que será aceptada por todos los empleados...... 133
8.5 Operar el SGSI con una periodicidad diaria (cláusula 8.1)........................... 136
8.6 Gestionar cambios en el SGSI (cláusula 8.1)............................................... 137
8.7 Mantenimiento de la documentación (cláusula 7.5.2)................................ 138
8.8 Gestión de servicios externalizados (cláusula 8.1)....................................... 139
8.9 Revisión periódica del análisis y tratamiento de riesgos (cláusula 8.2)......... 141
8.10 Factores de éxito...................................................................................... 142
11
11 ASEGURAR QUE SU COMPAÑÍA PASA LA CERTIFICACIÓN..................193
11.1 ¿Realmente necesita el certificado?...........................................................193
11.2 Certificación vs. registro vs. acreditación....................................................194
11.3 Últimos preparativos antes de la certificación.............................................198
11.4 Cómo seleccionar una entidad certificadora..............................................200
11.5 Pasos en la certificación de la compañía y cómo prepararse.......................201
11.6 ¿Qué cuestiones le preguntará el auditor de certificación ISO 27001?.......203
11.7 Cómo hablar con los auditores para beneficiarse de la auditoría................206
11.8 Qué puede hacer y qué no puede hacer un auditor...................................207
11.9 No conformidades y cómo resolverlas........................................................209
11.10 Factores de éxito......................................................................................212
12
14.6 Escribir las políticas de seguridad de la
información en una compañía de manufacturación...................................248
14.7 Preparar una compañía de telecomunicaciones para la certificación..........249
14.8 Realizar el análisis de riesgos en un pequeño
hospital......................................................................................................251
14.9 Establecer objetivos de seguridad y mediciones en una
compañía de servicios................................................................................253
14.10 Implementando ISO 27001 en Centros de Procesamiento
de Datos – Una entrevista........................................................................255
15 ¡BUENA SUERTE!....................................................................................264
13
APÉNDICE L – ¿CUÁL ES EL TRABAJO DEL RESPONSABLE DE
SEGURIDAD (CHIEF INFORMATION SECURITY
OFFICER -CISO) EN ISO 27001?.......................................... 321
GLOSARIO.................................................................................................. 330
BIBLIOGRAFÍA............................................................................................ 332
ÍNDICE........................................................................................................ 334
LISTADO DE FIGURAS
FIGURA 1: NÚMERO DE CERTIFICADOS ISO 27001
(FUENTE: ENCUESTA ISO).............................................................. 27
14
AGRADECIMIENTOS
15
PREFACIO
16
1
INTRODUCCIÓN
17
SEGURO & SIMPLE
Piense en su negocio; ¿es una fábrica de información, también? Es pro-
bable que su negocio, si no totalmente, entonces parcialmente esté ba-
sado en el procesamiento de información. Esto significa que su negocio
es más vulnerable. Su información, su conocimiento, su know-how y
la propiedad intelectual están en riesgo. Y ahora la pregunta del millón
de dólares, o si estás en un negocio más grande esta podría ser una
pregunta de mil millones de dólares: ¿Qué necesita hacer para proteger
la información de su empresa?, y ¿por dónde comenzar?
Por lo tanto, es obvio que necesita algo más, algo integral. Pero el de-
safío es cómo comenzar, qué pasos tiene que seguir para proteger de
la mejor manera su negocio.
18
Introducción
Sí, a veces es difícil entender esta terminología de la ISO, así que aquí
está una explicación fácil de estos conceptos básicos: si llego a un ban-
co y hago un depósito de $10.000, en primer lugar no quiero que nadie
sepa nada sobre este dinero excepto el Banco y yo. (Esto es confiden-
cialidad).
19
SEGURO & SIMPLE
20
Introducción
Creo que este libro también será muy útil para consultores – siendo
también consultor hice un esfuerzo para presentar en este libro el ca-
mino más lógico para implementar un sistema de gestión de seguridad
de información (SGSI), así que leyendo con cuidado este libro obtendrá
los conocimientos para sus futuros contratos de consultoría.
Este libro no está escrito como una guía para la realización de audito-
rías, pero podría ser útil para los auditores internos o incluso auditores
de certificación, porque les ayudará a comprender todos los requisitos
de la norma y también presentará la mejor práctica para la implemen-
tación, esto será útil cuando el auditor deba proporcionar algunas re-
comendaciones en su informe de auditoría.
21
SEGURO & SIMPLE
Por último, creo que este libro puede ser una especie de lista de veri-
ficación para los profesionales de seguridad de la información experi-
mentados – lo digo porque he tenido muchos de esos profesionales en
mis cursos de ISO 27001, y aunque no aprenden nada especialmente
nuevo, agradecen el obtener una visión completa y estructurada de
cómo debería implementarse la seguridad de la información.
Y así es exactamente cómo está escrito este libro - da una imagen sis-
temática sobre todo lo que es la ISO 27001, y le ayuda a asegurarse de
que no se olvida nada. Realmente no importa si su empresa va a por
la certificación o no - este libro le explicará cómo utilizar ISO 27001
como marco de trabajo, y cómo llegar a cumplir totalmente con este
estándar.
○
Entradas – qué insumos necesita tener para poder implemen-
tar el requisito
22
Introducción
○ Opciones
– qué opciones debe de considerar a la hora de
implementar el requisito
● Al final de los capítulos más importantes verá una sección llamada
Factores de éxito, que hará hincapié en lo que necesita centrarse.
23
SEGURO & SIMPLE
que puedan tomar decisiones relevantes sobre la tecnología, cómo de-
terminar qué datos sensibles tiene compartiendo con sus colegas desde
el lado del negocio, y cómo asegurarse de que está respaldada regular-
mente, qué información necesita comunicar y a quién, cuáles son las
amenazas a los sistemas que su firewall debe proteger, etc.
Este libro no le dará las plantillas finales para todas las políticas, procedi-
mientos y planes; sin embargo, este libro le explicará cómo estructurar
todos los documentos requeridos por el estándar ISO 27001, qué op-
ciones tiene para escribir dichos documentos, quienes deberían par-
ticipar en la elaboración y toma de decisiones relacionados con cada
documento, dónde se encuentra los insumos, etc.
Este libro no es una copia del estándar ISO 27001 – no puede reem-
plazar el estándar mediante la lectura de este libro. Este libro pretende
explicar cómo interpretar el estándar (ya que el estándar está escrito de
una manera bastante antipática) y cómo implementar cada elemento
del estándar utilizando mejores prácticas basadas en la experiencia; sin
embargo, este libro no es un reemplazo de la ISO 27001 en sí mismo.
24
Introducción
3) Herramientas ISO 27001 – par de herramientas gratuitas como la
Calculadora de Inversión en Seguridad, la Calculadora de la Dura-
ción de la implementación y la herramienta de Análisis de brecha.
6) El sitio oficial de ISO sobre ISO 27001 – aquí puede comprar una
versión oficial del estándar ISO 27001.
¿Le interesó? Bien, vamos a ver más de cerca todo lo que es la ISO
27001.
25
2
¿QUÉ ES EXACTAMENTE LA ISO 27001?
Como veremos más adelante, hay muchos mitos sobre ISO 27001 – al
menos la mitad de estos mitos han sucedido porque muchas de las per-
sonas que hablan sobre este estándar no lo han leído nunca. Y la otra
mitad de los mitos han sucedido por miedo a agobiarse con las políticas
y procedimientos.
26
¿Qué es exactamente la ISO 27001?
- se podría considerar que es un consenso de las principales prácticas
de seguridad de información; por lo tanto, no es un producto único de
un sólo autor.
25000
20000
15000
10000
5000
0
2011 2012 2013 2014
Can�dad de cer�ficados
27
SEGURO & SIMPLE
28
¿Qué es exactamente la ISO 27001?
la organización estén dispuestas a participar en él. Debe ser visto como un
proyecto de toda la empresa, donde personajes relevantes de todas las uni-
dades del negocio deben participar – alta dirección, personal de TI, expertos
jurídicos, gerentes de recursos humanos, personal de seguridad física, el lado
del negocio de la organización etc. Sin este enfoque terminará trabajando
en la seguridad informática, y esto no le protegerá de los mayores riesgos.
30
¿Qué es exactamente la ISO 27001?
Y estos errores no se pueden prevenir sólo con salvaguardas técnicas –
lo que se necesita también son claras políticas y procedimientos, capa-
citación y concientización, protección jurídica, medidas disciplinarias,
etc. La experiencia de la vida real ha demostrado que aplicando salva-
guardias diversas, se logra el mayor nivel de seguridad.
31
SEGURO & SIMPLE
sitos del estándar, pero el problema es que no todas las reglas de seguridad
son aplicables a todo tipo de organizaciones. Y las personas que dicen
que esto es descrito por el estándar probablemente nunca han leído el
estándar.
32
¿Qué es exactamente la ISO 27001?
Así podría considerar la documentación sólo como una herramienta
para lograr mayor seguridad.
El punto aquí es – Lea primero ISO 27001 antes de tener una opinión
sobre esto; o, si el estándar es demasiado aburrido para leer (que ad-
mito que lo es), con este libro puede ver lo que es y lo que no es cierto.
33
SEGURO & SIMPLE
Gestión de riesgos
Seguridad de
la información
Continuidad Cyber-seguridad
de negocio
Tecnologías de la información
34
¿Qué es exactamente la ISO 27001?
papel muy importante en la seguridad de la información; por lo tanto,
consecuentemente, existe también un área de solapamiento.
Vamos a ver qué sectores más típicamente están implementando esta norma.
35
SEGURO & SIMPLE
implementan ISO 27001 – por lo general, lo hacen porque quieren
obtener nuevos clientes demostrándoles con un certificado de que
son capaces de proteger su información de la mejor manera posible;
algunas compañías también usan ISO 27001 para cumplir con los
requisitos de seguridad contractual de sus principales clientes, o con
ANS (Acuerdos de Nivel de Servicio). En algunos casos, las empresas
que crecen rápido usan ISO 27001 como una forma de resolver pro-
blemas en sus operaciones, porque este estándar obliga a las empre-
sas a definir quién es responsable de qué y qué pasos deben seguirse
en los procesos más importantes, que muy a menudo no se define en
empresas que están creciendo demasiado rápido.
36
¿Qué es exactamente la ISO 27001?
confidenciales, y en todas las agencias la protección de la integridad y
la disponibilidad de sus datos es de suma importancia. El hecho de que
ISO 27001 fue diseñado para satisfacer las tres dimensiones (la famosa
tríada de C-I-D) es una metodología ideal para disminuir el número
de incidentes al mínimo posible. Y, siendo un estándar internacional
reconocido por organismos de normalización de cada país, ISO 27001
es un marco de trabajo perfecto con un reconocimiento oficial de cada
gobierno.
37
SEGURO & SIMPLE
Revisión 2013 de la ISO 27001. ISO 27001 fue revisada en 2013, por lo
tanto, la versión actual es la ISO/IEC 27001:2013. Los cambios más impor-
tantes en la revisión del 2013 están relacionados con la estructura de la par-
te principal del estándar, las partes interesadas, los objetivos, el seguimiento
y la medición; Además, el Anexo A ha reducido el número de controles de
133 a 114, y aumentó el número de secciones de 11 a 14. Por otra parte,
se eliminaron algunos requisitos en la revisión de 2013, como las acciones
preventivas y el requisito de documentar ciertos procedimientos.
Usted podrá leer más sobre todos estos elementos en los capítulos 5 al
10, mientras que en el Anexo D encontrará una infografía que muestra
las diferencias entre las revisiones del 2005 y 2013 del estándar.
38
¿Qué es exactamente la ISO 27001?
● Apartado 0: Introducción – explica el propósito de la ISO 27001
y su compatibilidad con otros estándares de gestión.
● Apartado 1: Alcance – explica que este estándar es aplicable a
cualquier tipo de organización.
● Apartado 2: Normativas de referencia – referencia a ISO 27000
como un estándar donde se dan términos y definiciones.
● Apartado 3: Términos y definiciones – de nuevo referencia a
ISO 27000.
● Apartado 4: Contexto de la organización – Esta sección es par-
te de la fase de Planificar del ciclo PDCA, y define los requerimien-
tos para entender las cuestiones internas y externas, las partes
interesadas y sus necesidades, y definir el alcance del SGSI.
● Apartado 5: Liderazgo – Esta sección es parte de la fase de
Planificar del ciclo PDCA y define las responsabilidades de la alta
dirección, el establecimiento de roles y responsabilidades, y el con-
tenido de la política de seguridad de la información de alto nivel.
● Apartado 6: Planificación – Esta sección es parte de la fase de
Planificación del ciclo PDCA y define los requerimientos para la
evaluación de riesgos, el tratamiento de riesgos, la declaración de
aplicabilidad, el plan de tratamiento del riesgo y el establecimiento
de los objetivos de seguridad de la información.
● Apartado 7: Soporte – Esta sección es parte de la fase de Planifi-
cación del ciclo PDCA y define los requerimientos para la disponi-
bilidad de recursos, competencias, conocimiento, comunicación y
control de documentos y registros.
● Apartado 8: Operación – Esta sección es parte de la fase Hacer
en el ciclo PDCA y define la implementación de la evaluación y tra-
tamiento del riesgo, así como los controles y otros procesos nece-
sarios para conseguir los objetivos de seguridad de la información.
● Apartado 9: Evaluación del desempeño – Esta sección es parte
de la fase de Verificación en el ciclo PDCA y define los requeri-
39
SEGURO & SIMPLE
mientos para el monitoreo, la medición, el análisis, la evaluación,
la auditoría interna y la revisión por dirección.
● Apartado 10: Mejora – Esta sección es parte de la fase de Actuar
en el ciclo PDCA y define los requerimientos para las no conformida-
des, las correcciones, las acciones correctivas y la mejora continua.
40
¿Qué es exactamente la ISO 27001?
Ahora proteger este portátil puede sonar simple, pero el problema vie-
ne cuando tiene cientos de portátiles, decenas de servidores, multitud
de bases de datos, muchos empleados, etc. Con tanta información sen-
sible en muchos activos diferentes, muy rápidamente se producen un
gran número de medidas de seguridad que no están relacionadas y que
por lo tanto serían muy difícil de manejar.
41
SEGURO & SIMPLE
La única manera de gestionar todas estas salvaguardas es establecer
responsabilidades y procesos de seguridad claros. Esto se denomina
“enfoque de procesos” en estándares ISO de gestión - en ISO 27001,
pero también en ISO 9001, ISO 20000 y otros estándares. Si tomamos
ISO 9001 para hacer una analogía, la idea es la siguiente: no se puede
esperar producir un coche de alta calidad realizando sólo una verifica-
ción de la calidad al final de la línea de producción, lo que se necesita es
diseñar un proceso de producción que incluya la filosofía de calidad en
cada paso, en cada detalle, desde la selección de proveedores de alta
calidad, la formación de los empleados , para abordar con eficacia los
productos no conformes.
Así que ¿qué podemos aprender de estos puntos? En primer lugar, los
controles de seguridad de la información no son sólo técnicos, o rela-
cionados con TI. Son una combinación de diferentes tipos de controles:
documentar un procedimiento es un control organizacional; implemen-
tar una herramienta software es un control de TI y la formación de
personas es un control de recursos humanos.
42
¿Qué es exactamente la ISO 27001?
43
3
OBTENER LA PARTICIPACIÓN
DE LA ALTA DIRECCIÓN Y OTROS
EMPLEADOS
44
Obtener la participación de la alta dirección y otros empleados
gocio, y riesgos empresariales. Y no les puede culpar – después de todo,
este es su trabajo.
Por lo tanto, si usted no puede cambiar esto, tendrá que cambiarse a si
mismo. Desde el principio, si quiere que le escuchen, tiene que empe-
zar a hablar un idioma que entiendan - y ellos le entenderán solamente
si presentan cuales son los beneficios para el negocio de la implemen-
tación de la seguridad de la información.
En mi experiencia, hay cuatro beneficios potenciales que usted debe
considerar:
1. Cumplimiento. Cada vez existen más y más leyes y reglamentos en
casi todos los países que requieren la implementación de la seguri-
dad de la información (por ejemplo, protección de datos personales,
protección de información clasificada por el gobierno, etc.); pero lo
que es aún más interesante, es que hay un creciente número de
clientes (por ejemplo, instituciones financieras) que requieren a sus
proveedores y socios implementar procedimientos de seguridad de
la información. La buena noticia es que la ISO 27001 es el marco de
trabajo perfecto para cumplir con todos estos requisitos, en parte
porque este estándar fue un modelo cuando se desarrollaron esas
leyes y reglamentos. Esto significa por una parte menos esfuerzo
en el proceso de cumplimiento, y por otra parte, menos sanciones
a pagar. (Aquí puede encontrar una lista de legislación mundial de
seguridad de la información.)
2. Ventaja competitiva. Si su empresa tiene el certificado ISO 27001
y sus competidores no, y sus clientes están confiando en su em-
presa la gestión de información sensible, en realidad podría ganar
a nuevos clientes porque usted será capaz de convencer a los po-
tenciales clientes que puede proteger su información mejor que sus
competidores. Esto significa mayor mercado y mayores ganancias.
3. Reducción de gastos. La seguridad de la información se considera
generalmente como un coste con ninguna ganancia financiera pal-
pable. Sin embargo, hay beneficios financieros si usted reduce sus
gastos ocasionados por sucesos. Usted probablemente tiene inte-
rrupciones en el servicio, o fugas ocasionales de datos o empleados
45
SEGURO & SIMPLE
descontentos. O ex-empleados descontentos. Es verdad, es difícil
de calcular cuánto dinero podría ahorrar si usted previene estos
incidentes - pero siempre suena bien si atraes la atención de la di-
rección exponiendo estos casos. (Más adelante en este capítulo voy
a explicar cómo calcular la cantidad de ahorros, en la sección 3.3.)
4. Optimización de procesos de negocio. Este es probablemente el
más subestimado – si usted es una empresa que ha ido creciendo con-
siderablemente en los últimos años, es posible que experimente pro-
blemas como quién tiene que decidir qué, quién es responsable de
ciertos activos, quién tiene que autorizar el acceso a los sistemas de
información. ISO 27001 es particularmente bueno en arreglar estas co-
sas, ya que le obliga a definir con mucha precisión los roles y responsa-
bilidades, lo que le puede ayudar a fortalecer su organización interna.
No estoy diciendo que estos cuatro beneficios puedan ser aplicables
a su organización, pero lo más probable es que encuentre al menos
dos que sean realmente relevantes para su organización. Y tiene que
consultar a sus colegas de empresa, porque en definitiva tiene que ave-
riguar cuál de estos beneficios son los más interesantes para la alta
dirección de su empresa, y para aquellos que apoyan su estrategia. La
mejor manera de hacer esto podría ser realizar una lluvia de ideas de
estos beneficios con sus colegas desde el lado del negocio de la orga-
nización, y con aquellas funciones corporativas.
Por supuesto, también tendrá que encontrar los caminos de cómo usted
puede relacionar la seguridad de la información con la estrategia de nego-
cio de la empresa. Aquí tiene un ejemplo: digamos que su empresa quiere
comenzar a ofrecer servicios en la nube, lo que significa que la información
sensible del cliente necesita ser protegida; Si comienza a implementar ISO
27001, no sólo disminuirá la probabilidad de que algunos datos se puedan
revelar, también disminuirá la indisponibilidad del servicio, por lo tanto,
este proyecto apoyará el paso estratégico que su empresa decidió tomar.
Vea también este mini caso de estudio en el capítulo 14: Obtener el
apoyo de la alta dirección en una compañía de propiedad estatal.
46
Obtener la participación de la alta dirección y otros empleados
47
SEGURO & SIMPLE
positivas que usted preparó. En su lugar, use la regla 30-20-10: use fuen-
tes tamaño 30, máximo 20 minutos, y hasta 10 diapositivas. Y céntrese en
los beneficios – este es el mensaje principal que usted necesita dar. (Vea
también el Apéndice F para una plantilla de propuesta de proyecto.)
Cuidado con las palabras. Recuerde, su grupo objetivo son directivos
que no entienden o no les gusta sus expresiones friki. Por ejemplo:
48
Obtener la participación de la alta dirección y otros empleados
Digamos que usted tiene un servidor que, si es destruido, el daño (tanto
en hardware, datos y tiempo de inactividad) sería de $100.000 – esto
también se denomina como Expectativa de Pérdida Simple, o en inglés
Single Lost Expectancy (SLE). Digamos que tienes una amenaza de incen-
dio, y que tal incidente puede suceder una vez en 20 años - esto significa
que la tasa anualizada de ocurrencia (ARO) sería 5%. Por lo tanto, aho-
ra tiene que calcular el valor del riesgo (o, utilizando esta terminología
complicada – Expectativa de Pérdida Anual, o en inglés Annualized Lost
Expectancy ALE) que se calcula multiplicando el SLE por el ARO.
¿Qué significa esto? Esto significa que mientras usted invierta menos
de $5.000 en los sistemas de prevención de incendios y extinción de
incendios, hará que esto sea un beneficio. Por lo tanto, digamos que
invierte $4.000 en esos sistemas al año, lo cual significa que obtendrá
un beneficio de $1,000 cada año. Esta es la cantidad de dinero que ha
ahorrado su empresa en promedio, por año, porque con esos sistemas
nunca debe producirse un fuego (es decir, ha eliminado el riesgo).
Sin embargo, es cierto: sí, es difícil calcular el daño que ocurriría; sí, no
hay estadísticas fiables sobre la frecuencia de estos incidentes. Pero,
con esfuerzo, se puede calcular el daño con una relativa exactitud y
puede hacer una suposición inteligente con la frecuencia – y sí, podría
perder 50 ó 70 por ciento, que es todavía mucho mejor que una pura
conjetura, por lo que puede perder 50 ó 70 veces.
49
SEGURO & SIMPLE
le recomiendo usar este cálculo de retorno de la inversión sólo si están
proponiendo inversiones grandes (por ejemplo, la compra de algunos
equipos caros) – en este caso, tiene sentido, para demostrar a su direc-
ción la lógica de los números.
Una vez que pueda abrir una ventana de oportunidad, tiene que ex-
plicar qué es lo que puede hacer para él y para su Departamento: se
puede definir exactamente quién puede acceder a los datos, dónde se
almacenan los datos, y cómo se transmiten - el punto es, con relativa-
mente poco esfuerzo se puede prevenir un gran incidente.
50
Obtener la participación de la alta dirección y otros empleados
Y así es como lo puede hacer con cualquier departamento, con cual-
quier persona - desde mi experiencia, hasta el momento, no he encon-
trado ningún departamento de cualquier empresa que no se beneficie
de la seguridad de la información.
Así que, ¿qué significa esto para usted? Haga su tarea primero. Estudie
sus procesos de negocio, sus productos principales, lo que es crítico en
todos los departamentos, las fechas importantes, etc. Una vez esté ar-
mado con este conocimiento, usted será capaz de conseguir convencer
a casi cualquier persona.
51
SEGURO & SIMPLE
En mi experiencia, aquí están las cuatro principales áreas donde el per-
sonal de TI puede beneficiarse más de un proyecto de ISO 27001:
Ahorrar tiempo. ¿Sabe qué tipo de solicitudes de apoyo son las que
llegan con más frecuencia al Departamento de TI? Las que los usua-
rios de un sistema de información han cometido algún tipo de error
(no usar una palabra pesada aquí), por lo que el personal de TI tiene
que pasar interminables horas en corregirlos. Bien, ISO 27001 trata de
definir reglas claras – quién puede hacer qué, cómo, y quién es el res-
ponsable. Sí, va a tener que invertir tiempo en establecer estas reglas
correctamente, pero una vez que estén establecidas conseguirá que sus
usuarios creen menos problemas.
52
Obtener la participación de la alta dirección y otros empleados
Mejorar las perspectivas de carrera. Los empleados de TI pueden
considerar la seguridad de la información como un lastre, pero el he-
cho es – la industria de la seguridad está creciendo muy rápidamente,
incluso más rápido que la industria de TI. Por lo tanto, con experiencia
en TI y en seguridad de la información, los empleados de TI pueden
crecer incluso más rápido. (El capítulo 12 habla sobre las oportunidades
de carrera en este sector).
53
4
PREPARACIÓN PARA
LA IMPLEMENTACIÓN
¿La razón número dos por la que falla la ISO 27001? Por no tratar la
implementación como un proyecto con un responsable y otros recursos
dedicados. El enfoque de dar todo este trabajo a un administrador de
TI, diciéndole: “OK, de ahora en adelante toma todo el control de la
seguridad de la información,” simplemente no funcionará.
54
Preparación para la implementación
para implementar este estándar: (1) hacerlo completamente con sus
propios empleados, (2) Utilizar un consultor, o (3) (término medio) im-
plementar el estándar con un enfoque de hacerlo usted mismo con sus
recursos, pero aprovechando conocimientos de expertos externos.
Pero, no todos estos métodos son aplicables a todo el mundo – aquí
hay una explicación de cada una de estas opciones, y en qué situacio-
nes son adecuadas.
1) Implementar el estándar usando personal propio de la orga-
nización. Esto es cuando usted decide implementar el estándar sin
ayuda externa, utilizando solamente el conocimiento y la capacidad de
sus propios empleados. En esta opción, sus empleados hacen todos los
análisis, realizan todas las entrevistas, redactan la documentación, etc.
Pros. Esta es probablemente la opción más barata, porque usted no
paga un servicio externo; Usted también está evitando que cualquier
persona externa pueda aprender algo acerca de sus procesos internos
o su documentación; por último, si escribe su propia documentación
aumenta el compromiso de sus empleados hacia los cambios que se
puedan requerir.
Contras. Esta es probablemente la opción más lenta porque lo hace
todo por su cuenta; Si sus empleados no son experimentados o lo su-
ficientemente expertos, esta podría ser la opción más costosa debido a
los errores que podrían producirse.
2) Usar un consultor. Con esta opción usted contrata a un experto ex-
terno (normalmente es un consultor local) que tiene experiencia con la
implementación de la norma - esta persona entonces realiza el análisis
de su empresa, hace las entrevistas, escribe la documentación y todo lo
demás – básicamente, implementa todo el estándar para usted.
Pros. Esta es sin duda la forma más rápida de implementar el están-
dar – si contrata a un buen consultor, este tendrá mucha experiencia
y sabrá cómo organizar el proyecto para terminarlo rápidamente; Esta
es también la mejor manera si sus empleados no tienen tiempo para
dedicar a este proyecto.
55
SEGURO & SIMPLE
Contras. Los consultores obviamente cuestan dinero, así que esta es la
opción más costosa; Además, de esta manera da acceso a casi todos los
secretos de su empresa a un externo (por ejemplo, cómo está organizada
la empresa, sus principales procesos y ventajas competitivas clave, quienes
son las personas más importantes, etc.); Finalmente, cuando un externo
escribe la documentación, los empleados pueden sentir que se les impo-
nen políticas y procedimientos, y a menudo buscarán maneras de eludirlos.
En la siguiente sección verá un par de sugerencias sobre cómo elegir a
un consultor.
3) Implementar el estándar con un enfoque HUM (Hacerlo Usted
Mismo) y usando conocimiento externo. Esta opción se convirtió en
muy popular en los últimos años, y básicamente es un término medio
entre las dos primeras opciones. Aquí es donde sus empleados hacen la
implementación completa, pero obtienen el conocimiento, la documenta-
ción y el apoyo de una parte externa.
Pros. Esta opción no es tan cara como la de los consultores, y tiene
todos los conocimientos necesarios y el apoyo; Además, no da acceso a
su información confidencial a ninguna persona externa. Por otra parte,
dado que sus empleados escriben la documentación, el compromiso de
seguir las nuevas reglas será probablemente mucho mayor.
Contras. Sus empleados tendrán que aprender sobre la implementa-
ción, así que esta no es la forma más rápida de implementar el están-
dar; Además, esta opción no resuelve el problema si sus empleados es-
tán completamente abrumados con otros proyectos y no tienen tiempo
para otra cosa.
Por lo tanto, ¿qué opción elegir? Debería implementar el estándar con
sus propios empleados si tiene empleados que ya tienen experiencia en
la implementación, si usted tiene datos muy confidenciales, y si su presu-
puesto es muy bajo. Por otro lado, si usted tiene prisa y no tiene miedo
de que algunos de los secretos de la compañía pueden estar expuestos
a personal externo, deberá utilizar a un consultor; por supuesto, usted
necesitará un buen presupuesto para esta opción. Finalmente, puede
escoger la opción del enfoque Hacerlo-Usted-Mismo si desea que sus
empleados aprendan cómo se hace, no tiene demasiada prisa, y su res-
56
Preparación para la implementación
ponsable de proyecto puede dedicar un par de horas por día para este
proyecto; y, por supuesto, si tu presupuesto no es demasiado alto.
57
SEGURO & SIMPLE
Conflicto de intereses. Contratar a un consultor que vende sólo
esto – servicios de consultoría. Evite aquellos que ofrecen, por ejem-
plo, herramientas de software, a menos que quiera convertirse en un
objetivo de ventas.
Hay una buena razón por la que creo que los precios deben ser uno
de los criterios a utilizar - muchas veces he visto a empresas selec-
cionar el consultor más barato, y más tarde han descubierto que era
realmente la opción más cara. Los consultores más baratos general-
mente no tienen mucho trabajo, por eso ofrecen los precios más ba-
jos – quieren sobrevivir en el mercado. Pero, la pregunta importante
aquí es: ¿porqué no tienen suficiente trabajo? ¿Porque son nuevos
en este mercado y no tienen suficiente experiencia? ¿O porque no
tienen una buena reputación, y muchos clientes prefieren evitarlos?
Piense en todo esto cuando usted tome su decisión.
Por supuesto el precio es importante, pero tiene que calcular el precio total
del proyecto – y generalmente el precio extra que paga por un buen con-
sultor le costará mucho menos que los ahorros que le de otro consultor.
Vea también el Apéndice I para una lista detallada de las preguntas que
debe hacer a posibles consultores.
58
Preparación para la implementación
● 4 – el requisito es implementado y medido, revisado y mejorado
regularmente.
El análisis de brecha es obligatorio en el estándar ISO 27001, pero sólo
en el desarrollo de la Declaración de Aplicabilidad – la cláusula 6.1.3 d)
dice que es necesario determinar “... Si [los controles necesarios] están
implementados o no.”
ISO 27001 está escrito de forma clara y secuencial, por tanto, básica-
mente los pasos de su implementación deben seguir casi exactamente
la misma secuencia que el orden en el que está escrito el estándar. O,
para ser más precisos, sus pasos en el plan de proyecto deben parecerse
a las cláusulas 4 a la 10 del estándar, en el orden que están escritos,
esto es exactamente lo que describiré en los capítulos de 5 al 10 de este
libro. Hay algunas raras excepciones a esta regla, en las que también
haré hincapié en los siguientes capítulos.
59
SEGURO & SIMPLE
Esta secuencialidad es una consecuencia del estándar está escrito de acuerdo
al ciclo Plan-Do-Check-Act (PDCA), que dice que, para tener un sistema de
gestión eficaz, primero es necesario planificar lo que quieres hacer (incluyen-
do los objetivos), después tienes que implementar (fase Do) lo que ha pla-
neado, a continuación, usted tiene que comprobar si su implementación ha
logrado los resultados previstos, y finalmente tiene que llenar el vacío (fase
Act) entre lo que usted consigue y lo que usted planeó conseguir. Puesto que
las cláusulas de la 4 a la 10 siguen exactamente esta lógica, es por esto que
se debe seguir en este orden a la hora de la implementación del estándar.
Por favor, tenga en cuenta que cuando se utiliza la palabra implemen-
tación a lo largo de este libro no significa necesariamente sólo la fase
de implementación (Do) en el ciclo PDCA – por implementación me re-
fiero a las medidas que sean necesarias para aplicar los requisitos de la
ISO 27001, no importa en la fase del ciclo PDCA a la que pertenezcan.
En el Apéndice B de este libro encontrará un diagrama de implementa-
ción que muestra todos los pasos según los requisitos de la ISO 27001.
Este diagrama incluye todas las fases del ciclo PDCA, pero sólo desde la
perspectiva de la implementación inicial del estándar.
El resultado en la mayoría de los pasos mencionados en este diagrama
son varios documentos – cubriré la documentación que será elaborada
en los siguientes capítulos, y también puede ver la lista de documenta-
ción obligatoria de la ISO 27001 en el Apéndice A de este libro.
60
Preparación para la implementación
Plan de proyecto. Es necesario definir lo que quiere lograr con su
proyecto y quién es responsable de las cosas; describa los roles del
responsable de proyecto, los miembros del equipo de proyecto y el pa-
trocinador; y haga una lista de los pasos del proyecto y sus entregables,
hitos y plazos. (Vea también el Apéndice G para una plantilla con una
lista de verificación del proyecto y el Apéndice H para una plantilla para
el plan de proyecto.)
Otros empleados. Es un mito común que sólo el CISO escriba todos los
documentos - la realidad no puede ser más diferente. Aunque el CISO
escribirá numerosos documentos, algunos de estos – por ejemplo, los
procedimientos operativos detallados – los escribirán los empleados de los
61
SEGURO & SIMPLE
departamentos que correspondan. Por lo tanto, es importante establecer
al menos un representante de cada departamento que dedicará un par de
días a este proyecto. Por supuesto, si usted ya tiene representantes de los
departamentos en un equipo de proyecto, no necesita gente adicional.
Herramientas para la gestión del proyecto. Para facilitar la imple-
mentación de su proyecto, puede usar algunas herramientas que van
desde un simple diagrama de Gantt hasta software de gestión de pro-
yectos, que puede utilizar para la comunicación y colaboración entre los
miembros del equipo de proyecto, registrar todas las tareas, realizar re-
portes, gestión de archivos, etc.
Herramienta libre: Conformio es una herramienta online que pro-
porciona todas las herramientas para la gestión del proyecto ISO
27001 – tareas, colaboración, gestión documental, etc.
63
SEGURO & SIMPLE
El nivel de habilidades “diplomáticas” del responsable del proyecto – dado
que el promotor del proyecto no entrará en todos los detalles, el respons-
able del proyecto tendrá que encontrar maneras de pasar este muro.
64
Preparación para la implementación
● Organizaciones de tamaño mediano (hasta 500 empleados) gene-
ralmente necesitan entre 8 y 12 meses para implementar el estándar
Una nota aquí - en mi experiencia, las empresas que arrastran este tipo
de proyectos durante un periodo demasiado largo (por ejemplo, pe-
queñas empresas que emplean más de 12 meses), generalmente nunca
terminan el proyecto – en estas organizaciones nunca es suficiente el
reconocimiento de la importancia de la ISO 27001, así que nunca tienen
suficientes recursos humanos o financieros, dedicados a este proyecto.
65
SEGURO & SIMPLE
Cualquiera que sea el proceso, probablemente deberá hacer lo siguiente:
1) Distinguir entre costes de una sola vez, como por ejemplo costes
iniciales de la implementación (costes de proyecto), y costes dia-
rios de la gestión de la seguridad de la información una vez que el
proyecto ha finalizado (costes de funcionamiento).
2) S
ea concreto – averigüe exactamente cuánto son los costes, por-
que a la dirección no le gusta perder su tiempo con vagas figuras.
Ahora, vamos a ver para lo que debe de hacer planes – por desgracia,
no puedo darle las cantidades exactas, porque difiere mucho de gran-
des a pequeñas empresas y de una parte del mundo a otro, pero al
menos puedo decirle los costes que tendrá su presupuesto:
66
Preparación para la implementación
● Tecnología – Esto podría ir desde la compra de un nuevo software
hasta suscribirse a alguna herramienta online. Estos costes son gene-
ralmente más bajos que el coste de empleado puesto que las empre-
sas generalmente ya tienen la mayoría de las tecnologías necesarias
para el proyecto.
● Literatura y formación – varios libros y/o cursos.
● Asistencia externa – si decide usar un consultor o algún tipo de
soporte online.
● Herramientas y plantillas de documentos – si decide ejecutar
el proyecto sin un consultor.
● Entidad certificadora – si decide ir a por la certificación.
Costes de funcionamiento. Presupuestar para esto será muy pareci-
do a su proceso normal de presupuestos – usted tendrá que planificar
los costes que normalmente tiene para otras operaciones, por ejemplo:
● Salarios de trabajadores – El CISO y demás personal que trabaja
en seguridad de la información; desde mi experiencia, no habrá el
tiempo adicional necesario para que otros empleados puedan eje-
cutar los controles de seguridad – si las políticas y procedimientos
se escriben en una forma razonable, entonces estas actividades
entrarán en una dinámica de trabajo de funcionamiento normal.
● Costes de oficina donde trabajan los empleados (alquiler, electri-
cidad, teléfono e Internet, computadoras, etc.)
Sin embargo, también tiene que planificar algunos otros costes de fun-
cionamiento que su empresa probablemente no tenía antes:
● Formación y concienciación, costes directamente relacionados
con la seguridad de la información
● Auditorías internas (si contrata una persona o empresa externa
para hacer esto)
● Visitas de seguimiento de la entidad certificadora y re-certificación
● Uso de herramientas de seguridad de la información
67
SEGURO & SIMPLE
Y este nivel de detalle será suficiente – si usted realmente lista todos
estos elementos, sus ejecutivos estarán probablemente impresionados
por su minuciosidad.
a)
Herramientas para automatizar actividades – Estas herra-
mientas le ayudan a semi-automatizar parte de los procesos – por
ejemplo, la gestión del proyecto, la realización de la evaluación
del riesgo, el almacenamiento y aprobación de la documentación,
gestión de incidentes, asistencia en las mediciones, etc.
68
Preparación para la implementación
El mayor problema de las herramientas de automatización es que la ma-
yoría está hecha para grandes empresas: la mayoría de estas herramientas
no tienen en mente un precio para las empresas más pequeñas, y peor
aún – tienen multitud de funciones que implica que se tenga que formar
a los empleados para que sepan cómo utilizarlas, lo que puede llevar de-
masiado tiempo. Por lo tanto, usted debe definitivamente tener en cuen-
ta la facilidad de uso, así como los precios, antes de tomar una decisión.
69
SEGURO & SIMPLE
● ¿Qué tipo de ayuda recibe para escribir los documentos? ¿Existe
alguna directriz, tutoriales, ayuda o cualquier cosa similar que ven-
ga con las plantillas?
70
Preparación para la implementación
importantes requieren documentos detallados, probablemente tendrá
que entrar en detalles, pero esto no significa que el resto de documen-
tos deban ser también detallados.
71
SEGURO & SIMPLE
● Importancia y complejidad – Mientras más importante y com-
plejo sea un proceso o actividad, más probable será que quiera
escribir una política o un procedimiento para describirlo - esto es
porque usted querrá asegurarse de que todo el mundo entiende
cómo realizar dicho proceso o actividad para evitar interrupciones
en sus operaciones.
72
5
PRIMEROS PASOS EN EL PROYECTO
73
SEGURO & SIMPLE
Entradas. ISO 27001 dice muy brevemente que es necesario identifi-
car todas las cuestiones internas y externas que podrían influir en su
sistema de gestión de seguridad de información (SGSI). También hace
referencia a la cláusula 5.3 del estándar ISO 31000 para una explica-
ción más detallada. ISO 31000 es un estándar que proporciona una
guía de buenas prácticas para la gestión de riesgos, y esto es lo que
sugiere que podría ser incluido a la hora de identificar las cuestiones
internas y externas (por cierto, los mismos elementos aparecen en la
ISO 27004:2009):
Tenga en cuenta que ISO 31000 proporciona sólo una guía de buenas
prácticas; por lo tanto, no es obligatoria.
74
Primeros pasos en el proyecto
Por lo tanto, el punto es, no necesita crear pasos adicionales para la
identificación de cuestiones internas sobre lo que ya tiene que hacer
debido a las cláusulas mencionadas arriba del estándar ISO 27001 –
esto significa que mediante la implementación de estas cláusulas iden-
tificará todas las cuestiones internas.
75
SEGURO & SIMPLE
● trabajadores
● agencias/reguladores gubernamentales
● clientes
● medios
76
Primeros pasos en el proyecto
● socios y proveedores
● etc.
Vea también este mini caso de estudio en el capítulo 14: Listar las par-
tes interesadas y sus requerimientos en un banco Europeo.
77
SEGURO & SIMPLE
78
Primeros pasos en el proyecto
● Fecha de finalización deseada – Si tiene un plazo de tiempo cor-
to (por ejemplo, tiene que conseguir el certificado para la próxima
licitación), usted debería apuntar a un alcance más pequeño.
Si me pide un alcance de SGSI que no cubra toda la empresa (o al me-
nos sus procesos principales) no tendrá mucho sentido - digamos que
ha implementado la ISO 27001 sólo en su departamento de TI, pero no
en el núcleo de la planta de fabricación. Esto significa que por ejemplo
los datos cruciales sobre su diseño del producto no están protegidos
ya que se almacenan en computadoras locales en el Departamento de
fabricación, lo que significa que realmente no se centrará en su infor-
mación más importante.
Si, por alguna razón, se ven obligados a ir a un alcance más peque-
ño, su plan a largo plazo debe apuntar hacia un alcance completo en
la empresa. Como se señaló anteriormente, un alcance más pequeño
puede ser muy bueno para aprender – una vez que está seguro de que
lo hizo todo bien en una unidad organizativa, lo puede ampliar todo.
Decisiones. La mejor manera de determinar un alcance es organizar una
reunión con su patrocinador y/o equipo de proyecto – esto es realmente
una decisión estratégica, y no lo puede hacer solamente el director.
Sólo mencionar aquí que si elige que el alcance del SGSI sólo incluya
una parte de su organización, entonces la “alta dirección” no va a ser
su ejecutivo, pero sí el responsable superior en el departamento, o uni-
dad de negocio que corresponda. Por lo tanto, cuando utilizo la frase
de la alta dirección en este libro, me refiero a los responsables con una
posición más alta dentro del alcance del SGSI.
Entradas. ISO 27001 dice que tiene que hacer lo siguiente a la hora de
definir el alcance:
● Tener en cuenta las cuestiones internas y externas definidas en la
cláusula 4.1
● Tener en cuenta todos los requerimientos definidos en la cláusula 4.2
● Considerar las interfaces y dependencias entre lo que está suce-
diendo dentro del alcance del SGSI y el mundo exterior.
79
SEGURO & SIMPLE
Probablemente sea más fácil describir las dependencias gráficamente,
aunque tenga en cuenta que estas dependencias no tienen que estar
documentadas. Puede dibujar en un círculo los procesos que se inclu-
yen en el alcance del SGSI y luego fuera de este círculo dibujar los pro-
cesos que están fuera de su alcance. Por procesos, no me refiero solo a
procesos de seguridad o TI – me refiero a los procesos de negocio den-
tro de su alcance; Si ya ha implementado la ISO 9001, probablemente
tenga un gráfico de procesos similares. Aquí tiene un ejemplo:
Compañía A
Proceso central #1
Proceso central #2
Alcance
del SGSI Proceso central #3
Proceso de
Proceso de
Proceso de
apoyo #1
apoyo #2
apoyo #3
Desarrollo
y manten- Servicios
imiento de contables
software Servicios Servicios de
legales limpieza
Figura 4: Gráfico de los procesos del SGSI indicados en el alcance del SGSI
Una vez que conoce las dependencias, usted debe identificar las inter-
faces. Es importante para una empresa comprender los límites del SGSI
y conocer qué entradas y salidas tendrán estas interfaces, para de esta
manera protegerlas mejor.
80
Primeros pasos en el proyecto
Un par de enfoques para determinar interfaces:
● Usted puede tratar de identificar todos los puntos finales que con-
trola – por ejemplo, en su red local podría ser el router (porque
después de ese punto generalmente no tiene control del enlace
– lo tiene la empresa de telecomunicaciones), para sus oficinas la
interfaz podría ser la puerta de entrada, etc.
81
SEGURO & SIMPLE
Entradas. Para determinar los objetivos (ver sección 5.6), sus ejecutivos
necesitan saber cuáles son los beneficios de la implementación de la
ISO 27001 (ver sección 3.1) - los objetivos suelen reflejar esos benefi-
cios. Una vez que tiene claros objetivos de seguridad de la información,
serán una medida clave para todo lo demás – midiendo si esos objeti-
vos se logran, usted sabrá qué tan bien está funcionando su SGSI.
83
SEGURO & SIMPLE
a su organización, el propósito principal de la política es que la alta
dirección defina lo que quiere lograr con la seguridad de la información.
84
Primeros pasos en el proyecto
● La política deberá ser comunicada dentro de la empresa, pero tam-
bién – cuando corresponda - a las partes interesadas; la mejor
práctica es definir quién es responsable de tal comunicación, y en-
tonces esta persona será responsable de hacerlo continuamente.
La política debe ser revisada regularmente – debe definirse un dueño de
la política, y esta persona será responsable de mantener al día la política.
Así que, como puede ver, la política no tiene que ser un documento
muy extenso.
● Opciones. Aunque no es obligatorio, si eres una pequeña empresa
también puede incluir lo siguiente (para las grandes empresas, es-
tas cuestiones están generalmente en documentadas separados):
● El alcance del SGSI – de esta manera el alcance no tiene que
existir como un documento separado.
● Responsabilidades para las piezas clave del SGSI – por ejemplo,
quién es responsable de las operaciones diarias y la coordinación,
quién es responsable en el nivel ejecutivo, quién es responsable
de la evaluación de riesgos, de los incidentes, de las auditorías
internas, etc.
● Medición – quién medirá si se han logrado los objetivos de segu-
ridad de la información, a quién se tienen que reportar los resulta-
dos, con qué frecuencia, etc. (Vea también la sección 10.1.)
● En algunas empresas más grandes, he visto una combinación de la
Política de seguridad de información con la Política de gestión de
riesgos de empresa. Aunque esto no está mal, creo que es mejor
mantener estas políticas como documentos separados – el enfo-
que es mucho más claro.
Entradas. Hay un par de entradas que hay que tener en cuenta al es-
cribir la política:
● Las intenciones de la alta dirección con la seguridad de la informa-
ción – lo mejor sería concertar una entrevista con su director y pa-
sar por todos los elementos de la política; usted podría enviar un
85
SEGURO & SIMPLE
correo electrónico con un par de días de antelación a la reunión,
así el director puede tener tiempo para pensar sobre ello.
● Legislación y requisitos contractuales - la política debe reflejarlos.
86
Primeros pasos en el proyecto
En esta sección me centraré sólo en los objetivos estratégicos (para
todo su SGSI), para los objetivos tácticos, por favor vea la sección 8.1.
87
SEGURO & SIMPLE
zar con su estrategia de empresa – ¿qué trata de alcanzar su empresa?
¿Cómo quiere conseguirlo?, ¿con qué competencias? ¿Cómo puede
ayudar la seguridad de la información a ejecutar esta estrategia? Una vez
que encuentre esta relación, será más fácil llegar a los objetivos del SGSI.
Decisiones. Dado que pensar sobre todo esto no es posible para una
única persona, debe incluir a todo su equipo de proyecto en este inter-
cambio de ideas; también, si alguien en su empresa ya está tratando
con la medición del desempeño – por ejemplo, el departamento de
control, le podrían ayudar mucho. Su alta dirección debería dar el visto
bueno definitivo a los objetivos - puede probar a discutirlos con su pa-
trocinador antes de presentarlos a su director.
Consejo de documentación: (obligatorio) Los objetivos del SGSI
pueden figurar tanto en la Política de seguridad de la información
como en un documento separado, por ejemplo, Listado de objeti-
vos de seguridad de la información.
88
Primeros pasos en el proyecto
● Primero por que se necesitan responsabilidades para asegurar que
el SGSI cumple con los requisitos de la ISO 27001
● Y segundo porque se necesitan responsabilidades para monitori-
zar el funcionamiento del SGSI y su reporte a la alta dirección.
En el nivel inferior de la organización, las responsabilidades y roles de
seguridad serán asignados como tareas regulares – por ejemplo, iniciar
la copia de seguridad en un momento determinado del día. Estas tareas
se deben asignar a las personas que probablemente ya las están hacien-
do, sólo que ahora estos roles y responsabilidades serán más formales.
El seguimiento y el reporte deben hacerse también a través de canales
regulares – típicamente, el superior directo de los empleados está a
cargo de monitorizarlos, y reportar sobre sus resultados.
Opciones. Las autoridades y responsabilidades de nivel superior pueden
ser asignadas a una o más personas en la empresa, dependiendo de lo
que sea más apropiado. Por ejemplo para las pequeñas empresas con un
SGSI simple, lo lógico es asignar una persona responsable de implemen-
tar todos los requisitos de la ISO 27001 e informar sobre el rendimiento
del SGSI a la alta dirección. Éste es generalmente el CISO (responsable de
seguridad de la información).
En grandes empresas con SGSIs más complejos podría ser más factible
tener una persona responsable de implementar los requisitos y otra de
reportar. Otra opción sería tener una persona para asegurar la imple-
mentación de los requisitos, y esta misma persona puede reportar a un
segmento del SGSI, por ejemplo a Seguridad de los Recursos Humanos,
y a otra persona puede reportar a gestión de incidencias, etc.
Documentación. El estándar no requiere explícitamente que se docu-
menten los roles y responsabilidades, sin embargo las buenas prácticas
muestran que es más práctico comunicar las responsabilidades si las tie-
ne documentadas. Para ello, puede documentar los roles y responsabi-
lidades generales de seguridad de la información en la descripción de
puestos de la organización, o como parte del organigrama funcional. Por
supuesto debe documentar los roles y responsabilidades de seguridad es-
pecíficos de varias políticas, procedimientos, planes y otros documentos
que se desarrollan como parte de la implementación de la ISO 27001.
89
SEGURO & SIMPLE
En otras palabras, es necesario tener un documento que defina de ma-
nera centralizada y detallada todos los roles y responsabilidades de se-
guridad. Este documento no sería práctico si su información estuviese
repetida – en el momento que cambie algún rol o responsabilidad en un
procedimiento particular, tendrá que cambiar también este documento
central. Tarde o temprano, detectará alguna discrepancia, y créame - esta
situación es un gran problema cuando se trata con documentación.
90
6
CUESTIONES NO RELACIONADAS
CON LA SEGURIDAD, NECESARIAS
PARA GESTIONAR LA SEGURIDAD
Sólo destacar aquí, que ISO 27001 habla sobre “información documen-
tada”, que significa tanto documentos (por ejemplo, planes, políticas,
procedimientos, etc.) como registros (por ejemplo, registros, informes,
registros de formación, reunión, minutas, etc.).
91
SEGURO & SIMPLE
rido, medios utilizados para su elaboración, quién puede aprobarlos, cómo
están distribuidos y archivados, cómo se mantienen hasta la fecha, qué sis-
tema de control de versiones está en uso, cómo seguir los cambios en los
documentos, cómo controlar la recepción de documentos externos, etc.
Mientras escriba este procedimiento, debe tener en cuenta que los do-
cumentos pueden encontrarse en varias formas – documentos en pa-
pel, archivos de texto u hojas de cálculo, archivos de vídeo o audio, etc.
Una organización no sólo debe gestionar documentos internos (por
ejemplo, diferentes políticas, procedimientos, documentación del pro-
yecto etc.), también debe gestionar documentos externos (por ejem-
plo, diferentes tipos de correspondencia, documentación recibida con
los equipos de los usuarios, etc..). En otras palabras, asegúrese de que
el procedimiento tiene en cuenta todos estos documentos.
Entradas. En primer lugar, tiene que averiguar si ya existe un proce-
dimiento que defina la gestión de documentación o registros en su
empresa – si no tiene ningún estándar de gestión ISO, tal vez tenga
algunas reglas corporativas sobre la gestión de documentos o registros.
Además, tiene que tener en cuenta lo siguiente:
● S olución técnica existente para el manejo de documentación (por
ejemplo, un sistema de gestión documental, un software de gestión
de proyectos, un software de gestión de relaciones con clientes, etc.)
● P lantillas existentes que esté utilizando para la documentación interna
● Idiomas que son usados comúnmente en su empresa
Decisiones. Si no tiene ninguna regla para estas cuestiones, debe pro-
poner una estructura para este procedimiento y luego decidir las op-
ciones con su equipo de proyecto o con los jefes de un par de departa-
mentos que considere que podrían estar más interesados en este tema
(o simplemente puede enviarles una versión borrador). Si ya tiene reglas
similares, entonces tiene que proponer cambios para que sea compati-
ble con ISO 27001, y enviar el documento para su revisión y aprobación
según el proceso definido.
Opciones. Existen un par de opciones que usted debe decidir:
92
Cuestiones no relacionadas con la seguridad, necesarias para gestionar la seguridad
● F ormato electrónico o formato papel para sus políticas, pro-
cedimientos y planes – aunque el formato electrónico es el más
común, algunas agencias gubernamentales todavía prefieren el
formato en papel.
●A
ctualización de documentos – es una buena práctica nom-
brar al propietario de cada documento como el responsable de
las actualizaciones y revisiones regulares. Esta persona podría ser
alguien que lo escribió (por ejemplo, un administrador de TI po-
dría ser el dueño del procedimiento de copias de seguridad), o
alternativamente, una persona podría ser responsable de todos los
documentos del SGSI (por ejemplo, el CISO); sin embargo, si una
persona es responsable de todos los documentos, nunca sabrá to-
dos los cambios en cada departamento, por lo que tal solución
muchas veces es mala.
●D
ebería usar un sistema de gestión documental para manejar
documentos – Esto depende básicamente del tamaño de su em-
presa – para compañías más pequeñas, una o varias carpetas en la
intranet será totalmente suficiente, mientras que compañías más
grandes probablemente necesitarán un SharePoint o una tecnología
similar para este propósito.
93
SEGURO & SIMPLE
94
Cuestiones no relacionadas con la seguridad, necesarias para gestionar la seguridad
que quiera hacer en su SGSI. Por ejemplo, el plan de tratamiento de
riesgos tiene una lista con todos los controles que deben aplicarse, jun-
to con los recursos que se necesitarán.
95
SEGURO & SIMPLE
2. Realizar capacitaciones para alcanzar el nivel de conocimientos y ha-
bilidades deseado – por ejemplo, cursos, lectura de literatura, parti-
cipación en foros de expertos, cursos de capacitación internos, etc.
96
Cuestiones no relacionadas con la seguridad, necesarias para gestionar la seguridad
Consejo de documentación: (obligatorio) Registros de personal
(para cada empleado individual), o un documento conocido como
Plan de formación – este documento puede ser fusionado con el do-
cumento de concienciación, por lo que puede llamar al documento
Plan de Formación y Concienciación.
Por lo tanto, el estándar exige que todas las personas que trabajan para
la empresa sean conscientes de la Política de seguridad de la informa-
ción, de su rol, el impacto que tienen en el SGSI, y las consecuencias en
el caso de no cumplir con las reglas del SGSI.
97
SEGURO & SIMPLE
● Formación online – puede crear cursos de formación online pe-
queños, que expliquen la importancia de la seguridad de la infor-
mación, lo cual también ayudará a capacitar a sus empleados.
98
Cuestiones no relacionadas con la seguridad, necesarias para gestionar la seguridad
estructurado en concienciación de seguridad de la información en su
empresa, usted puede documentar un plan de concienciación. En este
plan usted puede definir qué tipo de actividades de concienciación se
llevará a cabo (presentaciones, boletines informativos, etc.) durante qué
periodo (un año por ejemplo), la periodicidad para las actividades (men-
sual, trimestral etc.) y los recursos (sala de conferencias y proyector, etc..).
100
Cuestiones no relacionadas con la seguridad, necesarias para gestionar la seguridad
● Definir quién revisa y aprueba los documentos del SGSI, dónde son
publicados, y con qué frecuencia son revisados
Ahora que tiene todos los elementos básicos, vamos a empezar a ave-
riguar cuál es su información más sensible, y cómo podría estar en
peligro.
101
7
GESTIÓN DE RIESGOS
Voy a explicar cómo hacer frente a los riesgos en las siguientes sec-
ciones; por otro lado el abordar oportunidades puede integrarse en
102
Gestión de riesgos
el proceso de mejora continua, que significa que son oportunidades
que pueden ser documentadas y evaluadas como las iniciativas para
la mejora continua del SGSI, como voy a describir en la sección 10.6;
abordar oportunidades también puede ser parte de la configuración de
los objetivos de seguridad y la medición de su cumplimiento.
103
SEGURO & SIMPLE
1) Metodología de análisis de riesgos. Este es el primer paso en
su viaje a través de la gestión del riesgo. Es necesario definir las reglas
sobre cómo va a realizar la gestión del riesgo, dado que desea que su
organización lo haga siempre del mismo modo, ya que el mayor proble-
ma con la evaluación del riesgo ocurre si diferentes partes de la orga-
nización lo realizan de una manera diferente. Por lo tanto, es necesario
definir qué escala usas para la evaluación cualitativa, cuál será el nivel
aceptable de riesgo, etc.
104
Gestión de riesgos
Es muy importante entender que estos cinco pasos deben realizarse secuen-
cialmente - no puede implementar los controles de seguridad a menos que
sepa que estos son los más adecuados; no puede saber qué salvaguardias
son apropiadas, antes de encontrar dónde están los potenciales problemas;
Si primero no define las reglas para todo el proceso, simplemente fallará.
En las secciones siguientes voy a explicar cada uno de estos pasos, uti-
lizando también las directrices de ISO 27005.
105
SEGURO & SIMPLE
4) Definir cómo será calculado el riesgo
●
Propietarios de riesgos. Básicamente, usted debe elegir a una
persona que esté interesada en la resolución de un riesgo y esté bien
posicionada en la organización para hacer algo al respecto.
●E
valuando consecuencias y probabilidad. Se deben evaluar por
separado las consecuencias y la probabilidad para cada uno de sus
riesgos; Usted es totalmente libre de usar cualquier escala que le
guste – por ejemplo, Bajo-Medio-Alto, o de 1 a 5, o de 1 a 10, etc. -
lo que más le convenga. Por supuesto, si quiere hacerlo simple, utilice
Bajo-Medio-Alto.
106
Gestión de riesgos
● Método de cálculo del riesgo. Esto habitualmente se realiza medi-
ante la suma de las consecuencias y la probabilidad (por ejemplo, 2
+ 5 = 7) o a través de la multiplicación (por ejemplo, 2 x 5 = 10). Si
utiliza escalas de Bajo-Medio-Alto, esto es lo mismo que utilizar la
escala 1-2-3, por lo que de nuevo tendrás números para el cálculo.
107
SEGURO & SIMPLE
Documentación. El documento de su metodología tiene que describir
lo siguiente:
●
Leyes, regulaciones, requerimientos contractuales relacionados
con la gestión de riesgos.
● Qué documentos tienen que producirse – por favor, sea las seccio-
nes sobre la realización del análisis y tratamiento de riesgos.
108
Gestión de riesgos
109
SEGURO & SIMPLE
Por supuesto, el realizar entrevistas probablemente de mejores resulta-
dos; sin embargo, esta opción a menudo no es factible porque requiere
una gran inversión de tiempo por parte del CISO.
Entradas. La principal entrada para el proceso de evaluación de riesgos
es, por supuesto, la metodología de evaluación de riesgos, y también
necesitará una lista de sus departamentos.
Si ha elegido la identificación de riesgos basada en activos, entonces
usted tendrá que identificar todos los activos de cada departamento
(Nota: los procesos no se consideran activos). Para ello, puede utilizar
sus actuales inventarios de activos, pero generalmente la mejor técnica
para la identificación de activos es: preguntar a las personas con más
conocimiento de cada departamento, lo que utilizan en sus operacio-
nes diarias - qué hardware y equipamiento (sólo hay que mirar alrede-
dor de su oficina), software (lo que está instalado en su equipo), servi-
cios (qué sitios web accede a través del navegador) , información digital
(navegar por sus carpetas), información en papel (lo que tienen en sus
escritorios y archivadores), infraestructura (oficinas y servicios públicos
que utilizan), personas que trabajan, etc.
Si tiene por ejemplo un servidor que contiene información confidencial,
podría figurar tres veces como un tipo de activo distinto: como un ser-
vidor físico, como un software que se ejecuta en ese servidor, y como
una base de datos. Puesto que el estándar no es estricto en relación al
inventario de activos, para los servidores menos sensibles puede incluir
un servidor como único activo. Además, usted puede agrupar activos
similares – si tienes varios ordenadores en una empresa, debe enume-
rarlos como un único activo en su evaluación del riesgo.
Para las amenazas y vulnerabilidades, lo mejor sería utilizar catálogos - si
utiliza algún tipo de herramienta o plantilla, ya debe tener estos catálogos,
y en el apéndice M encontrará una lista de amenazas y vulnerabilidades.
Si le resulta útil, puede organizar las amenazas según su tipo: malicioso
(por ejemplo, bombas, virus, etc.), naturales (por ejemplo, terremoto,
tsunami, etc.), mal funcionamiento (por ejemplo, pérdida de energía,
distribución de unidades de disco, etc.) y errores humanos (por ejem-
plo, borrado de datos, incumplimiento de procedimiento, etc.).
110
Gestión de riesgos
Del mismo modo, si lo desea, puede organizar las vulnerabilidades se-
gún los tipos de activos con los que se relacionan: hardware y equipos
(por ejemplo, falta de mantenimiento, inadecuada protección de hu-
medad, etc.), software (por ejemplo, interfaz de usuario complicadas,
falta de control de entrada de datos, etc.), servicios (por ejemplo, falta
de cláusulas de seguridad en los contratos, falta de control sobre las
operaciones del proveedor, etc.), información digital (por ejemplo, falta
de control de acceso, no existen copias de seguridad, etc.), información
en papel (por ejemplo, falta de protección física, reglas de clasificación
inadecuada, etc.), infraestructura (por ejemplo, falta de control de ac-
ceso físico, inadecuada protección de incendio, etc.) y no se olvide lo
más importante – recursos humanos (por ejemplo, entrenamientos in-
adecuados, falta de reemplazos, etc.).
Decisiones. Al combinar activos, amenazas y vulnerabilidades, es im-
portante vincularlos de forma lógica - por ejemplo, la amenaza de fue-
go puede estar relacionada con el hardware o cualquier otro activo
físico, mientras que la vulnerabilidad relacionada con la falta de sistema
de extinción de incendios, está directamente relacionada con la amena-
za de incendio; una amenaza relacionada con los empleados es que la
gente importante pueda dejar la empresa, y la vulnerabilidad puede ser
que no exista nadie para reemplazarlos.
La decisión que puede tomar un propietario del riesgo, debería recaer
en las personas responsables de cada Departamento – van a estar en
la mejor posición para decidir quién está interesado en la resolución de
ese riesgo, y también tienen el poder de hacer algo al respecto.
Documentación. Si la organización no usa una herramienta, enton-
ces los resultados son generalmente registrados en hojas Excel - en
este caso, el CISO recoge todas estas hojas y las compila en una hoja
principal que contiene todos los riesgos de la empresa. Si se utiliza la
herramienta, entonces este trabajo de recopilación se realiza automá-
ticamente. En cualquier caso, debe compilar todos estos resultados en
un informe de evaluación de riesgos.
Aquí tiene un ejemplo de cómo podría ser la tabla de evaluación de
riesgos, con los riesgos identificados y sus dueños:
111
SEGURO & SIMPLE
Propietario del
Activo Amenaza Vulnerabilidad
riesgo
Corte de
Servidor No existe UPS Jefe de TI
electricidad
No existe extintor Coordinador de
Fuego
de incendios seguridad & salud
Acceso de
Contraseña Usuario del
Portátil (laptop) personas no
inadecuada portátil
autorizadas
No se realizan
Pérdida de Usuario del
copias de seguri-
datos portátil
dad regularmente
Administrador Deja la No existe Jefe de Recursos
de sistemas compañía reemplazo humanos
112
Gestión de riesgos
Opciones. (Lo mismo que en la sección previa.)
113
SEGURO & SIMPLE
Documentación. Este es un ejemplo de cómo la tabla de evaluación
de riesgos puede quedar si se agregan las consecuencias y la proba-
bilidad a la tabla presentada en la sección anterior (las escalas que se
utilizan son: 1 = Muy bajo, 2 = Bajo, 3 = Medio, 4 = Alto, 5 = Muy alto);
el riesgo se calcula a través de la suma, y nivel de riesgo aceptable es 7:
Propie-
Vulnera- Conse- Proba- Ries-
Activo Amenaza tario del
bilidad cuencia bilidad go
riesgo
Corte de No existe
Servidor Jefe de TI 4 2 6
electricidad UPS
Coordi-
No existe
nador de
Fuego extintor de 5 3 8
seguridad
incendios
& salud
Acceso de Contrase- Usuario
Portátil
personas no ña inade- del por- 4 4 8
(laptop)
autorizadas cuada tátil
No se
realizan
Usuario
Pérdida de copias de
del por- 4 3 7
datos seguridad
tátil
regular-
mente
Adminis- Jefe de
Deja la No existe
trador de Recursos 5 3 8
compañía reemplazo
sistemas humanos
114
Gestión de riesgos
115
SEGURO & SIMPLE
3. Transferir el riesgo – Esto significa transferir el riesgo a otra parte –
por ejemplo, usted compra una póliza de seguro para su edificio, para
protegerle contra el fuego, y por lo tanto transfiere parte de su riesgo
financiero a una compañía de seguros. Desafortunadamente, esta op-
ción no tiene influencia alguna sobre el incidente, por lo que la mejor
estrategia es utilizar esta opción junto con las opciones 1) y 2).
4. Asumir el riesgo – Esta es la opción menos deseable, y significa
que su organización acepta el riesgo sin hacer nada al respecto. Esta
opción debe usarse sólo si el coste de la mitigación es mayor que el
daño que produciría un incidente.
El disminuir los riesgos es la opción más común para el tratamiento
de riesgos, y para ello se utilizan los controles del anexo A de la ISO
27001 (y cualquier otro control que una empresa piense que puede
ser apropiado). Como aprenderá más adelante en detalle, el Anexo A
proporciona un total de 114 controles.
No importa si utiliza catálogos o no, cada salvaguarda vendrá principal-
mente para:
a) Definir nuevas reglas: Las reglas están documentadas a través de
planes, políticas, procedimientos, instrucciones, etc., aunque no tie-
ne que documentar algunos procesos menos complejos.
b) Implementar nueva tecnología: Por ejemplo, sistemas de copias
de seguridad, sitios de recuperación ante desastres para centros de
datos alternativos, etc.
c) Cambiar la estructura organizacional: En algunos casos, usted
tendrá que introducir una nueva función de trabajo, o cambiar las
responsabilidades de una posición existente.
Entradas. Las principales entradas para el tratamiento de riesgos, son
la Metodología de Gestión de Riesgo, y los riesgos no aceptables de
la evaluación de riesgos; sin embargo, una entrada adicional también
debe ser el presupuesto para el año en curso, porque muy a menudo la
mitigación requiere una inversión.
Decisiones. El tratamiento de riesgos es un paso que normalmente no
incluye a un círculo muy amplio de personas - tendrá que pensar cada
116
Gestión de riesgos
opción de tratamiento con especialistas en su compañía que se centren
en cada área específica. Por ejemplo, si el tratamiento tiene que ver
con TI, hablará a sus chicos de TI; Si se trata de nuevas capacitaciones,
hablará con recursos humanos, etc.
En otras palabras, aquí es donde tiene que ser creativo – usted necesita
averiguar cómo disminuir los riesgos con una inversión mínima. Sería
más fácil si su presupuesto fuese ilimitado, pero esto nunca va a pasar.
Y debo decirles que desgraciadamente su dirección hace lo correcto -
es posible lograr el mismo resultado con menos dinero - sólo tiene que
ser lo suficientemente listo como para llegar a una solución.
Si elige medir los riesgos residuales, debería hacerlo junto con las personas
responsables de cada departamento – tiene que mostrarles las opciones
de tratamiento que usted tiene previstas, y basándose en esta informa-
ción, y utilizando las mismas escalas, se debe evaluar el riesgo residual para
cada riesgo no aceptable identificado anteriormente durante el análisis de
riesgos. Así, por ejemplo, si había identificado una consecuencia de nivel 4
117
SEGURO & SIMPLE
y una probabilidad de nivel 5 durante su análisis de riesgos (lo que significa
un riesgo de 9 según el método de la suma), el riesgo residual puede ser 5
si usted evalúa que la consecuencia bajaría a 3 y la probabilidad a 2, debi-
do a, por ejemplo, medidas de seguridad que tiene previsto implementar.
Opción Justificación de
Vulnera-
Activo Amenaza de trata- implementa-
bilidad
miento ción
Comprar extintor
1) Reducir
No existe de incendios +
riesgo +
Servidor Fuego extintor de contratar póliza de
2) Compartir
incendios seguro contra
riesgo
incendios
Acceso de
Portátil Contraseña 1) Reducir Escribir política de
personas no
(laptop) inadecuada riesgo contraseñas
autorizadas
Contratar un
segundo
Administra-
Deja la No existe 1) Reducir administrador de
dor de
compañía reemplazo riesgo sistemas que lo
sistemas
aprenda todo del
primero
118
Gestión de riesgos
120
Gestión de riesgos
● (opcional, altamente recomendado) Método de implementación
– haciendo referencia a la política/procedimiento/instrucción de
trabajo, o describiendo brevemente el proceso que se usa, o men-
cionando el equipamiento que se utiliza
Si el control está implementado o no – por ejemplo, “Planificado” o
“Completamente implementado” o “Parcialmente implementado”
Así es como puede quedar su Declaración de Aplicabilidad para los
siguientes 2 controles:
Nombre Método
Aplica- Justifi- Objetivos Esta-
ID del con- de imple-
bilidad cación de control do
trol mentación
Reducir el
número de Com-
Política
incidentes ple-
Traer Su
de seguridad ta-
Política de Propio
Riesgos relacionados men-
dispositi- Dispositivo
A.6.2.1 Sí #34, 45 con los dis- te
vos móvi- (BYOD del
y 66 positivos mó- im-
les inglés Bring
viles en un ple-
Your Own
25% durante men-
Device)
el siguiente tado
año
Los em-
pleados
sólo
Teletra-
A.6.2.2 No trabajan - - -
bajo
desde
las ofici-
nas
121
SEGURO & SIMPLE
122
Gestión de riesgos
● Referenciar al riesgo que inició la implementación de este control
– por ejemplo, la divulgación de información confidencial y la in-
tercepción de una comunicación por correo electrónico
● La persona responsable para la implementación de cada uno de
los controles
● El plazo para la implementación de cada control
● Los recursos necesarios – Por ejemplo, recursos financieros para
comprar software o hardware, expertos técnicos externos, etc.
● Una columna de seguimiento donde se anotarán los resultados de
la implementación.
Nota: El estado del Plan de tratamiento de riesgos y los resultados del tra-
tamiento de riesgos son también analizados en cada revisión por dirección.
Aquí tiene un ejemplo de Plan de tratamiento de riesgos:
Controles
Persona
que serán Referencia Resul-
responsa- Plazo Recursos
implemen- a riesgos tados
ble
tados
Documen- Riesgo 16 Respon- Mar- 1 hombre/día Imple-
tar una – Indispo- sable de zo menta-
política de nibilidad de Seguridad 2016 do
copias de información (CISO)
seguridad electrónica
debido a la
pérdida ac-
cidental de
información
Implemen- Riesgo 16 Adminis- Junio 3 hombres/ En pro-
tar la políti- – Indispo- trador de 2016 días; presu- ceso de
ca de copias nibilidad de sistemas puesto para imple-
de seguri- información los controles menta-
dad electrónica técnicos ción
debido a la
pérdida ac-
cidental de
información
123
SEGURO & SIMPLE
124
Gestión de riesgos
125
SEGURO & SIMPLE
126
8
IMPLEMENTANDO CONTROLES
DE SEGURIDAD; CONTROL Y
PLANIFICACIÓN OPERACIONAL
127
SEGURO & SIMPLE
Y establecer los objetivos es el primer paso crucial – una vez que sepa
la meta, puede fácilmente medir lo cerca o lejos que está usted de ese
objetivo.
Puede seleccionar sólo una opción o varias juntas - debe tomar la deci-
sión basándose en la complejidad de su empresa: las empresas más pe-
queñas, que son menos complejas, tienden a tener objetivos sólo para
unidades organizativas, mientras que las grandes empresas probable-
mente tendrán los 3 niveles de objetivos anteriormente mencionados.
Por ejemplo, ¿qué objetivo le gustaría para el firewall? Algo así como
“Queremos que nuestro firewall detenga el 100% del tráfico de red no
128
Implementando controles de seguridad; control y planificación operacional
deseado”. ¿Es medible? Sí – porque usted detectará, tarde o temprano,
si ha pasado tráfico no deseado a través del firewall.
129
SEGURO & SIMPLE
Para compañías más pequeñas, utilice estos criterios para decidir qué
documentos escribir primero:
●Á
reas donde puede conseguir victorias rápidas – esto significa
que puede seleccionar un área donde usted sabe que terminará
su documento rápidamente, y de esta forma podrá demostrar a
su dirección, sus compañeros (y a usted mismo) que es capaz de
hacer este trabajo con eficacia.
●Á
reas donde tiene riesgos mayores – de esta manera puede em-
pezar a resolver en primer lugar los problemas más grandes – esto
no lo puede terminar rápidamente, pero a veces este enfoque es
necesario si su análisis de riesgos ha demostrado que tiene lagu-
nas muy grandes que tiene que tratar.
●Á
reas que son compatibles con otros proyectos que están en
marcha en su organización –por ejemplo, si su empresa está imple-
mentando un software tipo help desk (de soporte), puede comenzar a
escribir el procedimiento de gestión de incidencias, porque esto regu-
lará cómo utilizará el software en el contexto del estándar ISO 27001.
● Riesgos. Usted tiene que comenzar analizando riesgos para ver si ex-
iste una necesidad de algún control. Si no hay ningún riesgo, entonc-
es ciertamente no necesita un documento; si existe un riesgo, esto
131
SEGURO & SIMPLE
todavía no significa que tenga que escribir un documento, pero al
menos ha podido resolver el dilema de si el control es necesaria o no.
●M
adurez. Si un proceso o una actividad está claramente estable-
cida, si ha estado funcionando durante años y todo el mundo sabe
exactamente cómo llevarla a cabo, si está bien afinada, entonces
probablemente no hay necesidad de documentarlo.
133
SEGURO & SIMPLE
Así que aquí está el proceso de 7 pasos que debe seguir, para evitar
cualquier tipo de problemas - estos pasos son aplicables a cualquier
tipo y tamaño de empresa:
Además, tiene que tener cuidado de alinear su documento con otros do-
cumentos – las cuestiones que se están definiendo, puede que ya estén
parcialmente definidas en otro documento. En tal caso, no sería necesa-
rio escribir un nuevo documento, quizás sólo ampliar uno existente.
134
Implementando controles de seguridad; control y planificación operacional
5) Escribir su documento. La regla del pulgar es – mientras la organi-
zación sea más pequeña, y los riesgos sean menores, menos complejo
debe ser el documento. No hay nada más inútil que decidir escribir un
documento largo que nadie va a leer - tiene que entender que la lectu-
ra del documento toma tiempo, y el nivel de atención es inversamente
proporcional al número de líneas que tiene el documento.
135
SEGURO & SIMPLE
Vea también este mini caso de estudio en el capítulo 14: Escribir las políti-
cas de seguridad de la información en una compañía de manufacturación.
Este funcionamiento diario del SGSI puede parecer una cosa obvia, pero
créame – aquí es donde sucederán la mayor parte de los problemas. Al-
gunos empleados simplemente olvidarán su procedimiento, otros lo inter-
pretarán de manera incorrecta, u otros lo obstruirán intencionadamente.
136
Implementando controles de seguridad; control y planificación operacional
137
SEGURO & SIMPLE
También existen diferentes opciones a la hora de establecer quién
aprueba los cambios – esto podría ser un proceso muy centralizado
(típico para las empresas más pequeñas, con una persona como único
propietario), y en las grandes empresas los cambios menores pueden
ser decididos en niveles inferiores de la jerarquía, mientras que sólo los
cambios más grandes tienen que ser aprobadas por la parte superior.
138
Implementando controles de seguridad; control y planificación operacional
mento, será mucho más fácil. También, para cada cambio mayor en
un determinado departamento, o algún proceso, usted debe ver si la
documentación relacionada también debe ser actualizada.
139
SEGURO & SIMPLE
Entradas. La principal entrada debe ser una lista de acuerdos firmados
con terceras partes, proveedores de servicios; Además, en cualquier
momento en el que se inicie un proceso de firma de un acuerdo con un
nuevo socio o proveedor, esto debe también servir como un disparador
para la gestión adecuada de dicha tercera parte.
Decisiones. Debe tener una lista de todos los acuerdos, examinar uno
a uno todos los que sean de terceras partes, y decidir si incluyen una
parte externalizada de sus operaciones. En caso afirmativo, tiene que
decidir cómo controlar estas terceras partes.
140
Implementando controles de seguridad; control y planificación operacional
141
SEGURO & SIMPLE
relacionados con los proveedores y los servicios en la nube, así como
re-evaluar los riesgos existentes ya conocidos.
142
Implementando controles de seguridad; control y planificación operacional
● Incluya a otras personas en la elaboración de la documentación,
porque es la mejor manera de conseguir su compromiso
Ahora que sabe cómo manejar los controles, vamos a ver cómo son
realmente los controles del Anexo A.
143
9
RESUMEN DE LOS CONTROLES
DEL ANEXO A
144
Resumen de los controles del Anexo A
Lo mejor del Anexo A es que le proporciona un perfecto resumen de
los controles que puede aplicar, para que no olvide controles que pue-
den ser importantes, y le da la flexibilidad de seleccionar sólo los que
encuentre aplicables a su negocio, por lo que no tiene que desperdiciar
recursos en algo que no es relevante para usted.
Los controles del anexo A pueden ser organizacionales o técnicos, lo
que significa que pueden ser implementados documentando políticas,
procedimientos o implementando algunos medios técnicos como por
ejemplo la instalación de un software antivirus, o un firewall etc.
La verdad es que el anexo A de la ISO 27001 no da demasiados detalles
acerca de cada control. Generalmente sólo proporciona una frase para
cada control, lo cual da una idea de lo que usted necesita lograr, pero
no da detalles de cómo puede hacerlo. En el estándar ISO 27002 se dan
más detalles acerca de estos controles. Este estándar tiene exactamente
la misma estructura que el Anexo A de la ISO 27001, pero con una ex-
plicación más detallada sobre cómo implementar los correspondientes
controles. Es importante señalar aquí que sería un error utilizar sólo
ISO 27002 para la gestión de la seguridad de la información, puesto
que no da ninguna pista en cuanto a cómo seleccionar los controles a
implementar, cómo medirlos, cómo asignar responsabilidades, etc. ISO
27002 se utiliza como un estándar complementario a ISO 27001.
146
Resumen de los controles del Anexo A
● A.16 Gestión de incidentes de seguridad de la información
– controles para reportar eventos y debilidades, definir responsabi-
lidades, procedimientos de respuesta, y recopilación de evidencias
●A
.17 Aspectos de seguridad de la información para la ges-
tión de la continuidad del negocio – controles que requieren la
planificación de la continuidad del negocio, procedimientos, veri-
ficación y revisión, y redundancia TI
● A.18 Cumplimiento – controles que requieren la identificación
de leyes y regulaciones aplicables, protección de la propiedad inte-
lectual, protección de datos personales, y revisiones de seguridad
de la información
Como puede notar en la estructura presentada del anexo A, los contro-
les de seguridad de la información no están sólo relacionadas con TI. La
Seguridad física, la protección legal, la gestión de recursos humanos,
las cuestiones organizacionales – todas estas cuestiones juntas son ne-
cesarias para asegurar la información.
147
SEGURO & SIMPLE
¿Qué documentos deben cubrir los controles? Dado que el Anexo A
tiene 114 controles, la verdad es que no es muy fácil decidir cómo agru-
par las políticas y procedimientos para cubrir todos los controles. Y el
hecho de que la ISO 27001 no describa qué controles deben asignarse
para cada una de las políticas o procedimientos, inicialmente puede pa-
recer un problema, pero una vez que se de cuenta de que este enfoque
le da gran libertad para adaptar la documentación a sus necesidades
reales, realmente agradecerá que la ISO 27001 sea tan flexible.
Básicamente, existen dos enfoques para agrupar los documentos:
Las empresas más pequeñas normalmente tienen políticas y/o procedi-
mientos que cubren muchos controles con sólo un documento – por
ejemplo, puede utilizar:
● La Política de Control de Accesos para cubrir 14 controles de la
sección A.9 (sin escribir procedimientos detallados),
● Política BYOD (Bring Your Own Device – Trae Tu Propio Dispositi-
vo) para cubrir no sólo A.6.2.1 (Política de Dispositivos Móviles) y
A.6.2.2 (Teletrabajo), también A.13.2.1 (Políticas y procedimientos
de intercambio de información),
● Con la Política de Uso Aceptable, puede ser más ambicioso y cu-
brir controles de varias secciones del Anexo A, dado que este do-
cumento podría servir como una base de seguridad para todos los
empleados: A.6.2.1, A.6.2.2, A.8.1.2, A.8.1.3, A.8.1.4, A.9.3.1,
A.11.2.5, A.11.2.6, A.11.2.8, A.11.2.9, A.12.2.1, A.12.3.1,
A.12.5.1, A.12.6.2, A.13.2.3, and A.18.1.2.
Las empresas más grandes generalmente estructuran la documenta-
ción de diferente manera:
● Cada sección del Anexo A se cubrirá con una política – Por ejem-
plo, Política de Organización de la seguridad de la información
(A.6), Política de Recursos Humanos (A.7), Política de Gestión de
Activos (A.8), etc.
● Cada política tendrá procedimientos, y cada procedimiento una
detallada instrucción de trabajo que cubre controles simples – por
148
Resumen de los controles del Anexo A
ejemplo, Procedimiento de clasificación de la información, (para el
control A.8.2.1), Procedimiento de etiquetado de la información
(control A.8.2.2), Procedimiento de manipulado de la información
(control A.8.2.3), etc.
Integrar documentación existente. Muy a menudo las empresas ten-
drán alguna documentación escrita antes del inicio del proyecto del es-
tándar ISO 27001. Por ejemplo, puede tener una Política de clasificación
- en ese caso, debe comprobar si esta política es compatible con ISO
27001, y si cubre algunos de los controles de la Declaración de Apli-
cabilidad; Si el documento en general está en consonancia con lo que
planea hacer, puede continuar utilizándolo, y lo único que tendrá que
hacer es adaptarlo en el caso de que falte algo.
Vamos a comenzar con la primera sección del Anexo A, las Políticas de segu-
ridad de la información, numeradas como A.5. El propósito de esta sección
es presentar una idea sobre cómo escribir detalladas políticas de seguridad
de la información, que cubran ciertos segmentos de los controles d Anexo A.
149
SEGURO & SIMPLE
básico de la empresa con respecto a la seguridad de la información.
Aquí el Anexo del estándar se refiere a un nivel más bajo, políticas espe-
cíficas, como por ejemplo la política de control de acceso, la política de
copias de seguridad, la política para la clasificación de la información,
la política de escritorio despejado y pantalla limpia, etc.
150
Resumen de los controles del Anexo A
Los controles relacionados con la organización interna, Incluyen:
● Definición de roles y responsabilidades de seguridad de la informa-
ción relacionados con procesos, procedimientos, políticas y con-
troles documentados e implementados como parte del SGSI.
● Segregación de funciones – en las grandes empresas es relativa-
mente fácil separar la persona que toma una decisión sobre una
determinada actividad, de la persona que la ejecuta (por ejemplo,
el CTO decide dar acceso a una aplicación determinada a un nue-
vo empleado, y el administrador de sistemas da el acceso en la
aplicación); en compañías más pequeñas es más difícil, por lo que
en este caso debe centrarse sólo en la segregación de las activida-
des donde se tienen riesgos altos.
● Mantener contacto con autoridades relevantes – como por ejem-
plo agencias que velan por el cumplimiento legal (por ejemplo la
autoridad para la protección de datos personales), para casos en
los que necesita reportar un incidente de seguridad si sospecha
que se ha incumplido una ley, por ejemplo porque alguien hackeó
su base de datos y se robaron datos personales
● Contactar con grupos de especial interés – como miembro de es-
tos grupos puede mejorar su conocimiento en mejores prácticas
y tendencias de seguridad de la información, y estos grupos le
pueden dar acceso a consejos de seguridad de la información, etc.
●A
bordar la seguridad de la información en gestión de proyectos sin
importar el proyecto, incluyendo los objetivos de seguridad en los ob-
jetivos del proyecto, realizando el análisis de riesgos de seguridad de
la información para el proyecto, y básicamente asegurándose de que
la seguridad de la información es parte de cada fase del proyecto.
Además de estos controles, también existen controles para los disposi-
tivos móviles y el teletrabajo, lo cual incluye:
● Adoptar una política de dispositivos móviles con el fin de reducir el
riesgo relacionado con los dispositivos móviles a través de contro-
les de acceso, restricción de instalación de software, criptografía,
deshabilitación de acceso remoto, etc.
151
SEGURO & SIMPLE
● P olítica para el teletrabajo – definición de reglas bajo las cuales se
permita el teletrabajo, asegurando la protección física, requisitos de
seguridad en las comunicaciones, protección a través de firewall, etc.
Recursos adicionales:
● artículo Special interest groups: A useful resource to support
your ISMS
● artículo How to manage security in project management ac-
cording to ISO 27001 A.6.1.5
● artículo How to write an easy-to-use BYOD policy compliant
with ISO 27001
152
Resumen de los controles del Anexo A
Las formas más comunes de implementar estos controles de seguridad
son las siguientes:
153
SEGURO & SIMPLE
La gestión de activos es importante para la empresa, debido al valor
que tienen los activos para la organización – por lo que necesitan ser
protegidos. Puesto que la información representa también un tipo de
activo, el estableciendo de reglas para la identificación de activos, el
uso aceptable y la clasificación de los activos, afecta directamente a la
seguridad de la información.
●C
reación de un inventario de activos – este control está relacionado
con el análisis de riesgos, y como expliqué previamente en el capítu-
lo 7, el análisis de riesgos se lleva a cabo teniendo en consideración
los activos de la empresa. El inventario de activos puede ser docu-
mentado como parte de la documentación del análisis de riesgos.
●D
efinición de propietarios de los activos – son personas que son
responsables del mantenimiento de los activos, sin un sentido legal.
●U
so aceptable de activos – la empresa debe definir reglas sobre
cómo pueden usarse los activos, y escribir una política para este
propósito. Estas reglas pueden ser documentadas como un docu-
mento separado o como parte de otras políticas o directrices para
los empleados
●D
evolución de activos – todos los activos que son propiedad de la
empresa deben ser devueltos cuando se termina el contrato de tra-
bajo. Este control puede ser documentado como parte del proced-
imiento de recursos humanos si existe dicho procedimiento, o puede
ser incluido en el contrato, y documentado en alguna de las políticas.
Recursos adicionales:
● artículo How to handle Asset register (Asset inventory) accor-
ding to ISO 27001
● artículo Risk owners vs. asset owners in ISO 27001:2013
● artículo Information classification according to ISO 27001
● artículo Secure equipment and media disposal according to ISO
27001
Recursos adicionales:
● artículo How to handle access control according to ISO 27001
156
Resumen de los controles del Anexo A
El Anexo A obliga a las empresas a definir una política sobre el uso de con-
troles criptográficos. Esta política debe considerar elementos tales como:
157
SEGURO & SIMPLE
ficas, empezando con su generación, la distribución a los empleados
pertinentes, y terminando con su eliminación y destrucción.
158
Resumen de los controles del Anexo A
● Proteger a las personas, oficinas y equipamiento de amenazas ex-
ternas y ambientales, como por ejemplo incendios, inundaciones,
ataques malintencionados, etc.
● Controles físicos de entrada – tales como puertas bloqueadas con
llaves o tarjetas, recepción para los visitantes etc.
● Puntos de acceso para partes externas, como por ejemplo áreas de
carga y descarga que estarán separadas de las habitaciones donde
se guarda y se procesa la información, etc.
Asegurar el equipamiento significa prevenir la pérdida, daño o el com-
prometer los activos, a través de controles tales como:
●U
bicación adecuada del equipamiento – por ejemplo ubicando las
computadoras lejos de fuentes de agua, para evitar posibles daños
● P rotección del equipamiento contra fallos de electricidad – por
ejemplo utilizando SAIs y generadores
● P rotección de cables contra daños o intercepción – por ejemplo,
poniendo los cables en canaletas de cable cerradas, en lugar de
tenerlos repartidos por los suelos de la oficina.
●M
antenimiento regular del equipamiento, de acuerdo a las espe-
cificaciones del fabricante
● P rotección del equipamiento cuando sale fuera de las instalaciones
– no permitiendo la salida de las instalaciones sin autorización,
definiendo reglas para el uso de equipos fuera de las oficinas, etc.
●D
efinición de una política de escritorio limpio y pantalla despejada
– el usuario deberá cerrar sesión cuando no esté en la computado-
ra, y no debe estar permitido que existan documentos en formato
papel en el escritorio cuando el empleado no esté en su puesto
Esta sección se centra más en la implementación de controles técnicos,
que en documentar, sin embargo algunas empresas pueden aprovechar
para documentar una política de escritorio limpio y pantalla despejada,
y establecer procedimientos para trabajar en zonas seguras.
159
SEGURO & SIMPLE
Esta sección es muy importante porque cuando se habla de seguridad
de la información, las empresas tienden a poner demasiado énfasis en
la seguridad de TI, descuidando otros aspectos como la seguridad fí-
sica. Por ejemplo, existen casos en los que las computadoras tienen
contraseñas fuertes, pero luego se dejan en habitaciones sin vigilancia,
y sin control, a las que tienen acceso partes externas.
Recursos adicionales:
● artículo Physical security in ISO 27001: How to protect the secure
areas
● artículo How to protect against external and environmental threats
according to ISO 27001 A.11.1.4
● artículo How to implement equipment physical protection accor-
ding to ISO 27001 A.11.2 – Part 1
● artículo How to implement equipment physical protection accor-
ding to ISO 27001 A.11.2 – Part 2
● artículo Secure equipment and media disposal according to ISO
27001
● artículo Clear desk and clear screen policy – What does ISO 27001
require?
160
Resumen de los controles del Anexo A
A.12.4.1 Registro de eventos
A.12.4.2 Protección de la información de registro
A.12.4.3 Registros de administración y operación
A.12.4.4 Sincronización del reloj
● A.12.5 Control del software en explotación
A.12.5.1 Instalación del software en explotación
● A.12.6 Gestión de la vulnerabilidad técnica
A.12.6.1 Gestión de las vulnerabilidades técnicas
A.12.6.2 Restricción en la instalación de software
● A.12.7 Consideraciones sobre la auditoría de sistemas de información
A.12.7.1 Controles de auditoría de sistemas de información
161
SEGURO & SIMPLE
● E stablecimiento de una política de copia de seguridad, implementán-
dola adecuadamente en los equipos, y realizando pruebas periódicas
de las copias. La política de copia de seguridad debe incluir la identifi-
cación de la información, el software y los sistemas que realizarán las
copias, la frecuencia de las copias de seguridad, el almacenamiento
y la protección de los soportes de copias de seguridad, etc.
● Registros y supervisión – lo cual significa que se pueden mantener
registros de varios eventos, que se revisen periódicamente, y que se
mantengan adecuadamente protegidos; también aplica a los registros
de las actividades de los operadores y los administradores de sistemas.
● I nstalación de software en sistemas de producción – lo cual sig-
nifica que las instalaciones deben ser realizadas solamente por ad-
ministradores de sistemas capacitados, se debe probar el software,
se deben seguir las reglas del proveedor, usar versiones soportadas
por el fabricante, tener planes de marcha atrás (rollback), etc.
●G
estión de vulnerabilidades técnicas – lo cual significa que se debe
asignar una persona responsable de las vulnerabilidades técnicas,
además todos los activos deben ser supervisados para detectar
posibles vulnerabilidades técnicas, y deberían adoptarse medidas
apropiadas para hacer frente a las vulnerabilidades basadas en su
criticidad y en el nivel de riesgo.
La gestión de cambios es también uno de los controles cubiertos por
esta sección, pero ya he explicado cómo las compañías deben co olar
los cambios en la sección 8.6.
Recursos adicionales:
● artículo How to manage changes in an ISMS according to ISO
27001 A.12.1.2
● artículo Implementing capacity management according to ISO
27001:2013 control A.12.1.3
● artículo Backup policy – How to determine backup frequency
● artículo Logging and monitoring according to ISO 27001 A.12.4
● artículo How to manage technical vulnerabilities according to ISO
27001 control A.12.6.1
● artículo How to use penetration testing for ISO 27001 A.12.6.1
162
Resumen de los controles del Anexo A
● artículo Implementing restrictions on software installation using
ISO 27001 control A.12.6.2
163
SEGURO & SIMPLE
● La segregación de las redes es uno de los métodos para la gestión
de su seguridad. Esto significa dividir la red en redes más pequeñas
independientes, que son más fáciles de administrar y proteger. Esta
división se puede basar en la criticidad de cada entorno (acceso pú-
blico, servidor, etc.), o también se puede basar en los departamen-
tos de la organización (por ejemplo alta dirección, departamento de
finanzas etc.) o en cualquier otra combinación conveniente para la
organización. ISO 27001 no requiere documentar este control.
El aspecto del intercambio de información incluye los siguientes controles:
● El intercambio de información puede ocurrir mediante diferentes
canales de comunicación (por ejemplo correo electrónico, herra-
mientas de mensajería instantánea, teléfonos, faxes etc.). Para este
propósito las empresas deben definir el uso aceptable de todas es-
tas herramientas de comunicación, qué tipo de información se debe
transferir y cómo se protegerá esta comunicación. Estas políticas y
procedimientos deben ser comunicados al personal pertinente.
● Acuerdos para el intercambio de información – en algunos casos
cuando la compañía intercambio información sensible con terceros,
se deben firmar acuerdos formales. Estos acuerdos pueden incluir
elementos tales como: normas para el etiquetado de la información,
uso de criptografía, definición de controles de acceso, definición de
responsabilidades para la gestión de incidentes de seguridad, etc.
●Mensajería electrónica – lo cual significa la protección de la infor-
mación involucrada en la mensajería electrónica – definiendo que
servicios públicos se pueden utilizar (por ejemplo redes sociales,
intercambio de archivos, etc.), utilizando firma electrónica, etc.
●A
cuerdos de confidencialidad y secreto profesional – una forma de
proteger datos sensibles de la empresa es utilizar herramientas le-
gales, a través de declaraciones de confidencialidad y acuerdos de
secreto profesional o no divulgación. Estos deben ser firmados por
empleados y terceros.
Esta sección es importante porque cubre controles para comunicar in-
formación dentro y fuera de la organización, lo cual es una actividad
164
Resumen de los controles del Anexo A
esencial de cualquier organización, dada la era de la información en la
que nos encontramos hoy en día. La seguridad de las comunicaciones
también es crítica debido a que la confidencialidad, disponibilidad e
integridad de la información podría estar en peligro durante su tránsito.
Recursos adicionales:
● artículo Requirements to implement network segregation accor-
ding to ISO 27001 control A.13.1.3
165
SEGURO & SIMPLE
Por supuesto, esta sección es principalmente importante para empresas
que desarrollan software, o sistemas de información en general, pero
también para todas las empresas que tienen que mantener sus sistemas
de información.
●G
arantizar que la información involucrada en las transacciones de servi-
cios de aplicaciones es protegida cuando esta pasa por redes públicas,
para evitar transacciones incompletas, mal uso, modificación, etc. - por
ejemplo, debido a la criticidad de los datos que pasan a través de redes
públicas, usted puede decidir utilizar algoritmos de cifrado más fuertes.
166
Resumen de los controles del Anexo A
● E stablecer una política de desarrollo seguro – definiendo reglas para el
desarrollo de software y sistemas. El estándar no requiere específica-
mente que se documente esta política, sin embargo como se mencionó
anteriormente, en la mayoría de los casos cuando existen ciertas reglas
es bueno tenerlas documentadas. Puede tener estas reglas documen-
tadas como una política independiente, o como parte de otros docu-
mentos, dependiendo de las necesidades y preferencias de la empresa.
167
SEGURO & SIMPLE
● Definir los tipos de acceso que pueden tener los proveedores a los
activos de su compañía, y la manera de monitorizar estos accesos
168
Resumen de los controles del Anexo A
● Requisitos mínimos de seguridad de la información que deben ser
incluidos en los contratos con proveedores
Recursos adicionales:
● artículo 6-step process for handling supplier security according to
ISO 27001
169
SEGURO & SIMPLE
A.16.1.3 Notificación de puntos débiles de la seguridad
A.16.1.4 Evaluación y decisión sobre los eventos de seguri-
dad de la información
A .16.1.5 Respuesta a incidentes de seguridad de la información
A.16.1.6 Aprendizaje de los incidentes de seguridad de la
información
A.16.1.7 Recopilación de evidencias
●D
ebilidad se considera a un punto débil o un defecto en el sis-
tema de información y los servicios de la empresa. Por ejemplo
controles inadecuados para detener los ataques de hackers
170
Resumen de los controles del Anexo A
de seguridad de la información debe incluir los siguientes aspectos que
se describen a través del resto de controles de esta sección del Anexo A:
●D
efinir un punto de contacto para reportar incidentes, eventos y
debilidades – esto podría ser una dirección de correo, o el teléfono
del CISO
Recursos adicionales:
● artículo How to handle incidents according to ISO 27001 A.16
● artículo Using ITIL to implement ISO 27001 incident management
171
SEGURO & SIMPLE
Aquí tiene una breve explicación de los controles incluidos en esta sec-
ción:
172
Resumen de los controles del Anexo A
● Planificación de la continuidad de la seguridad de la información –
la organización debe identificar los requisitos de seguridad de la in-
formación para las situaciones en las que puede estar en una crisis,
o también en las que puede estar durante una interrupción. En los
casos en los que la empresa no tenga un sistema de gestión de con-
tinuidad de negocio, se puede asumir que los requisitos de seguridad
de la información durante la crisis, son los mismos que los que existen
durante las operaciones normales.
173
SEGURO & SIMPLE
Recursos adicionales:
● artículo How to implement business impact analysis (BIA) accor-
ding to ISO 22301
● artículo Business continuity plan: How to structure it according
to ISO 22301
● artículo How to perform business continuity exercising and tes-
ting according to ISO 22301
● artículo Understanding IT disaster recovery according to ISO
27031
174
Resumen de los controles del Anexo A
En relación al cumplimiento legal y contractual, esta sección define los
siguientes controles:
● Identificación de la legislación aplicable y de los requisitos contrac-
tuales – la empresa debe identificar y documentar estos requisitos,
y mantenerlos al día con el fin de lograr el cumplimiento
● Se proporciona un enfoque de requisitos legales y contractuales en
materia de derechos de propiedad intelectual. Ejemplos relevantes
son el uso legal de software, la gestión de licencias de software,
etc. ISO 27001 no requiere que este control se documente, sin
embargo la empresa puede decidir escribir por ejemplo un proce-
dimiento de Derechos de propiedad intelectual.
● Protección de registros – además de las reglas internas para el con-
trol de información documentada, la empresa debe controlar los re-
gistros, de acuerdo a la legislación y los acuerdos contractuales. ISO
27001 no requiere se documente este control, pero generalmente
está documentado como parte del procedimiento, mencionado en
un punto anterior, para el control de documentos y registros.
Además, se proporciona un enfoque de legislación relativa a la protec-
ción de datos personales, y controles criptográficos, debido a su impor-
tancia para la seguridad de la información.
Esta sección también define un conjunto de controles que garantizarán
que la seguridad de la información se implementa según lo descrito en
la documentación del SGSI existente en la empresa. Este conjunto de
controles incluye lo siguiente:
● Revisión independiente de la seguridad de la información – esto
se refiere a las auditorías internas o a las auditorías de certificación
del SGSI, y deben llevarse a cabo por personas independientes en
intervalos planificados, o después de cambios significativos.
● Cumplimiento de las políticas y normas de seguridad – a diferencia
de las revisiones por dirección de alto nivel explicadas en la sección
10.4, este control requiere que la dirección revise el cumplimiento
a bajo nivel – con las políticas y normas relevantes.
175
SEGURO & SIMPLE
● Comprobación del cumplimiento técnico – se trata de una revisión
periódica de la conformidad técnica de los sistemas de información
con la documentación del SGSI y el estándar. Generalmente estas
revisiones se realizan utilizando software y herramientas automati-
zadas. Más comúnmente utilizadas para análisis de vulnerabilidades
y pruebas de penetración.
Recursos adicionales:
● white paper Privacy, cyber security, and ISO 27001 – How are
they related?
● Página web List of information security laws and regulations
● artículo Records management in ISO 27001 and ISO 22301
● Use la ISO 27002 para aprender más sobre los detalles de imple-
mentación
176
10
ASEGÚRESE DE QUE EL SGSI
FUNCIONA SEGÚN LO ESPERADO
Además, nunca debe perder el punto principal del SGSI – proteger la infor-
mación. Pero, ¿cómo sabe si está haciendo lo suficiente para hacer esto?
Esto es por lo que las fases “Check” y “Act” del ciclo PDCA, que men-
cioné en la sección 4.4, son tan importantes – le permiten monitorear
constantemente cómo está funcionando su SGSI, es decir, se trata de
saber si lo está haciendo bien o no, y qué debe corregir.
Como se dará cuenta en esta sección, la ISO 27001 (así como otros
estándares ISO de gestión) requiere varias actividades para este fin: me-
dición y monitorización, auditoría interna, revisión por dirección, accio-
nes correctivas y mejora continua. Vamos a verlas en detalle.
10.1 M
onitorizar, medir, analizar y evaluar el SGSI
(cláusula 9.1)
Propósito. Lo curioso es que esta es la cláusula con las que tienen más
problemas los profesionales de seguridad de la información. Y esto no
es tan extraño – la seguridad de la información siempre ha sido una
disciplina de la protección de la confidencialidad, integridad y disponi-
bilidad – ¿qué es medir?
177
SEGURO & SIMPLE
Bien, como mencioné en el capítulo 3, en algún momento, su dirección
le buscará y le preguntará si la inversión en ISO 27001 tiene sentido. Y
para demostrar que lo tiene, debe mostrarle números, es decir, tiene
que medir algo. Por supuesto, esto no es el único propósito de medir,
pero sin duda es muy importante
178
Asegúrese de que el SGSI funciona según lo esperado
● Quién realizará la medición. Esto podría ser responsabilidad del CISO,
o si incluye su medición dentro de un sistema tipo cuadro de mando (si
tiene uno), entonces dicho sistema ya asigna responsabilidades.
●Q
ué método de medición será utilizado. Realmente, el método
de medición dependerá del objetivo en sí mismo. Por ejemplo, si su
objetivo es “Cumplir con la ley/Reglamento xyz del 31 de Diciembre
de 2018, usando la metodología ISO 27001”, entonces el método de
medición podría ser ver si el proyecto es completado dentro de ese
plazo; si su objetivo es “obtener al menos cinco nuevos clientes en los
próximos 12 meses debido a la certificación ISO 27001”, entonces
tiene que contar cuántos clientes adquiría en ese margen de tiempo.
●A
quién se comunicarán los resultados. Generalmente, los re-
sultados de los objetivos tácticos se reportarán al CISO, y al nivel
medio de la jerarquía ejecutiva, responsable de los respectivos de-
partamentos, mientras que los objetivos estratégicos normalmente
se reportarán a la alta dirección. Por lo general, la alta dirección revi-
sará los resultados en la revisión por dirección (vea la sección 10.4).
● Quién evaluará los resultados. Generalmente, las mismas perso-
nas a las que se envían los reportes, son las que los evalúan y estable-
cen conclusiones. Las empresas más grandes pueden tener analistas
que podrían analizar los resultados y realizar recomendaciones.
Documentación. Usted puede decidir si crear un documento separa-
do que defina completamente esta metodología de medición, o puede
dejarlo como un proceso sin documentar - pero en este caso, tiene que
asegurarse de que sea coherente. Como mínimo, debe definir las res-
ponsabilidades para la medición – si no tiene un documento separado
para este propósito, puede definir esas responsabilidades en su Política
de seguridad de la información.
Lo que debe documentar son los resultados de la monitorización y me-
dición – probablemente la mejor manera de documentarlos sea a través
de algún tipo de informe, ya sea manual o semi-automático.
Vea también este mini caso de estudio en el capítulo 14: Establecer ob-
jetivos de seguridad y mediciones en una compañía de servicios.
179
SEGURO & SIMPLE
10.2 A
uditoría interna parte I:
Preparación (cláusula 9.2)
Propósito. A primera vista, la auditoría interna probablemente se vea
como un gasto excesivo. Sin embargo, las auditorías internas permiten
descubrir problemas (es decir, no conformidades) que de otra manera
podrían quedar ocultas, y que por tanto, podrían perjudicar a su nego-
cio. Vamos a ser realistas - es naturaleza humana cometer errores, por
lo que es imposible tener un sistema sin errores; sin embargo, es posi-
ble tener un sistema que se mejore a sí mismo, y que aprenda de sus
errores. Las auditorías internas son una parte crucial de este sistema.
a) C
ontratar a un auditor interno a tiempo completo. Esto es con-
veniente solamente para grandes organizaciones que tengan trabajo
suficiente para esta persona (algunos tipos de organizaciones – por
ejemplo, los bancos – están obligadas por ley a tener tales funciones).
180
Asegúrese de que el SGSI funciona según lo esperado
trabajo), deben existir al menos dos auditores internos, para que
uno pueda auditar el trabajo del otro.
c) Contratar un auditor interno independiente de la organi-
zación. Aunque esta persona no es un empleado de la organi-
zación, también se considera una auditoría interna ya que la au-
ditoria es realizada por la organización, según sus propias reglas.
Generalmente, esto se hace por una persona que es especialista
en este campo (consultor independiente o similar).
Otras opciones son las siguientes:
● Realizar una auditoría o una serie de auditorías durante el
año. Si es una empresa pequeña, una simple auditoría al año puede
ser suficiente; sin embargo, si es una empresa grande, quizás quiera
planear llevar a cabo una auditoría en un departamento en Enero,
otra auditoría en otro departamento en Febrero, etc.
● Usar las mismas reglas y el mismo auditor que para otros
estándares. Si ya ha implementado la ISO 9001, realmente puede
utilizar el mismo procedimiento de auditoría interna – no es nece-
sario crear un nuevo documento para ISO 27001. Además, el
mismo auditor puede realizar auditorías internas para todos estos
sistemas al mismo tiempo - si esta persona tiene conocimientos de
estos estándares, y tiene un conocimientos medio sobre TI, puede
estar perfectamente capacitado para hacer una auditoría interna
integrada, lo que puede suponer un ahorro de tiempo para todos.
● Escribir o no escribir un procedimiento de auditoría interna y
una lista de verificación. No es obligatorio tener un procedimiento
escrito que defina cómo se realiza la auditoría interna; sin embargo,
es ciertamente recomendable. Normalmente, los empleados no es-
tán muy familiarizados con las auditorías internas, por lo que es
bueno tener escritas algunas reglas básicas – a menos que, por
supuesto, la auditoría sea algo muy habitual y se realice a diario.
Ocurre algo similar con la lista de verificación de la auditoría interna
– no es obligatoria, pero sin duda es útil para los principiantes.
Entradas. La selección de las opciones anteriores depende, por su-
puesto, de si ya ha implementado ISO 9001 (u otro sistema de gestión
181
SEGURO & SIMPLE
ISO), y de qué perfil de auditor interno tiene. También debe estudiar la
legislación, porque algunas industrias (por ejemplo, la financiera) tie-
nen reglas especiales sobre las auditorías internas.
182
Asegúrese de que el SGSI funciona según lo esperado
10.3 A
uditoría interna parte II: Pasos en la auditoría &
preparación de la lista de verificación
Aquí tenemos malas noticias: no existe una lista de verificación universal
de auditoría interna que pueda encajar perfectamente en las necesida-
des de su empresa, porque cada empresa es muy diferente; pero la bue-
na noticia es: puede desarrollar una lista de verificación personalizada
muy fácilmente.
Pasos en la auditoría interna. Veamos qué pasos tiene que seguir
para realizar la auditoría, y cómo encajarlos con la lista de verificación:
1) Revisión de documentos. En este paso tiene que leer toda la
documentación de su Sistema de Gestión de Seguridad de la In-
formación (o la parte de su SGSI que quiere auditar) para de esta
manera: (1) familiarizarse con los procesos del SGSI, y (2) encon-
trar si existen no conformidades con respecto a la ISO 27001 en
la documentación.
2) C
rear la lista de verificación de auditoría. Básicamente, haga
una lista de verificación en paralelo a la revisión de documentos –
lea los requisitos específicos escritos en la documentación (políticas,
procedimientos y planes), y escríbalos para que pueda comprobar-
los en la auditoría principal. Por ejemplo, si la Política de copias
de seguridad requiere que se hagan copias cada 6 horas, entonces
tiene que indicarlo en su lista, para recordar que después tiene que
comprobar si realmente se realizó la copia de esta manera.
3) Planificar la auditoría principal. Dado que existirán muchas co-
sas que necesita comprobar, debe planificar qué departamentos o
lugares va a visitar y cuando – y su lista de comprobación le dará
una idea sobre dónde tiene que enfocarse más.
4) Realizar la auditoría principal. La auditoría principal, a diferen-
cia de la revisión documental, es muy práctica - tiene que cami-
nar alrededor de la compañía y hablar con los empleados, revisar
los ordenadores y otros equipos, observar la seguridad física, etc.
Una lista de verificación es crucial en este proceso – si no tie-
ne nada, puede estar seguro de que se olvidará de comprobar
183
SEGURO & SIMPLE
muchas cosas importantes; también, usted necesita tomar notas
detalladas de lo que encuentre.
5) Informe. Una vez que finalice la auditoría principal, tiene que re-
sumir todas las no conformidades detectadas, y escribir un informe
de auditoría interna – por supuesto, sin la lista de verificación y las
notas detalladas, no será capaz de escribir un informe preciso. Ba-
sándose en este informe, usted, o alguien más, tendrá que abrir ac-
ciones correctivas según el Procedimiento de acciones correctivas.
6) S
eguimiento. En la mayoría de los casos, el auditor interno será uno
de los que comprueben si están cerradas todas las acciones correcti-
vas planteadas durante la auditoría interna – de nuevo, aquí su lista de
verificación y sus notas pueden ser muy útiles para recordar las razo-
nes por las que levantó una no conformidad. Sólo después de que se
cierren las no conformidades, se acaba el trabajo del auditor interno.
Haga su lista de verificación útil para principiantes. Por lo tanto,
el desarrollo de su lista de verificación dependerá principalmente de los
requisitos específicos de sus políticas y procedimientos.
Pero si usted es nuevo en este mundo ISO, puede también agregar a
su lista algunos requisitos básicos del estándar ISO 27001 para que
se sienta más cómodo cuando empiece con su primera auditoría. En
primer lugar, tiene que adquirir el estándar; entonces, la técnica es bas-
tante simple - tiene que leer el estándar cláusula por cláusula, y escribir
notas en su lista de verificación sobre lo que tiene que buscar.
Después de eso, usted necesita leer todas las políticas del SGSI, proce-
dimientos y planes, y anotar los detalles que desea comprobar durante
la auditoría, como se mencionó anteriormente en el paso 2).
Qué incluir en su lista de verificación. Normalmente, la lista de veri-
ficación para la auditoría interna contendrá 4 columnas:
●R
eferencias – por ejemplo, cláusula del estándar, o número de
sección de una política, etc.
●Q
ué buscar – aquí es donde escribe lo que buscará durante la audi-
toría principal – con quién hablará, qué preguntas realizará, qué regis-
tros buscará, qué instalaciones visitará, qué equipamiento revisará, etc.
184
Asegúrese de que el SGSI funciona según lo esperado
● C
umplimiento – esta columna se rellena durante la auditoría
principal, y es el lugar donde puede indicar si la empresa cumple
con cada requerimiento. En la mayoría de los casos podrá comple-
tar esta columna con un Sí o un No, aunque algunas veces podrá
ser también un No aplica o un Parcialmente.
●H
allazgos– Esta es la columna donde se escribe lo que ha encon-
trado durante la auditoría principal – nombres de las personas con
las que ha hablado, cosas que le dijeron, ID y el contenido de los
registros que examinó, descripción de las instalaciones que visitó,
observaciones sobre el equipo que usted supervisó, etc.
Aquí tiene un ejemplo de una lista de verificación para la auditoría
interna, centrado en la cláusula 4.2 de la ISO 27001 (Entendiendo las
necesidades y expectativas de las partes interesadas); los datos com-
pletados en las columna 3a y 4a sólo son un ejemplo de lo que puede
escribir un auditor interno durante la auditoría principal.
Referen- Cumpli-
Qué buscar Hallazgo
cia miento
ISO La empresa ha identificado
¿La organización
27001 todas las partes interesadas
determina las Sí
cláusula en el documento “Lista de
partes interesadas?
4.2 partes interesadas”.
ISO ¿Existe la lista de Sólo se han identificado las
27001 todos los requisitos Parcial- leyes y regulaciones, no se
cláusula de las partes mente han identificado los requeri-
4.2 interesadas? mientos de socios y clientes.
185
SEGURO & SIMPLE
Opciones & documentación. Aquí tiene varias opciones entre las que
decidir:
186
Asegúrese de que el SGSI funciona según lo esperado
la alta dirección. Podría realizar todas las revisiones por dirección el
mismo día, pero de manera secuencial, no al mismo tiempo.
●D
ónde documentar los resultados. En la mayoría de los casos, se
harán simples minutas de reunión; sin embargo, algunas grandes
corporaciones requieren realizar procedimientos formales, junto
con decisiones formales.
●
Cómo
comunicar los resultados. La compañía puede enviar
una notificación por correo electrónico a todos los empleados y
terceras partes que correspondan, organizar una reunión, o algo
similar.
●Q
uién preparará los materiales. Puesto que existe una gran
cantidad de información de entrada que la dirección debe con-
siderar en la reunión, alguien tiene que preparar materiales para
tratar estas entradas - generalmente se encargará el CISO; sin em-
bargo, en grandes empresas estos materiales podrían ser prepara-
dos por varios jefes de departamento.
Entradas. El estándar require a la alta dirección revisar los siguientes as-
pectos:
● Estado de las acciones desde anteriores revisiones por dirección –
por ejemplo, si en la última revisión por dirección se tomó la deci-
sión de entrenar 3 auditores internos más para poder realizar más
auditorías internas a lo largo del año, la dirección debe comprobar
si se implementó esta acción, y cuáles son los resultados.
● Información sobre el análisis de acciones correctivas, la monitoriza-
ción y los resultados de las mediciones, los resultados de auditorías,
y el cumplimiento de los objetivos de seguridad de la información
– por ejemplo se deberían revisar las mediciones de los objetivos de
seguridad, comprobar si los objetivos se cumplen, y definir nuevos
objetivos para el siguiente período. En caso de no cumplir los obje-
tivos, se deberían identificar las cuestiones y las razones.
● Comentarios provenientes de partes interesadas – por ejemplo se
deberían revisar y discutir posibles quejas del cliente relacionadas
con la seguridad de la información.
187
SEGURO & SIMPLE
● Resultados del análisis de riesgos y el estado del plan de tratamien-
to de riesgos – comprobar si se han implementado los controles en
el plan de tratamiento de riesgos, y si no se han implementado, se
deberían identificar las razones.
● Oportunidades para la mejora continua del SGSI – basándose en
todas las discusiones de la dirección, se deben identificar oportu-
nidades de mejora para el SGSI, por ejemplo la automatización del
proceso de gestión de incidencias mediante la instalación de un
software de gestión de incidencias.
10.5 U
so práctico de las no conformidades y acciones
correctivas (cláusula 10.1)
Propósito. Básicamente, cualquier empresa que intente sobrevivir en el
mercado actual está haciendo mejoras constantemente – desarrollando
nuevos productos, resolviendo problemas de los productos y servicios
existentes, disminuyendo costes, etc., de lo contrario, no estarían en el
negocio mas.
Y todas estas cosas son, de hecho, acciones correctivas, aunque las em-
presas probablemente no pensarán así. ISO 27001 (y otros estándares
ISO de gestión) requieren simplemente realizar acciones correctivas de
una manera sistemática – lo que permite conocer dónde se reportarán
exactamente los problemas (es decir las no conformidades, en termino-
logía ISO), quién debe revisarlos y tomar una decisión sobre cómo resol-
verlos, quién es responsable de eliminarlos, etc. Y lo mejor de todo – en
un sistema transparente como este, todos pueden ver los problemas
que existen (no se puede ocultar nada), cuándo y cómo se resolverán
esos problemas, y quién es responsable de estos problemas.
188
Asegúrese de que el SGSI funciona según lo esperado
Entradas. Cualquier persona en la empresa puede levantar una acción co-
rrectiva, y lo mismo aplica a los socios y proveedores que tengan un papel
en su SGSI. Una acción correctiva se puede levantar no sólo debido a
un informe de auditoría interna, también porque alguien pensó en una
mejor manera de escribir la documentación, o por ejemplo, pensó en
disminuir los costes de su análisis de vulnerabilidades. Las acciones co-
rrectivas también pueden exigir grandes cambios, por ejemplo, la alta
dirección puede concluir que el SGSI no alcanzó sus objetivos, y quiere
revisar el concepto completo de la seguridad de la información.
Documentación. Debe tener los siguientes documentos con respecto
a sus acciones correctivas:
● P rocedimiento de acciones correctivas – Este procedimiento define
las reglas básicas para resolver las acciones correctivas – cómo le-
vantarlas, dónde se documentan, quién tiene que tomar las deci-
siones, cómo controlar su ejecución, etc.
●A
cciones correctivas – Estos son los registros de no conformidades,
decisiones y actividades para resolverlas.
Opciones. Aquí tiene las opciones para sus acciones correctivas:
●D
ónde documentarlas. En numerosas ocasiones he visto empre-
sas que usan un diseño de formulario en papel para las acciones
correctivas (especialmente los que implementan la ISO 9001). ¿El
resultado? No se utiliza porque no es nada práctico, y además, no
se sabe dónde encontrarlos. (Por supuesto, siempre se rellenan un
par de estos formularios antes de venir el auditor de certificación).
Una solución mucho mejor es usar alguna herramienta tipo help
desk (o incluso de gestión de tareas), que probablemente ya exista
en su empresa, y sus empleados la estén usando a diario – sólo
tiene que añadir otra categoría de acciones correctivas, y básica-
mente, esta solución será práctica y cumplirá con ISO 27001.
● F usionar las acciones correctivas con otros sistemas de ges-
tión. Esto definitivamente es recomendable – no necesita separar
bases de datos (o formularios) para, por ejemplo, ISO 9001 e ISO
27001. Utilice el mismo procedimiento, el mismo sistema, la mis-
ma base de datos – por supuesto, la naturaleza de las no confor-
189
SEGURO & SIMPLE
midades y acciones correctivas será diferente, pero esto no impide
que unifique el sistema.
●E
scribir o no escribir un procedimiento. No es obligatorio es-
cribir un procedimiento de acciones correctivas; sin embargo, se
recomienda. Normalmente, los empleados no están familiarizados
con algo que no utilizan todos los días, por lo que podría tener
sentido escribir estas reglas – a menos que, por supuesto, sea un
proceso que funciona perfectamente en su empresa, en cuyo caso
no necesita dicho documento.
Decisiones. ISO 27001 requiere a las empresas realizar las siguientes
acciones cuando se producen no conformidades:
●C
ontrolar y corregir la no conformidad, y tratar con las consecuen-
cias – por ejemplo en el caso que la no conformidad sea que la audi-
toría interna la han realizado auditores inexpertos; la empresa debe
entrenar auditores internos, y tratar con los riesgos que podrían ha-
ber ocurrido como resultado de la auditoría interna llevada a cabo
de manera inadecuada.
●D
ecidir si eliminar la causa de la no conformidad para prevenir su re-
currencia – si nos referimos al mismo ejemplo, dado que la auditoría
interna es muy importante para la seguridad de la información, la
empresa debe asegurarse de que esta no conformidad no volverá a
ocurrir en el futuro. Si, por ejemplo, la causa de la no conformidad
fue la falta de una persona responsable para el proceso de auditoría
interna, la empresa debe asignar esta responsabilidad a una persona
para evitar que esto ocurra de nuevo.
●D
ecidir quién va a implementar las acciones – por ejemplo, realizar
una nueva auditoría interna con auditores recientemente capacitados.
● Revisar la eficacia de las acciones correctivas llevadas a cabo – por
ejemplo, después de un período determinado, se debe comprobar
si se ha realizado la nueva auditoría con los auditores capacitados.
● Si es necesario, realizar cambios en el SGSI – por ejemplo do-
cumentar un procedimiento de auditoría interna (aunque no es
requerido por el estándar ISO 27001), donde se expliquen las res-
190
Asegúrese de que el SGSI funciona según lo esperado
ponsabilidades de la persona encargada de la auditoría interna, y
donde se indiquen claramente las necesidades de formación de
los auditores internos.
191
SEGURO & SIMPLE
● Definir formas para registrar toda la información relevante relacio-
nada con las mejoras
● Implementar la mejora como un cambio, documentando los cam-
bios, las razones detrás de los cambios y los resultados esperados,
y revisando la efectividad de los cambios
Por último, me gustaría señalar que toda mejora requiere cambios en el
SGSI, sin embargo no todos los cambios resultan en mejoras - por ello,
la mejora es un proceso continuo.
Consejo de documentación: (no obligatorio) Un documento llama-
do Política de mejora.
192
11
ASEGURAR QUE SU COMPAÑÍA
PASA LA CERTIFICACIÓN
Pero no tiene que ser así – usted puede conseguir algo positivo además
del certificado - como le explicaré más adelante en este capítulo, los
auditores de certificación son gente experimentada, con una visión per-
fecta sobre buenas prácticas, y usted puede aprender mucho de ellos.
Pero debe de enfocarlo de la manera correcta.
193
SEGURO & SIMPLE
1) Marketing. Puede utilizar el certificado para conseguir nuevos clien-
tes (debido a, por ejemplo, ofertas), o permanecer en el negocio (por
ejemplo, todos sus competidores tienen ya el certificado).
194
Asegurar que su compañía pasa la certificación
el mundo. Su propósito es publicar estándares, como una forma de en-
tregar conocimiento y mejores prácticas – en este momento, existen pu-
blicados casi 20.000 estándares en total, y son reconocidos en cada país.
Los estándares de gestión ISO son sólo una parte de estos 20.000 es-
tándares, que fueron creados principalmente como una ayuda para las
empresas para mejorar sus operaciones en ciertas áreas (por ejemplo,
ISO 9001:2015 para la gestión de calidad, ISO 22301 para la gestión
de la continuidad del negocio, etc.), es por ello que la mayor parte de
lo que se habla acerca de estos estándares está relacionado con las em-
presas y su registro, certificación y acreditación.
195
SEGURO & SIMPLE
Pero, de nuevo, es lo mismo - son aquellas instituciones que realizan las
auditorías de certificación y expiden los certificados. Aquí, también, la
ISO recomienda utilizar el término “entidades certificadoras”.
Generalmente sólo hay una entidad acreditadora por cada país (por
ejemplo, UKAS para el Reino Unido), mientras que existen varias enti-
dades certificadoras en cada país – desde pequeñas entidades certifica-
doras locales, hasta grandes corporaciones multinacionales como SGS,
BSI, Bureau Veritas, DNV, etc.
196
Asegurar que su compañía pasa la certificación
Con respecto a la acreditación, hay un patrón similar a como se descri-
bió anteriormente - si una institución quiere proporcionar certificados
de concienciación, debe ser acreditado por una entidad acreditadora, y
en este caso, esta institución tiene que cumplir con ISO 17024.
197
SEGURO & SIMPLE
Este proyecto es su hijo, y usted puede estar inclinado a creer que los
documentos, y todo lo demás que ha preparado, está impecable. Pero
esto no es cierto - siempre le quedará algo en el aire, incluso podría
haber entendido algún requisito de forma equivocada, lo que le podría
haber llevado a perder algo. Y tal vez el problema no esté en usted -
puede existir alguien que por ejemplo, esté a cargo de la medición,
pero esta persona no haga el trabajo correctamente.
198
Asegurar que su compañía pasa la certificación
● Después, lea la ISO 27001 una vez más y vea si su documentación
cumple con todos los requerimientos del estándar.
● Por último, ahora viene la parte más difícil – tiene que caminar
alrededor de su empresa (también debe visitar algunos de sus so-
cios y proveedores, los que tengan un papel en su seguridad de la
información) y comportarse como si fuera el auditor de certifica-
ción. Esto básicamente significa que tiene que preguntar de nuevo
una cuestión muy simple: ¿Realiza todo lo que está escrito en la
documentación? Basta con leer lo que dice cada uno de sus docu-
mentos (políticas, procedimientos, planes, etc.), y comprobar si las
respuestas que recibe son apropiadas. Para saber la verdad, usted
no debe confiar sólo en las respuestas - también debe profundizar
y buscar los documentos que prueben lo que le responden.
Y esto es todo – una vez que realiza este tipo de tareas - para cada una
de sus actividades, para cada uno de sus documentos, para cada uno
de sus principales proveedores y socios, tendrá una foto bastante bue-
na de lo que funciona y de lo que tiene que corregir.
Cuando usted mire más de cerca estos pasos, se dará cuenta de que se
asemejan mucho a los pasos que realiza un auditor interno. Así que se
podría preguntar, ¿Por qué hacer esto? En primer lugar, los auditores
internos son personas generalmente sin experiencia, y no puede espe-
rar mucho de ellos en sus primera auditorías; en segundo lugar, ya que
usted es responsable del éxito del proyecto, probablemente querrá
asegurarse de que todo esté a punto.
También puede contratar a una persona externa para realizar esta com-
probación final – esto lo puede hacer su consultor, suponiendo que
tenga uno - es cierto que no puede realizar la auditoría interna, debido
a los conflictos de intereses, pero nada impide que lo pueda emplear
para esta comprobación final. Y si el consultor tiene experiencia en au-
ditoría, mejor que mejor.
Vea también este mini caso de estudio en el capítulo 14: Preparar una
compañía de telecomunicaciones para la certificación.
199
SEGURO & SIMPLE
200
Asegurar que su compañía pasa la certificación
Esto significa que no tendrá que hacer auditorías independientes
para cada sistema (y pagar una tarifa independiente para cada
uno de ellos), puede hacer una única auditoría para todos estos
sistemas juntos – no sólo podrá ahorrar tiempo (una auditoría in-
tegrada es más corta que varias auditorías independientes), tam-
bién sí – tendrá que pagar menos.
● F lexibilidad. Si la entidad certificadora tiene un auditor que tiene
que volar desde otro continente (porque no tiene a nadie local-
mente), va a ser muy difícil para usted cambiar la fecha de la audi-
toría (por ejemplo, imagine que no termina su proyecto, debido a
que ha ocurrido algún problema) ya que es posible que se hayan
realizado ya todas las reservas para el viaje.
● L enguaje. A pesar de que la entidad certificadora puede propor-
cionar un traductor si el auditor (o auditores) no habla su idioma, si
el auditor habla su idioma la auditoría irá mucho mejor. Él leerá sus
documentos mucho más fácilmente, y usted será capaz de desarrol-
lar una mejor relación con él, si no existe una barrera con el idioma.
Por tanto, esto es – como con cualquier otro proveedor, usted tendrá que
hacer su trabajo y elegir el mejor para su empresa. Y recuerde, tiene que
pensar en el coste total del servicio que está recibiendo, y el precio de
oportunidad perdida – las entidades certificadoras de bajo coste podrían
tomar demasiado de su tiempo, y a cambio ofrecerle poco valor.
201
SEGURO & SIMPLE
La Auditoría de Fase 1 es donde el auditor de certificación comprueba
si existe toda la documentación obligatoria - todas las políticas, procedi-
mientos y planes, todos los registros necesarios, etc. Básicamente, esta
es la parte más teórica de la auditoría, porque todo lo que hará el auditor
es leer sus documentos – esto es algo que se hace sin su participación.
La Auditoría de Fase 2 generalmente se realiza unas pocas semanas
después de la fase 1, y es completamente diferente: en esta auditoría
el enfoque no será la documentación, será comprobar si sus empleados
están haciendo realmente lo que dice su documentación, y lo que dice la
ISO 27001 que tienen que hacer. En otras palabras, el auditor comproba-
rá si realmente se ha materializado el SGSI en su organización, o si es sólo
es papel mojado. El auditor comprobará esto a través de observación, y
entrevistas a sus empleados, pero principalmente revisando sus registros
(vea la sección siguiente para más detalles). Por favor, tenga cuidado,
cualquier auditor experimentado notará inmediatamente cualquier parte
artificial en su SGSI, y también notará si está ocultando algo.
No conformidades mayores y menores. Durante la auditoría de fase
2, el auditor puede levantar no conformidades mayores o menores –
las no conformidades menores le permiten obtener el certificado, pero
tendrá que resolverlas en seis o 12 meses; las no conformidades ma-
yores significan que usted no puede obtener el certificado, pero esta
situación se puede resolver – vea la sección 11.9.
Visitas de seguimiento. Después de pasar la certificación, el certificado
es expedido para un período de tres años – así, por ejemplo, si la audi-
toría de certificación inicial fue realizada en Noviembre del 2017, esto
significa que el certificado será válido hasta Noviembre del 2020. Puesto
que la entidad certificadora garantiza que el sistema de gestión estará
funcionando a lo largo de la validez del certificado, la única forma para
la entidad certificadora de comprobarlo realmente, es enviar un auditor
de certificación periódicamente para ver cómo van las cosas. Y esto es lo
que se conoce como visitas de seguimiento – deben realizarse al menos
una vez al año, o, en algunos casos, se realizan dos veces al año.
En los casos en los que se realizan una vez al año, utilizando el ejemplo
anterior de la auditoría de certificación, la primera visita de seguimiento
202
Asegurar que su compañía pasa la certificación
sería en Noviembre del 2018, y la segunda (y última) visita de seguimiento
en Noviembre del 2019. Después de esto, en Noviembre del 2020, expira-
ría el certificado, y la compañía podría ir a la auditoría de recertificación.
Por tanto, durante la auditoría de seguimiento, el auditor se centrará en las
cosas en las que no fue capaz de verificar durante la auditoría de certifica-
ción: por ejemplo, si se registran todas las incidencias, si se hacen medicio-
nes, si todas las acciones correctivas se registran correctamente y se imple-
mentan, si la dirección realmente apoya y se preocupa por el sistema, etc.
Preparación. ¿Qué necesita hacer para prepararse para estas fases? Su-
poniendo que ha preparado la documentación y que todo funciona como
debería, lo único que puede hacer es avisar a todos los empleados cuan-
do venga el auditor de certificación, y saber qué esperar de él. Con esto
quiero decir que debe dejar claro a todo el mundo, que el auditor puede
ir a cualquier parte, ver a cualquiera, hacer cualquier pregunta, y ver cual-
quier documento/registro.
Basándome en mi experiencia, no tiene sentido que le diga a la gente
que oculten cosas, porque eso hará que se comporten de tal manera
que el auditor se dará cuenta muy rápidamente de lo que está suce-
diendo, y además - anularía el propósito de la auditoría.
204
Asegurar que su compañía pasa la certificación
●“
¿Tiene acceso a las reglas internas relacionadas con la seguridad
de la información?”
●“
¿Puede mostrarme alguna de las políticas?”
●“
¿Podría decirme cuáles son los puntos que considera más
importante en la política?”
Por lo tanto, si usted quiere estar bien preparado para las preguntas
que un auditor le puede hacer, en primer lugar compruebe que tiene
todos los documentos requeridos, y luego verifique que la empresa
hace todo lo que los documentos requieren, y que usted puede demos-
trarlo todo a través de registros. Por último, es muy importante que la
gente conozca todos los documentos que les sean aplicables. En otras
palabras, asegúrese de que su empresa realmente ha implementado el
estándar, y que lo ha aceptado como algo necesario en sus operaciones
diarias - el funcionamiento de este estándar será imposible si creó la
documentación sólo para satisfacer la auditoría de certificación.
205
SEGURO & SIMPLE
207
SEGURO & SIMPLE
no tiene una prueba de esto, entonces él no puede levantar una no
conformidad. Para levantar una no conformidad debe tener la prueba,
y en este caso necesitaría los registros de la copia de seguridad.
Otro ejemplo - el auditor de certificación no puede levantar una no
conformidad si usted está realizando la copia de seguridad cada 12
horas, y el auditor piensa que debe hacerse al menos cada 6 horas - no
puede hacerlo porque esto no es un requisito (al menos no lo es en
el estándar). Podría haber levantado esta no conformidad sólo si, por
ejemplo, se especifica una frecuencia de 6 horas para las copias de se-
guridad en su Política de copias de seguridad.
El punto es que el auditor de certificación debe tener 1) evidencia + 2)
el requisito. Si no tiene alguna de estas cosas, o ambas cosas, el auditor
no puede levantar una no conformidad.
Cómo argumentar. Por lo tanto, puede estar preparado para discutir
con el auditor, en el caso de que haya notado que la evidencia o el re-
quisito no existe. Por supuesto, tiene que hacerlo con calma y de forma
profesional, y el auditor aceptará cada corrección a sus hallazgos si sus
argumentos son sólidos.
Puede hacer este argumento en tres etapas: (1) lo mejor es hacerlo
durante la auditoría, porque hacerlo de una manera informal es lo más
fácil; (2) si ve que el auditor no acepta sus argumentos, su segunda
oportunidad para debatirlo es la reunión de cierre de la auditoría de
certificación, de una manera formal - en la reunión de cierre, el auditor
(o auditores) presentará los hallazgos y no conformidades, y le pre-
guntará si tiene algún comentario; (3) si eso no funciona bien, puede
presentar una queja por escrito a la entidad certificadora después de la
auditoría de certificación, explicando su caso.
Basándome en mi experiencia, el punto (1) se hace a veces, el (2) ra-
ramente, y el (3) casi nunca. Como mencioné en la sección anterior,
un enfoque mucho mejor es desarrollar una relación positiva con el
auditor, para que él realmente le ayude a mejorar la seguridad de la
información. Sólo en el caso de que estén absolutamente convencidos
de que el auditor está equivocado, debe discutir su caso.
208
Asegurar que su compañía pasa la certificación
209
SEGURO & SIMPLE
liza de manera inadecuada, o a una actividad que no se realiza, o
se realiza de manera incorrecta, etc.
● Incluir referencia al requerimiento específico – por ejemplo, nú-
mero concreto de la cláusula del estándar, o procedimiento o contrato
210
Asegurar que su compañía pasa la certificación
de los estándares de gestión ISO sólo cubren procesos y sistemas de
gestión, no productos).
Desde luego que no. El proceso va así - el auditor indicará los hallazgos
(incluyendo la no conformidad mayor) en el informe de auditoría, y le
dará un plazo para resolver la no conformidad (generalmente 90 días).
Su trabajo consiste en tomar medidas correctivas apropiadas; pero hay
que tener cuidado - esta acción debe resolver la causa de la no confor-
midad, de lo contrario el auditor no aceptará lo que ha hecho. Una vez
que toma la acción correcta, tiene que notificar al auditor, y enviarle la
evidencia de lo que haya hecho. En la mayoría de los casos, si ha hecho
bien su trabajo, el auditor aceptará su acción correctiva, y activará el
proceso de emitir el certificado.
Así que lo consiguió – tomó un tiempo, pero ahora usted puede estar
orgulloso de que es propietario del certificado ISO 27001. Sin embargo,
tenga cuidado, a pesar de que el certificado es válido durante tres años,
puede ser suspendido durante este periodo si la entidad certificadora
identifica otra no conformidad mayor durante las visitas de seguimiento.
211
SEGURO & SIMPLE
212
12
CAPÍTULO EXTRA I:
OPORTUNIDADES DE CARRERA
EN ISO 27001
Por tanto, si así es, ahora, ¿Hacia dónde puede usted dirigir su carrera
si quiere aprovechar este estándar mundialmente reconocido, de segu-
ridad de la información? Básicamente, tiene 4 opciones, las cuales se
indican a continuación, de más sencilla a más difícil:
b) Convertirse en un consultor, o
Por lo tanto, vamos a ver cómo ISO 27001 puede ayudarle en su desa-
rrollo profesional.
213
SEGURO & SIMPLE
Curso Auditor Jefe ISO 27001. Este es uno de los dos cursos más avan-
zados de ISO 27001 – dura cinco días y termina con un examen por escrito
(que es bastante difícil). Si pasa el examen, puede convertirse en un auditor
para una entidad certificadora, pero este no es su principal beneficio – es
muy útil para profesionales que implementan el estándar, ya que les propor-
ciona una excelente descripción de los estándares, y les proporciona explica-
ciones detalladas de lo que los auditores de certificación le solicitarán en la
auditoría de certificación. Por lo tanto, es útil para auditores e implementa-
dores. El público objetivo de este curso incluye a profesionales con experien-
cia moderada o importante en seguridad de la información, auditoría o TI.
Curso Implementador Jefe ISO 27001. Este curso avanzado dura tam-
bién cinco días, y es algo similar al curso de Auditor Jefe. La diferencia es
que este se centra en técnicas de implementación, en lugar de en técnicas
de auditoria - por lo tanto, si la certificación no es su preocupación, usted
puede encontrar este curso más conveniente. Aquí, el público objetivo es
similar: profesionales con moderada o significativa experiencia en seguridad
de la información o TI. Vea también la sección siguiente para más detalles.
Curso Auditor Interno ISO 27001. Este curso es una versión “light” del
curso de Auditor Jefe – generalmente tiene una duración de dos o tres
días, puede ser con o sin examen, y el contenido es una versión resumida
del curso de Auditor Jefe. La principal diferencia es que este curso no le
servirá para convertirse en auditor para una entidad certificadora; sin em-
bargo, si usted quiere conseguir una introducción sistemática al mundo
del estándar ISO 27001, o va a ser un auditor interno en su empresa, este
curso es la opción correcta para usted. El público objetivo son profesiona-
les con poca o moderada experiencia en seguridad de la información o TI.
En el primer día del curso, usted tendrá una visión detallada de cada
cláusula del estándar, un profesor le enseñará a interpretar el estándar,
así como su lógica subyacente. Después de este primer día, el curso de
Auditor Jefe se centrará principalmente en técnicas de auditoría para
un estándar en particular, mientras que el curso de Implementador Jefe
le explicará los mejores métodos para la implementación.
La mayoría de los cursos son muy interactivos - por ejemplo, los cursos
que he impartido tenían aproximadamente 15 talleres, que se reali-
zaban durante 5 días, lo cual dio a los estudiantes una oportunidad
perfecta para aprender, mientras hacían el trabajo en equipo; por su-
puesto, también hay debates, y un buen tutor fomentará la discusión y
la aplicabilidad del estándar en situaciones reales.
215
SEGURO & SIMPLE
No necesita ningún conocimiento especial para inscribirse en el curso
– si está interesado en el curso de ISO 27001, es suficiente tener cono-
cimientos medios de TI, y no es necesario ningún conocimiento previo
en seguridad de la información.
216
Capítulo extra I: Oportunidades de carrera en ISO 27001
donde usted aprenderá cómo llevar a cabo estas auditorías. Gen-
eralmente, este período de prácticas dura 20 jornadas de audi-
toría, y después de este periodo ya estará preparado para llevar a
cabo auditorías de SGSI como parte del equipo de auditoría.
218
Capítulo extra I: Oportunidades de carrera en ISO 27001
Cómo encontrar clientes. Lo crea o no, esta es, de lejos, la tarea más
difícil; Aquí es donde han fracasado la mayoría de potenciales consulto-
res, sin importar los conocimiento que tenían sobre ISO 27001.
Existen varias maneras que debe emplear para comercializar sus servicios:
●U
se sus contactos de trabajos previos – por ejemplo, comience
a establecer un trato con uno de sus clientes, incluso antes de em-
pezar su nuevo trabajo de consultoría, con el fin de evitar un vacío
una vez que comience su nuevo trabajo; Esto es probablemente la
mejor manera de comenzar su carrera, pero debe tener cuidado,
permaneciendo dentro de los límites éticos - no debe molestar a
su cliente.
219
SEGURO & SIMPLE
Y recuerde – los clientes no van a ir corriendo hacia usted el primer día
que comience su consultoría; por el contrario, al principio es probable
que tenga menos clientes de los que usted imaginó incluso en su peor
escenario. Esto es porque el ciclo de ventas es muy largo - normalmente
tarda mucho tiempo que un cliente decida empezar un proyecto.
220
13
CAPÍTULO EXTRA II: ESTÁNDARES
RELACIONADOS, CONCEPTOS,
Y MARCOS DE TRABAJO
221
SEGURO & SIMPLE
especifica 114 controles, que puede utilizar para reducir los riesgos de
seguridad, y la ISO 27002 puede ser muy útil porque proporciona in-
formación sobre cómo implementar estos controles. ISO 27002 ante-
riormente era conocido como ISO/IEC 17799 y este surgió del estándar
británico BS 7799-1.
ISO/IEC 27004 proporciona una guía de buenas prácticas para la medi-
ción de la seguridad de la información – esto encaja bien con la ISO 27001
porque explica cómo determinar si el SGSI ha logrado sus objetivos.
ISO/IEC 27005 proporciona una guía de buenas prácticas para la gestión
de riesgos de seguridad de la información. Es un complemento muy bue-
no para la ISO 27001, porque da detalles sobre cómo realizar el análisis
y tratamiento de riesgos, que probablemente sea la etapa más difícil en
la implementación. ISO 27005 surgió del estándar británico BS 7799-3.
ISO/IEC 27017 proporciona una guía de buenas prácticas para contro-
les de seguridad para servicios en la nube. Este estándar proporciona
controles adicionales a los ya tiene el estándar ISO 27002, los cuales
se centran específicamente en la protección de la información que es
procesada y almacenada en la nube.
ISO/IEC 27018 proporciona una guía de buenas prácticas para la protec-
ción de la privacidad en la nube. De la misma manera que con ISO 27017,
este estándar también está basado en ISO 27002, y proporciona algunos
controles de seguridad adicionales que ayudan a proteger la información
personal identificable.
ISO/IEC 27031 proporciona una guía de buenas prácticas para aspec-
tos relativos a TI, en la recuperación ante desastres. Este estándar ha
sustituido a la BS 25777, y describe los conceptos y los principios de
las tecnologías de la información y comunicación (TIC) para preparar
la continuidad del negocio, y proporciona un marco de trabajo de mé-
todos y procesos, para identificar y especificar todos los aspectos para
mejorar la disponibilidad de las TIC de una organización, para de esta
manera asegurar la continuidad del negocio.
ISO/IEC 27032 proporciona directrices para la ciberseguridad. Este es-
tándar explica cómo la ciberseguridad está relacionada con la seguri-
222
Capítulo extra II: Estándares relacionados, conceptos, y marcos de trabajo
dad de la información, cómo tratar problemas comunes de la ciberse-
guridad, cuáles son los actores típicos y cómo tienen que colaborar, etc.
Vamos a ver cómo algunos de estos estándares están relacionados con
ISO 27001.
Ahora surge la pregunta: ¿Por qué estos dos estándares se publican por
separado?, ¿Por qué no se han fusionado reuniendo los puntos positi-
vos de ambos? La respuesta es la usabilidad, si fuese un único estándar
sería demasiado complejo, y demasiado grande para un uso práctico.
223
SEGURO & SIMPLE
Para concluir, ISO 27002 es un estándar muy bueno con el que puede
aprender cómo implementar los controles individuales de ISO 27001; sin
embargo, ISO 27002 no debería utilizarse sin ISO 27001 ya que esto po-
dría conducir a un esfuerzo aislado por parte de algunos entusiastas de
seguridad de la información, lo que podría implicar la no aceptación de la
alta dirección, y por lo tanto no tendría un impacto real en la organización.
Relación entre ISO 31000 y ISO 27001. La revisión previa del 2005 de
la ISO 27001, no hacía referencia a la ISO 31000, pero la nueva revisión
2013 sí lo hace, y esto ha causado confusión - muchas personas pien-
san que tienen que implementar algo nuevo en la ISO 27001 debido a
la ISO 31000, pero esto no es cierto.
Esto es lo que dice ISO 27001 sobre la ISO 31000: en la cláusula 4.1,
ISO 27001 señala que podría considerar los contextos internos y exter-
nos de la organización, según la cláusula 5.3 del estándar ISO 31000. Y,
de hecho, los apartados 5.3.2 y 5.3.3 del estándar ISO 31000 son muy
útiles en ese sentido, porque proporcionan valiosas directrices sobre los
contextos internos y externos; sin embargo, ISO 27001 menciona ISO
224
Capítulo extra II: Estándares relacionados, conceptos, y marcos de trabajo
31000 solamente en una nota, lo cual significa que estas directrices no
son obligatorias.
Así que, ¿Por qué usar ISO 31000? Además de las buenas prácticas ya
mencionadas para la identificación de los contextos internos y exter-
nos, su mayor valor está en que proporciona un marco de trabajo para
la gestión de todo tipo de riesgos, a nivel de toda la empresa – esto
puede ayudarle a convertir la gestión de riesgos, de algo obscuro y
difícil de entender, a algo que sea fácilmente entendido por todas las
personas en la empresa.
225
SEGURO & SIMPLE
Vamos a ver el nivel en que ISO 27017 sugiere cambiar ISO 27001/
ISO27002:
Nivel de cambio
Dominio de control ISO 27001/ISO 27002
en ISO 27017
5 Políticas de seguridad de la información Moderado
6 Organización de la seguridad de la información Moderado
7 Seguridad relativa a los recursos humanos Moderado/Bajo
8 Gestión de activos Moderado/Bajo
9 Control de acceso Alto
10 Criptografía Moderado
11 Seguridad física y del entorno Moderado/Bajo
12 Seguridad de las operaciones Moderado/Alto
13 Seguridad de las comunicaciones Moderado/Alto
14 Adquisición, desarrollo y mantenimiento de los
Moderado
sistemas de información
15 Relaciones con proveedores Moderado/Alto
16 Gestión de incidentes de seguridad de la infor-
Moderado
mación
17 Aspectos de seguridad de la información para la
Bajo
gestión de la continuidad del negocio
18 Cumplimiento Moderado/Alto
226
Capítulo extra II: Estándares relacionados, conceptos, y marcos de trabajo
so, por ejemplo: 9.2.1 Registro y baja de usuario, 9.2.2 Provisión de acceso
de usuario, 9.2.3 Gestión de privilegios de acceso, 9.4.1 Restricción del ac-
ceso a la información, y 9.4.4 Uso de utilidades con privilegios del sistema.
Si comparamos ISO 27017 e ISO 27018 con respecto el tipo de cambios que
proponen, se dará cuenta de que ISO 27017 propone más cambios en con-
troles existentes, mientras que ISO 27018 propone más controles nuevos.
Por tanto, no hay nada espectacular aquí – sobre todo lo que existe es
sentido común a la hora de hablar de seguridad en la nube.
¿ISO 27001, ISO 27017, o ISO 27018? Mientras existan más estánda-
res, será más difícil elegir... En cualquier caso, ISO 27001 es un están-
dar básico perfecto para todas las empresas que quieran proteger su
información – es, de lejos, el estándar más popular de seguridad de la
información en todo el mundo, proporciona un marco de trabajo para
la gestión de la seguridad, y es el único que puede proporcionar la emi-
sión de un certificado.
227
SEGURO & SIMPLE
ridad en la computación en la nube. Por otra parte, ISO 27018 está más
enfocado hacia empresas que manejan datos de carácter personal y quie-
ren asegurarse de que protegen estos datos de la manera más adecuada.
Aquí tiene un resumen de en qué grado ISO 27018 sugiere que deben
incrementarse los controles existentes:
228
Capítulo extra II: Estándares relacionados, conceptos, y marcos de trabajo
Nivel de elementos
Dominio de control
adicionales en ISO
ISO 27001/ISO 27002
27018
5 Políticas de seguridad de la información Moderado
6 Organización de la seguridad de la in-
Bajo
formación
7 Seguridad relativa a los recursos huma-
Bajo
nos
8 Gestión de activos Bajo
9 Control de acceso Bajo
10 Criptografía Bajo
11 Seguridad física y del entorno Bajo
12 Seguridad de las operaciones Alto
13 Seguridad de las comunicaciones Bajo
14 Adquisición, desarrollo y mantenimien-
Bajo
to de los sistemas de información
15 Relación con proveedores Bajo
16 Gestión de incidentes de seguridad de
Moderado
la información
17 Aspectos de seguridad de la informa-
ción para la gestión de la continuidad del Bajo
negocio
18 Cumplimiento Moderado
Como puede ver, ISO 27018 sugiere los cambios más grandes en la
sección 12 Seguridad de las operaciones – Esto es principalmente para
los controles 12.1.4 Separación de los recursos de desarrollo, prueba
y operación (cuando se utilizan datos de carácter personal para prue-
bas); 12.3.1 Copias de seguridad de la información (múltiples copias de
datos, procedimientos para las copias de seguridad, su recuperación y
eliminación; proporcionar información al cliente); y 12.4.1 Registro de
eventos (procesos para revisar registros; registro de información privada
que haya cambiado; proporcionar información al cliente). Además de
los cambios de la sección 12 Seguridad de las operaciones, los elemen-
tos adicionales en otras secciones son sorprendentemente pequeños.
229
SEGURO & SIMPLE
Nuevos controles para la privacidad en la nube. El Anexo A de ISO
27018 enumera los siguientes controles adicionales (que no existen en
ISO 27001/27002), y que deben aplicarse para aumentar el nivel de
protección de los datos personales en la nube:
● Derechos del cliente para acceder y borrar datos
● Procesamiento de los datos únicamente para la finalidad para la
cual el cliente ha proporcionado estos datos
● No utilizar los datos para marketing y publicidad
● Eliminación de ficheros temporales
●N
otificación al cliente en caso de una solicitud de divulgación de datos
● Registro de todas las divulgaciones de datos personales
● Revelación de la información acerca de todos los subcontratistas
utilizados para el procesamiento de los datos personales
● Notificación al cliente en caso de un robo de datos
● Gestión documental para procedimientos y políticas de la nube
● Política de devolución, transferencia y eliminación de datos per-
sonales
● Acuerdos de confidencialidad para las personas que pueden acce-
der a datos personales
● Restricción a la hora de imprimir datos personales
● Procedimiento para la restauración de datos
● Autorización para llevar los medios físicos fuera de las instalaciones
● Restricción del uso de medios que no tiene capacidad de cifrado
● Cifrado de datos que se transmiten a través de redes públicas
● Destrucción de los medios impresos con datos personales
● Uso de identificadores únicos para los clientes de la nube
● Registros de acceso del usuario a la nube
230
Capítulo extra II: Estándares relacionados, conceptos, y marcos de trabajo
● Deshabilitar el uso de IDs caducados
● Especificar mínimos controles de seguridad en los contratos con
los clientes y subcontratistas
● Eliminación de datos en almacenaje asignado a otros clientes
● Revelar al cliente en qué países estarán almacenados los datos
● Asegurar que los datos alcanzan su destino
Todo esto es sentido común, y me pareció bastante útil tener todos estos
controles enumerados en un único documento. Por supuesto, ISO 27018
proporciona una explicación detallada de cada uno de estos puntos.
231
SEGURO & SIMPLE
protegen. Y este estándar, ISO 27032, proporciona una guía que nos
ayudará a asegurar que nuestra interacción con el entorno virtual del
ciberespacio es mucho más segura.
Controles. Los controles que se pueden encontrar en ISO 27032 son, como
se esperaba, más específicos para la ciberseguridad (controles de nivel de
aplicación, protección del servidor, usuario final, controles de ataques de
ingeniería social, etc.). Además, ISO 27032 proporciona una guía detallada
para cada control. Por lo tanto, ISO 27001 es más amplia y global, mientras
que ISO 27032 es más concreta y específica para la ciberseguridad.
232
Capítulo extra II: Estándares relacionados, conceptos, y marcos de trabajo
¿Son estándares muy diversos? A primera vista sí, pero si usted echa un
vistazo, verá muchas más similitudes de las que esperaría.
233
SEGURO & SIMPLE
● Auditoría interna – el mismo procedimiento puede utilizarse
para dos o más estándares, aunque cada auditoría interna gene-
ralmente la realizarán diferentes personas, ya que no es muy pro-
bable que una persona tenga un profundo conocimiento de por
ejemplo la seguridad de la información y de la calidad.
●A
cciones correctivas – el procedimiento utilizado para ISO
27001 se puede utilizar para el mismo propósito en el estándar
ISO 14001, u otros estándares, aunque es probable que diferentes
personas resuelvan temas relacionados con diferentes sistemas.
● Gestión de recursos humanos – el mismo ciclo de planificación
para los Recursos Humanos, la formación, y la evaluación, se utili-
za para todos los sistemas de gestión; Naturalmente, la diferencia
está en el perfil de conocimientos y habilidades necesarias.
● Revisión por dirección – los principios para la revisión por direc-
ción son los mismos para todos los sistemas de gestión; Aunque
no sería recomendable realizar dos revisiones en paralelo, ya que
la dirección tendrá que estar acostumbrada a tomar decisiones en
el SGSI, y puede que tengan mejor conocimiento de cómo tomar
decisiones en otros sistemas de gestión.
● Establecer metas para el negocio y medir si se han logrado - el
mismo mecanismo se establece en todos los estándares, por lo
que se utilizará el sistema de gestión para una planificación siste-
mática, y para obtener reportes.
Lo que he descrito arriba también es conocido como un sistema de
gestión integrado - esto se produce cuando se combinan procesos, pro-
cedimientos y políticas de diferentes sistemas de gestión, en un solo
sistema. Este enfoque es ciertamente preferible que tener, por ejem-
plo, un procedimiento de auditoria interna de ISO 27001, y luego otro
procedimiento muy similar para la auditoria interna de ISO 14001. En
realidad, existe un estándar que se centra en la creación de un sistema
de gestión integrado – se llama PAS 99.
En otras palabras, si ya ha implementado ISO 9001, tendrá un trabajo
muy fácil si desea implementar ISO 27001 (y viceversa) - usted podría
234
Capítulo extra II: Estándares relacionados, conceptos, y marcos de trabajo
ahorrar hasta un 25% del tiempo de implementación. Además, podrá
tener auditorías de certificación más baratas, puesto que las entidades
certificadoras están ofreciendo lo que se conoce como “auditorías inte-
gradas”, lo que significa que ofrecen una misma auditoría de ISO 9001
e ISO 27001, lo que implica que le cobrarán una tarifa más pequeña en
comparación con auditorías separadas.
● Ejercicios y pruebas
Así que, ¿Qué significa esto en la práctica? Aunque ISO 27001 le per-
mite implementar la continuidad de negocio con un único documento;
en realidad, si usted quiere preparar su empresa correctamente, necesi-
tará más. E ISO 22301 le proporciona el conocimiento necesario.
Cómo usar ISO 22301 para ISO 27001. En mi opinión, la mejor ma-
nera de utilizar estos conocimientos de ISO 22301, es implementarlos
como un sub-proyecto de ISO 27001 – es decir, debe implementar la
ISO 27001 como usted ha planeado, y cuando llegue a la sección A.17,
debe implementar los principales elementos de continuidad de negocio
de ISO 22301, mencionados anteriormente.
En efecto, puesto que todos los demás elementos del estándar ISO
22301 son iguales que en ISO 27001, implementará estos dos están-
dares al mismo tiempo. Y lo mejor de todo - este esfuerzo adicional es
sólo el 10% del esfuerzo de implementación de toda la ISO 27001.
Por lo tanto, es cierto que puede cumplir con la sección A.17 en ISO
27001 escribiendo un único documento – el plan de recuperación ante
236
Capítulo extra II: Estándares relacionados, conceptos, y marcos de trabajo
desastres. Sin embargo, ISO 22301 le permite hacer mucho más – pre-
parar su empresa para realmente continuar todas sus operaciones cru-
ciales si ocurre un verdadero desastre.
237
SEGURO & SIMPLE
aspectos muy diversos de la seguridad de la información, y a menudo
es mucho más detallada que los estándares de la serie ISO 27k. A pesar
de que no es posible la certificación de estos estándares, son muy po-
pulares debido a su alta calidad, y porque son gratuitos.
238
Capítulo extra II: Estándares relacionados, conceptos, y marcos de trabajo
le proporciona una ventaja: no tiene que aplicar una cierta metodolo-
gía que podría obtener de otros marcos de trabajo. En cambio, usted
puede seguir los pasos de alto nivel requeridos por ISO 27001, y cada
vez que necesite ser más específico, entonces puede aplicar algún otro
estándar o marco de trabajo, el cual le dará los detalles.
Por lo tanto, usted puede satisfacer ambos lados: desde el punto de vis-
ta de gestión, usted tendrá un sistema a través del cual puede contro-
lar todo lo relacionado con la seguridad de la información, y tampoco
tendrá que preocuparse de pasar de un marco de trabajo a otro; desde
el punto de vista de las operaciones de TI, usted tendrá la oportunidad
de implementar marcos de trabajo detallados y concretos, que comple-
tarán el punto vista de gestión de alto nivel, y este tipo de proyectos
técnicos lo entenderán mucho mejor los ejecutivos de la dirección.
239
14
CAPÍTULO EXTRA III: MINI CASOS DE
ESTUDIO DE ISO 27001
Cuando hice una encuesta sobre lo que debería incluir en este libro,
uno de los primeros resultados de la lista de deseos fueron los casos de
estudio. Sin embargo, dado que ISO 27001 tiene como objetivo la pro-
tección de la información, fue muy difícil encontrar gente de seguridad
que abriese sus corazones y hablase de sus experiencias (es decir, de sus
problemas y sus soluciones).
Así que tuve que conciliar estas dos cosas – dado que no pude conseguir
entrevistas con personas reales que hayan implementado ISO 27001 en
empresas reales, he escrito un par de mini casos de estudio de empresas
imaginarias. (En realidad, hay un caso de estudio real – lo encontrará al
final de este capítulo).
Pero no se preocupe – podrá ver que los casos de ficción se crean a partir
de experiencias reales de personas de empresas reales, por lo que po-
dríamos decir que, a pesar de que la historia no es real, los detalles son
algo que verá en su vida cotidiana.
14.1 D
efinir un alcance de SGSI para un pequeño
proveedor de servicios en la nube
La Compañía A ha desarrollado un software especializado que están uti-
lizando para proporcionar servicios en la nube a sus clientes. Tienen 15
empleados, algunos de los cuales trabajan en sus oficinas en New York
240
Capítulo extra III: Mini casos de estudio de ISO 27001
City, mientras que otros trabajan remotamente desde sus casas. Paul es el
CTO de la compañía, y ahora está a cargo de implementar la ISO 27001.
Cuando Paul comenzó a implementar la ISO 27001 en junio de 2015, fue
muy optimista y planificó terminar el trabajo en el Otoño del mismo año.
Sin embargo, en una fase muy temprana se enfrentó a un problema de
definición del alcance: ¿Deben incluirse en el alcance del SGSI los emplea-
dos que trabajan desde casa, o deben excluirse? ¿Qué pasa con la infraes-
tructura de servidores, ya que están en la nube (Amazon AWS) – ¿Debe
formar parte del alcance?
Paul empezó a recopilar alguna información en Internet, y empezó a
definir el alcance del SGSI; sin embargo no pudo encontrar la manera
de cómo hacerlo, ya que le resultó imposible excluir del alcance a los
empleados que trabajan desde su casa, ya que también manejan infor-
mación sensible, pero por otro lado la empresa no podía controlar la se-
guridad física de sus viviendas. Con respecto a Amazon AWS, Paul sabía
que estaban certificados en ISO 27001, pero no estaba seguro si podía
incluir los servidores en el alcance, dado que su empresa no los posee, ni
los controla físicamente.
Por tanto, Paul se dio cuenta de que tenía que cambiar su enfoque – le
preguntó a una amiga, Jessica, que tiene una empresa similar y que con-
siguió la certificación, cómo resolver este problema.
Esto es lo que ella le aconsejó: con respecto a los empleados, deben ser
incluidos en el alcance del SGSI, así como los portátiles de empresa con los
que trabajan; sin embargo sus oficinas de casa deben ser excluidas porque
la empresa no puede tener un control sobre esto. Este problema de segu-
ridad física más tarde se resolvió con la definición de estrictas políticas de
teletrabajo, con las que se establecieron claras reglas de seguridad.
Con respecto a Amazon AWS, de nuevo, la solución fue pensar en lo
que controlan - dado que controlan el sistema operativo, las aplicaciones
y la base de datos, esto iba a ser incluido en el alcance; el hardware, así
como las telecomunicaciones no estaban bajo el control de la empresa
A, así que esto fue excluido del alcance del SGSI.
Paul estaba muy contento con una solución tan fácil y simple, porque había
eliminado posibles problemas con la entidad certificadora, pero también vio
241
SEGURO & SIMPLE
claramente dónde enfocar sus esfuerzos a la hora de implementar el SGSI –
Paul estaba feliz porque podría pasar la mayor parte del tiempo trabajando
en la protección de la información más sensible de su empresa.
Al principio, Jean no era muy entusiasta con ISO 27001 ya que oyó que
era un estándar muy orientado a TI, y aunque ella se comunicaba muy
bien con sus colegas de TI en la empresa, no estaba segura de si ella sería
capaz de controlar este proyecto. Pero vio esto como una oportunidad
de carrera, porque la seguridad se está convirtiendo en una gran opor-
tunidad laboral, así que se decidió a realizar el trabajo.
Así que después de consultar con un par de colegas que conoció en una
conferencia de seguridad, se dio cuenta de cuales deberían ser los próxi-
mos pasos: le pidió a Vijay que estudiase literatura sobre desarrollo de
242
Capítulo extra III: Mini casos de estudio de ISO 27001
software seguro, específico para la tecnología que estaban usando, y tam-
bién le pidió que viese algunos cursos en línea sobre el tema; Jean le dijo
que tenía 3 semanas para prepararlo todo, y después iría a Mumbai para
trabajar junto a él.
243
SEGURO & SIMPLE
escribir los procedimientos y las políticas de seguridad, y fueron muy
ignorados por los jefes de los departamentos, los cuales deberían haber
participado en este proceso, incluso en algunas ocasiones fueron ridi-
culizados. Cuando Emma trató de organizar una presentación sobre la
importancia de la ISO 27001, y los principales elementos del estándar,
sólo un tercio de los trabajadores invitados estuvieron atentos; el resto
estaban más interesados en sus teléfonos que en su presentación.
Emma entendió que tenía que cambiar el enfoque, pero inicialmente no
estaba segura de qué tenía que hacer. Después de hablar con un par de
amigos en la agencia, se dio cuenta que realmente nadie echaba cuenta
al proyecto, y la mayoría de la gente lo vio como una carga innecesaria -
básicamente, nadie vio nada positivo en este proyecto.
Por tanto, aquí es donde ella entendió dónde estaba el problema - además
de su equipo de proyecto, nadie entendía por qué se había iniciado este
proyecto. Así que decidió cambiar su enfoque: empezó primero a hablar
con dos de los diputados más influyentes de la Dirección de la agencia –
les explicó cuáles eran los beneficios del proyecto. Por suerte, aceptaron
sus argumentos muy rápidamente y prometieron que ayudarían cuando
fuese necesario. Después de esto, visitó a 8 jefes de departamento, y bási-
camente utilizó la misma táctica - tuvo éxito con 5 de ellos, mientras que
para el resto tuvo que pedir la ayuda de los diputados.
Por lo tanto, convenciendo a la dirección, y a los responsables de nivel
medio, sobre los beneficios de este proyecto, consiguió una posición mu-
cho mejor para empezar a trabajar con el resto de los empleados – en
su siguiente sesión de capacitación, el 70% de los trabajadores invitados
demostraron atención, y en el resto de las sesiones llegó incluso al 90%.
Ella también cambió su estilo de presentación - en lugar de pasar muchas
diapositivas de PowerPoint, utilizó sólo 4 ó 5 durante toda la sesión, y se
centró mucho más en la interacción con los empleados. Emma estimuló
a los asistentes a hablar abiertamente sobre los problemas reales que
tenían en su trabajo cotidiano, y cómo este proyecto podía ayudarles a
resolver estos problemas. Este enfoque de trabajo – muy a menudo ha
iniciado una acalorada discusión, pero en última instancia, la mayoría de
la gente entiende la necesidad del cambio.
244
Capítulo extra III: Mini casos de estudio de ISO 27001
246
Capítulo extra III: Mini casos de estudio de ISO 27001
Por lo que le pidió a un amigo, que había trabajado como consultor de
seguridad, que le ayudase - este amigo realmente le dio varios consejos.
Le dijo “en primer lugar tienes que identificar todas las partes interesadas
– piensa quién estaría afectado por una fuga de datos del banco. Segu-
ramente sean los clientes, pero quizás también incluirías a sus socios”. Y
agregó “también debes pensar a quién puede influir la seguridad de la
información del banco, y definitivamente hay que pensar en las agencias
del gobierno, pero también pueden ser algunos proveedores importantes,
los empleados, sus familias, etc.” y agregó “una vez que tengas esta lista,
el segundo paso es fácil, simplemente tienes que preguntarte qué es lo
que requieren estas partes interesadas del banco.”
Leon ya sabía por dónde empezar - tenía que hablar con la gerencia
media, es decir, con los jefes de varios departamentos, y preguntarles
sobre las partes interesadas relevantes para su línea de trabajo. Resultó
que además de la autoridad central bancaria, la autoridad fiscal también
estaba muy interesada (debido a la forma que usan los bancos para
controlar el flujo de dinero), los clientes (por supuesto, querían que la
información sobre sus cuentas estuviese protegida), la empresa que ha
desarrollado el software para el banco (requiere mayor presupuesto para
características adicionales de seguridad de TI), los empleados que traba-
jan con los clientes privados más importantes (querían instrucciones más
claras, y capacitación para cuando se trabaja con información altamente
sensible), etc.
Cuando presentó los resultados a su jefe, los resultados fueron mucho
mejores de lo que esperaba – su jefe pasó esta información a la alta direc-
ción, y la utilizaron para hacer algunos cambios estratégicos. Su jefe indicó
que uno de los directivos dijo que “nunca fueron conscientes de muchos
de estos requisitos, y ahora estaban contentos de haber revelado estas
cuestiones de manera temprana, antes de causar daños mayores”.
247
SEGURO & SIMPLE
Oliver era consciente de las similitudes entre ISO 9001 e ISO 27001, y
cómo ya tenía implementado el SGC, sabía que iba a ser más fácil imple-
mentar la ISO 27001. Sin embargo, no estaba muy emocionado cuando lo
designaron como jefe de proyecto para la implementación de ISO 27001
– recordaba muy bien los problemas que surgieron cuando su empresa
adquirió una fábrica en Italia. Esta adquisición ocurrió aproximadamente
al mismo tiempo que cuando fue nombrado como el representante de la
gestión de la calidad – el mayor problema fue cómo llevar dos culturas
completamente diferentes a trabajar bajo las mismas reglas.
248
Capítulo extra III: Mini casos de estudio de ISO 27001
Oliver siguió sus consejos, y al principio fue difícil encontrar a la persona
adecuada de Italia para la revisión de los documentos - tuvo que cambiar
dos personas antes de encontrar la adecuada: su nombre era Isabella, y
era una de las principales ingenieras de la planta italiana. Dado que era
muy comunicativa y respetada en esa planta de producción, logró empe-
zar a cambiar la impresión general sobre los documentos de seguridad.
Para las sesiones de concienciación italianas tuvo que hacer una investi-
gación para encontrar varios ejemplos de incidentes de seguridad ocu-
rridos en Italia, en empresas similares a la suya – decidió utilizar estos
ejemplos como su tema principal; también pidió a Isabella participar en
una parte de la sesión. Este enfoque mostró mucho mejores resultados -
la gente empezó a escucharlo.
Varios meses más tarde, uno de sus clientes (un militar de un país eu-
ropeo) auditó su compañía para asegurarse de que aplicaban todos los
controles de seguridad establecidos en sus acuerdos. Esta vez Oliver tuvo
una tarea fácil – el auditor tardó 1 día menos en la auditoría, porque la
documentación estaba muy claramente estructurada, y obviamente se
estaba usando en las actividades diarias de toda la empresa.
14.7 P
reparar una compañía de telecomunicaciones
para la certificación
La Compañía G es un pequeño operador de telecomunicaciones ubicado
en los Países Bajos – tienen un equipo joven y ambicioso, y son la em-
presa de telecomunicaciones con un crecimiento más rápido en el país.
Proporcionan principalmente servicios de acceso a Internet a clientes
corporativos. Jan es el CTO (Chief Technology Officer) en la compañía, y
también está a cargo de la seguridad.
Cuando Jan se unió a la empresa hace 7 años en sus inicios, nunca pensó
que podrían lograr gran cosa: al principio no tenían nada, y ahora ya tie-
nen un mercado sólido, y una muy buena reputación; algunos inversores
ya han comenzado a mostrar interés en su compañía.
Pero también tiene una desventaja este rápido crecimiento – muy a me-
nudo no está claro quién debe hacer algo, o quién tiene que tomar
249
SEGURO & SIMPLE
decisiones, quién está a cargo de las actividades, cuáles son los pasos
para realizar ciertas actividades, etc. Y había otro tema que se estaba
convirtiendo cada vez más en un problema – la seguridad de los datos.
Dado que todos los sistemas fueron desarrollados con prisas, a nadie
realmente le importaba que su diseño fuese seguro. Por esta razón Jan
coincidió con sus colegas en que se encargarían de la seguridad – no
querían dejar abandonado un tema tan importante.
Hace unos 6 meses, el director general y el CMO (Chief Marketing Offi-
cer) insistieron en que querían ir a por la certificación de ISO 27001,
porque esto le daría un impulso adicional a sus ventas. Naturalmente,
Jan asumió el control de este trabajo como responsable de proyecto, y
contrató a un consultor para implementar el estándar.
Sin embargo, a lo largo de la implementación, Jan ha encontrado un
problema: mientras que una parte del área de tecnologías de la empresa
(de la que Jan estaba a cargo) estaba bastante conforme con aceptar
los cambios, e introducir políticas y procedimientos de seguridad, partes
del área administrativa, y de ventas y marketing de la organización, sim-
plemente no tenían tiempo o no querían ocuparse de esto. Por lo que
en la mayoría de los casos, para las áreas administrativas y de ventas y
marketing, el consultor escribió la documentación sólo para satisfacer al
auditor de certificación – en realidad, estas políticas y procedimientos no
fueron utilizadas en el trabajo diario.
A pesar de que Jan sabía que tenían un SGSI que no funcionaba com-
pletamente, decidió que la empresa podía ir a por la certificación, con la
esperanza de que el auditor de certificación se centrase más en los temas
de tecnología. Para su horror, el auditor de certificación encontró dos no
conformidades mayores, y esto no permitió a la empresa certificarse.
La mayoría de las no conformidades fueron, naturalmente, de las áreas
administrativas, y ventas y marketing de la empresa, aunque estas no
conformidades también incluían que: los empleados no son conscientes
de la política de seguridad de la información, ni entienden por qué la
seguridad es importante; Aunque existen registros que muestran que las
políticas y procedimientos se cumplen, en la vida real la mayoría de los
empleados nunca leyeron los procedimientos; para las tareas específicas
en las que la seguridad es sensible, los empleados no recibieron ningu-
250
Capítulo extra III: Mini casos de estudio de ISO 27001
na capacitación; por último, algunos miembros de la alta dirección no
saben en realidad cuáles son los objetivos de alto nivel para el SGSI, y la
revisión por dirección se ha realizado sin tener en cuenta los resultados
del análisis de riesgos (no se definió el tratamiento de algunos de los
riesgos no aceptables).
Jan decidió que tenía que hacer algo que nunca había hecho antes en
estos 7 años: confrontar abiertamente al director general, y a los otros
colegas de la alta dirección, para conseguir que finalmente se llevasen
las cosas de manera ordenada, o de lo contrario abandonaría la em-
presa. El director general, viendo que todo empezaba a irse demasiado
lejos, aceptó su propuesta; sin embargo, dijo “Dado que tenemos que
limpiar nuestra seguridad, vamos a aprovechar esta oportunidad para
limpiar la casa entera – si tenemos que definir reglas de seguridad, tam-
bién vamos a definir otras reglas”. Y lo hicieron – esto hizo a Jan esperar
más tiempo (4 meses adicionales), pero ahora ya han resuelto todas las
no conformidades que detectaron los auditores de la entidad certifica-
dora, y también tienen definidos procedimientos paso a paso para el
funcionamiento de los procesos más importantes (de seguridad y no de
seguridad) de la empresa.
Una vez que la empresa consiguió el certificado, la alta dirección lo cele-
bró como un gran logro; La declaración del director general también fue
notable: “siento de alguna manera que las cosas últimamente van mejor
en la empresa. Supongo qué, dado que la gente tiene más tiempo libre, es
tiempo de acelerar el desarrollo de nuestros nuevos productos. “
14.8 R
ealizar el análisis de riesgos en un pequeño hospital
El Hospital H es una clínica privada especializada en el tratamiento del
cáncer. Están ubicados en Toronto, Canadá, y cuentan con un equipo de
100 personas, entre doctores y personal de apoyo. Sus clientes son ma-
yoritariamente celebridades y gente rica. William es el administrador de
TI, y también está a cargo de la implementación de la ISO 27001.
251
SEGURO & SIMPLE
también se trataba de una clínica de élite, en la que era muy difícil de
entrar (como empleado o como un paciente). Pero una vez que comenzó
a trabajar, aprendió los aspectos negativos de trabajar en una organiza-
ción – William no pensaba que trabajaría tantas horas, y tampoco pen-
só que tendría problemas con los médicos - chicos que parecía que no
escuchaban a nadie, al menos a William, un novato que recientemente
había cumplido 30 años.
Y qué problemas crearon – muy a menudo tenía que hacer una limpieza
después de que los médicos dejaban en mal estado el software principal
de la compañía, el equipamiento de TI se rompía con demasiada fre-
cuencia debido al mal uso, existieron numerosas ocasiones en las que
se produjeron acciones muy peligrosas sobre los datos (por ejemplo, los
médicos se descargaban las listas de todos los datos de los pacientes a
sus teléfonos o memorias USB, o enviaban datos confidenciales a través
de correo electrónico sin protección, etc.).
Marie muy rápidamente entendió este punto, y acordó pasar 1 hora hacien-
do el ejercicio del análisis de riesgos con William – mientras lo hacía, tuvo
una especie de iluminación: “¡No tenía idea de que hacíamos tantas cosas
mal! Realmente es una maravilla que hasta ahora no haya sucedido nada
malo.” y “Ahora me doy cuenta por qué los chicos de TI no podían arreglar
estos problemas.”
Olivia pensó después de ser nombrada como CISO hace 2 años “Nunca
me imaginé que gestionaría la seguridad”, pero esta fue una decisión
lógica que hizo el director general – en aquel momento tenían muy poco
personal administrativo en la empresa (sólo 20), y de otros gerentes de
la empresa, ella era la que entendía mejor todo lo relativo a TI (TI fue
253
SEGURO & SIMPLE
totalmente externalizada). Además, la empresa requiere mucha mano
de obra, por lo que los mayores problemas de seguridad estaban preci-
samente en los recursos humanos, y aquí es donde estaba su objetivo
– Asegurarse de contratar solamente a personas que tienen una vida
laboral impoluta, sin problemas, que no creen problemas en las instala-
ciones del cliente, etc.
Cuando uno de sus principales clientes (un gran banco) solicitó que se
certificasen en ISO 27001, ella se encargó del trabajo. Como todo lo que
hizo en su vida, ella realizó este trabajo correctamente – fue a sesiones de
capacitación, leyó un libro de ISO 27001, y obtuvo los conocimientos de
un experto. Seis meses después, la compañía consiguió todas las políticas
y procedimientos, sus empleados fueron capacitados y concienciados en
seguridad, y se generaron todos los registros necesarios.
Así que cuando se dio cuenta donde estaba el problema, Olivia tuvo que
tomar un enfoque completamente diferente para la creación de los objeti-
vos – estuvo de acuerdo con su director general en que el nuevo objetivo
general para el SGSI debe ser “Disminuir el número de incidentes de se-
guridad relacionados con el trabajo en las instalaciones del cliente en un
50% en el año próximo”, y la manera de medir este objetivo sería muy
fácil – todos los clientes que tengan algún problema con su personal lla-
marán al director general, así que ahora lo que tienen que hacer es crear
254
Capítulo extra III: Mini casos de estudio de ISO 27001
un registro de incidentes, donde el director general registre cada problema
relacionado con la seguridad.
255
SEGURO & SIMPLE
mos hablando de la industria farmacéutica, las telecomunicaciones, el
sector financiero, y quizás en el futuro también la producción de alimen-
tos y similares, y todos están extremadamente regulados, y en una con-
versación con ellos puedes descubrir que esperan que tengas una ISO
27001, porque de lo contrario no están dispuestos a hablar contigo. Así
que no diría que nos ha llevado a traer clientes, sino que más bien nos
ha proporcionó el poder entrar en un mercado, al que de otra manera
no habríamos podido tener acceso.
DK: ¿Por qué tantos potenciales clientes están haciendo hincapié
en la ISO 27001?; ¿Por qué este estándar se acepta como algo que
es necesario?
GD: Para ellos, ISO 27001 a menudo no es suficiente. Es necesaria pero no
suficiente. Establecen con ISO 27001 un nivel inicial, algo así como: “Ahora
podemos empezar a hablar.” Si una empresa tiene un certificado ISO 27001,
asumen que cumplen algunos criterios básicos, y después de eso, están real-
mente buscando su anexo específico. Además, el proceso ISO 27001 acorta
sus auditorías – que ahora toma sólo dos días, en lugar de seis.
DK: Por tanto, ISO 27001 realmente se considera una línea base.
GD: Correcto, una línea base.
DK: ¿Existe otro estándar parecido, que pueda ser una línea base
para potenciales clientes?
GD: No, yo diría que la ISO 27001 es el requisito principal. En particular,
las instituciones financieras miran generalmente PCI DSS, pero dado que
somos una infraestructura de procesamiento de datos, no entramos en
sus datos y transacciones, y si miran PCI DSS, todo lo que no esté relacio-
nado con la infraestructura, está fuera del alcance para nosotros. Lo que
esperan es que con el certificado ISO 27001, cubramos los capítulos de
PCI DSS que son relevantes para la infraestructura. No solicitan ISO 9001
porque asumen generalmente que si tenemos la certificación ISO 27001,
si es importante para ellos la ISO 9001, ya está incluida.
DK: Si he entendido bien su negocio, principalmente alquila in-
fraestructura, por lo tanto, ¿No maneja datos?
256
Introducción
257
SEGURO & SIMPLE
DK: De esta manera, en contraste con estos grandes actores in-
dustrializados también existen actores pequeños, que realmente
ajustan la nube a sus necesidades específicas de seguridad.
GD: Sí. En realidad, en mi opinión, con en este tipo de configuración he-
mos conseguido conciliar seguridad y economía. La nube ahorra signifi-
cativamente recursos, y esto hace posible alcanzar el mismo nivel, o un
nivel más alto, de redundancia, y en caso de fallas y problemas técnicos, el
servidor virtual seguirá trabajando en una infraestructura completamente
diferente, y no necesita comprar 3 o 4 servidores para este propósito. Esto
significa que alineamos este enfoque con el hecho de que el entorno,
donde todo está configurado, se puede controlar, y eres consciente de
que podrías compartir un servidor físico con otro usuario. Pero, por otro
lado, sabes que tienes un segmento de red independiente - entre usted y
el exterior existe un firewall, que este está en un clúster, donde el acceso
está controlado, por lo que no hay ninguna posibilidad de que alguien sa-
que un disco del servidor y vuelva a colocarlo en otro lugar sin control, etc.
Esto realmente da a los usuarios una sensación de que tienen la misma
seguridad que antes, pero con los beneficios de usar una nube.
DK: OK, ahora me gustaría hablar sobre tu experiencia con la do-
cumentación. ¿Qué te sorprendió más? ¿Conseguiste algo que no
esperabas? ¿Qué esperabas y qué no esperabas?
GD: La mayor sorpresa durante la implementación fue que pensába-
mos que simplemente obtendríamos una especie de libro de cocina, y
que habría algún tipo de formulario, de donde partiríamos para la im-
plementación de un estándar, e iríamos punto a punto a través de él,
siguiendo algún tipo de proceso, y después de esto terminaríamos. Pero
resultó que esto no era así, y tuvimos que empezar con una visión sobre
nosotros mismos, lo que supuso una gran sorpresa para nosotros. No
tuvimos una definición tipo “ISO es que y que”; en cambio, tuvimos
algo como “Averigua primero lo que necesitas” y “¿Qué quieres de ISO,
en conjunción con que?” y tuvimos que definir nosotros mismos cómo
implementar el marco de trabajo proporcionado por el estándar.
DK: Por lo tanto, ¿Tuviste que comenzar con el análisis de riesgos?
GD: Sí, el análisis de riesgos y antes de esto, un análisis de nuestros
propios procesos de negocio, para saber cuáles eran los riesgos. Sin em-
258
Introducción
bargo, no me lo esperaba que la ISO nos ayudase a facilitar las opera-
ciones, porque uno siempre ve la ISO y todos los otros certificados como
una carga adicional; por otra parte, con respecto a algunas cosas que
teníamos sin resolver, con las que habíamos luchado, pudimos regularlas
a través de procesos definidos, y ahora sabemos cómo funcionan en el
negocio.
DK: ¿Cómo de difícil fue instruir a su gente para que escribiera
documentos, procedimientos y políticas?
GD: No fue fácil, y esto realmente es algo que nunca acaba. Es una batalla
continua. Inicialmente, es necesario establecer unas reglas para este seg-
mento, porque si no, de lo contrario no habrá ninguna documentación. Por
lo que es un proceso perpetuo, porque estamos luchando para que todo
sea como debe.
DK: OK, pero la pregunta es si la documentación es necesaria, si
es útil para todos.
GD: Esta es otra parte de la historia. No importa el esfuerzo que invierta,
y que los preparativos duren 6 meses o más, los documentos pueden no
adaptarse perfectamente a lo que hacemos. Puesto que el objetivo es
obtener la certificación, puede existir una tendencia a aceptar las cosas
que están escritas ya en los documentos, aunque tal vez no se adapten
perfectamente a las operaciones diarias. Entonces sucede mucho cuan-
do va a la primera auditoría de certificación, y el auditor de certificación
pregunta: “¿funcionan las cosas que tiene escritas ahí?” Y entonces te
das cuenta de que ninguna persona normal hace lo que está escrito ahí.
Y luego en la siguiente visita de seguimiento estas cosas no pasan, por-
que cada vez se ajusta más los documentos a las necesidades, dado que
se ha ganado experiencia. Pero de nuevo, existe una necesidad humana
de hacer mucho trabajo en un determinado período de tiempo, y la do-
cumentación es siempre una sobrecarga.
DK: Cómo puede resolver, a nivel psicológico, esta cuestión – In-
cluso si los documentos son necesarios, son odiados por las perso-
nas que los necesitan, que están muy ocupados por la naturaleza
de su trabajo?
259
SEGURO & SIMPLE
GD: Uno nunca debe ser un esclavo de la formalidad. He tenido experiencia
con una empresa donde un proceso formal de aprobación estaba regulado
de tal manera que algo tenía que ser impreso en papel en múltiples copias,
se tenía que enviar a 12 directores, que tenían que leerlo, y los 12 directo-
res tenían que firmar, y solamente después de eso fui a un comité - era un
infierno. Es normal que esto sea un horror para la gente. Por otra parte, ISO
27001 permite, en gran medida, que una empresa pueda describir por si
misma lo que sea suficiente para sus necesidades, y en este sentido puede
simplificar todo lo que pueda. No debe permitir que se necesiten 12 per-
sonas para leer y aprobar algo, o 9 miembros, no importa. Debe hacer el
procedimiento más fácil y más eficaz, deben comenzar a utilizar las herra-
mientas. ¿Por qué alguien firma algo en el papel, si la aprobación a través
de un CMS es suficiente? Esto implica que tiene trazabilidad, y también
puede saber quién fue la persona que firmó y aprobó, y no necesita traer a
un notario para demostrar la aprobación. Y luego, esto puede permitir que
la gente deje de percibir todo esto como una molestia, y puede comenzar
a vivirlo como parte del proceso, y por lo tanto, hacerlo todo más fácil.
DK: ¿Qué fue lo más difícil durante la implementación? ¿Hubo
algo que le hizo pensar en abandonar?
GD: No quisimos renunciar, ya que nos dimos cuenta muy rápidamente
que esto era para nosotros un beneficio. Nuestra motivación era el hecho
de que si queríamos lidiar con eso, necesitábamos este estándar. ¿Cuál
fue la parte más difícil? Yo diría que lo más difícil fue evaluar el alcance del
sistema, con qué trataríamos, y lo detallado que sería. Existe la posibilidad
de llegar a una documentación ISO que sea para una empresa mucho
más grande de lo que somos, aunque otra opción es simplificar y hacer
las cosas más sencillas, por lo que tendríamos que cortar mucho, pero
por otra parte, si cortamos mucho, y comprobamos si cumplimos con el
estándar, puede suceder que hayamos dejado algo fuera, y que esto era
importante. Aquí, su ayuda fue muy importante, dado que estaba orien-
tado a objetivos, y dijiste: “No creo que no sea importante para usted,”
o “Los tres documentos se pueden combinar dentro de las estructuras
operativas,” por lo que esta parte fue bastante buena. Creo que durante
la implementación, especialmente cuando las empresas estén trabajando
solas, existe la oportunidad de ser demasiado extenso, o ir por debajo del
nivel requerido. El límite no está muy claro y esto fue difícil.
260
Introducción
DK: ¿Cómo de importante es la ayuda externa? ¿Dónde está el
punto óptimo entre los dos extremos? – Por un lado, puedes im-
plementar este estándar sin plantillas y sin un consultor, y por
otro lado puedes tener un consultor que lo haga todo ¿Cuál es el
punto medio?
GD: Lo primero que una empresa debe hacer es comprender esta ver-
dad básica: un consultor no hace tu certificado ISO. Tienes que hacer
tu certificado ISO, o no lo hará otra persona por ti. Los consultores no
hacen certificados ISO; lo hace tu empresa, y el consultor reconoce los
procesos de negocio. Para ser capaces de entender los procesos de ne-
gocio, es necesario emplear una gran cantidad de consultores, y esto es
otro trabajo por cuenta propia. Por lo tanto, esto significa que tienes que
hacer el certificado ISO por tu cuenta, no con consultores. Un consultor
es importante en otra área, y es que el consultor entiende el estándar
mucho mejor, por lo que él puede enfatizar cosas que hayas podido
olvidar, o tal vez que hayas exagerado. Otra cosa es que un consultor
acumula experiencia de trabajo práctico – pensemos en una analogía de
tráfico: en teoría, sé cómo pasar por un cruce ferroviario, pero si no se
que en Croacia la rampa en el carril de cruce a menudo no desciende
cuando pasa un tren, podría pasar algo muy malo. Ocurre lo mismo con
los consultores: saben hacer los trabajos prácticos, dónde se encontrarán
con problemas, durante la certificación, o en la práctica, dónde pueden
solapar algunas cosas, dónde pueden medir, etc. Durante la implemen-
tación fuimos en varias ocasiones en la dirección equivocada. Trabajába-
mos y escuchábamos de repente – ¿Qué has hecho? Dábamos dos pasos
atrás, y nos dirigíamos en la dirección correcta otra vez. Si no tienes un
consultor que compruebe lo que estás haciendo sobre una base regular,
y que te permita retroceder dos pasos cuando vayas en la dirección equi-
vocada, puede ocurrir que tengas que ir hasta diez pasos hacia atrás y
empezar de nuevo.
DK: Sólo aclarar una cosa – ¿Es deber del consultor escribir su do-
cumentación, o no?
GD: No. Las plantillas de documentos fueron de gran ayuda para noso-
tros. No tanto por el contenido, sino porque podíamos ver qué forma
tenían que tener, y qué temas tenía que contener para cumplir con el
261
SEGURO & SIMPLE
estándar. Tomemos el ejemplo de la política de contraseñas; es absoluta-
mente cierto que la plantilla donde se describe la política de contraseñas
no tiene nada que ver con lo que hacemos. Así que hicimos una historia
nueva dentro del análisis de riesgos, y luego también en la descripción
de nuestra regulación de contraseñas, y en ese lugar del documento de-
finimos cómo trabajar con las contraseñas - el texto es probablemente
un 70% diferente de la plantilla. Nos ayudó el hecho de que sabíamos
que teníamos que escribir cómo gestionamos las contraseñas, y que te-
nía que estar en una parte específica de la documentación.
DK: Es decir, ¿Por un lado las plantillas dan una estructura, y por
otro lado dan la flexibilidad de escribir lo que realmente existe en
la empresa?
GD: Así es.
DK: ¿Cuál es el rol del consultor en este caso? Si el consultor no
escribe la documentación, ¿Tiene que estar presente en su em-
presa?
GD: No, no es necesario que esté presente. Siempre hemos querido que el
consultor esté presente, pero no siempre estuvo aquí. Teníamos un mon-
tón de reuniones en línea. Nos encantó conocer el consultor también en
la vida real, pero esto no tiene nada que ver con su trabajo profesional, y
más teniendo en cuenta el fondo cultural de Croacia – nos encanta cono-
cer a una persona en la vida real y tomar un café juntos. En realidad, no
era esencial tenerlo en la oficina, porque fuimos capaces de leer los do-
cumentos en una pantalla también. Por tanto, diría que no es necesario,
- agradable, pero no necesario.
DK: ¿Por qué el certificado ISO 27001 no es todavía tan popular
como el certificado ISO 9001?
GD: Probablemente debido a las necesidades no reconocidas. El certifi-
cado ISO 9001 es algo parecido a un zapato que se adapta a cada pie.
Cada empresa se reconocerá en la ISO 9001, pero por otra parte, ISO
9001 también es mencionado muy a menudo en los medios públicos.
Se utiliza como una herramienta de marketing, como algo muy impor-
tante. Una tercera cosa es, creo yo, que ISO 9001 puede implementarse
mucho más fácil que ISO 27001. Por otra parte, reconocer la ISO 27001
262
Apéndice
es mucho más difícil, no importa que yo piense que cada empresa tenga
información mínima dentro de su casa - todos tenemos un mínimo de
registros contables y una lista de usuarios con sus números de teléfono
– y también son datos que tienen que tener seguridad. Todo el mundo
podría implementarlo. Pero sólo existen empresas raras que necesitan
implementar ISO 27001, como lo hicimos nosotros, y cuando se dan
cuenta que ISO 27001 es mucho más difícil de implementar que ISO
9001, es lógico que sea menos popular.
DK: Y finalmente, ¿Qué 3 cosas recomendaría a empresas de TI
que han comenzado con el certificado ISO 27001? ¿En qué tienen
que prestar atención antes de empezar con la implementación?
GD: Primero tienen que responder a la pregunta ¿Por qué quieren un
certificado ISO 27001?, ¿Lo quieren, o lo necesitan? y si lo necesitan,
¿Están motivados para tenerlo? Esto debe hacerse al principio, dando
ventajas y desventajas. Otra cosa es, si deciden que quieren tenerlo, en-
tonces necesitan un compromiso absoluto de la dirección para la ISO
27001. No deben existir dilemas, ya que durante alguna discusión a me-
nudo existirá un momento en el que decidir cómo asignar los recursos
entre proyectos, para ISO 27001, o para otro proyecto que pueda parecer
ser más importante a primera vista. El beneficio del estándar ISO 27001
no es que ganará más dinero cuando termine el proyecto. Aunque lo
hará a pesar de que no verá beneficios inmediatos. Este proyecto puede
perderse rápidamente en un canal oculto. Si decides que quieres la ISO,
entonces el compromiso de la dirección debe ser fuerte, y debe ser más
fuerte que con otros proyectos que directamente generen ingresos. La
tercera cosa importante, en mi opinión, es prestar atención a los extre-
mos sueltos. Como con cualquier proyecto, con ISO 27001 puede tener
atado un 95% de todo lo que necesita, y luego puede ser suficiente con
los certificadores y el auditor interno, que te harán preguntas estúpidas,
y entonces tendrá que hacer todavía otras 20 cosas, cuando pensaste
que ya habías terminado. Por lo que también tienes que pasar esta meta,
este último 5%, y después todo se pondrá más fácil.
263
15
¡BUENA SUERTE!
Y esto es todo - espero que ahora ISO 27001 no sea tanto misterio
como lo era antes.
Me gusta pensar que ISO 27001 es bastante lógica – una vez que la co-
noce totalmente, puede empezar a darse cuenta de que implementar la
seguridad de la información de otra manera puede ser un error. Todos los
elementos y piezas tienen un sentido perfecto, y puede empezar a pre-
guntarse: ¿Por qué no empecé a trabajar de esta manera mucho antes?
Dejan Kosutic
264
APÉNDICE A – LISTA DE
VERIFICACIÓN DE LA
DOCUMENTACIÓN OBLIGATORIA
DE LA ISO 27001:2013
Número de la
Documentos* cláusula de
ISO 27001:2013
Alcance del SGSI 4.3
Política de seguridad de la información y objetivos 5.2, 6.2
Metodología de análisis y tratamiento de riesgos 6.1.2
Declaración de Aplicabilidad 6.1.3 d)
Plan de Tratamiento de Riesgos 6.1.3 e), 6.2
Informe de Análisis y Tratamiento de riesgos 8.2, 8.3
Definición de roles y responsabilidades de seguridad A.7.1.2, A.13.2.4
Inventario de activos A.8.1.1
Uso aceptable de activos A.8.1.3
Política de control de accesos A.9.1.1
Procedimientos operacionales para la gestión de TI A.12.1.1
Secure system engineering principles A.14.2.5
Política de seguridad de proveedores A.15.1.1
Procedimiento de gestión de incidentes A.16.1.5
Procedimientos de continuidad de negocio A.17.1.2
Requerimientos contractuales, regulatorios, y legales A.18.1.1
265
SEGURO & SIMPLE
Número de la
Registros* cláusula de
ISO 27001:2013
Registros de formación, habilidades, experiencia y
7.2
calificaciones
Seguimiento y resultados de medición 9.1
Programa de auditoría interna 9.2
Resultados de auditorías internas 9.2
Resultados de la Revisión por Dirección 9.3
Resultados de acciones correctivas 10.1
Registros de las actividades de usuario, excepcio-
A.12.4.1, A.12.4.3
nes y eventos de seguridad
Número de la
Documentos cláusula de
ISO 27001:2013
Procedimiento para control de documentos 7.5
Controles para la gestión de registros 7.5
Procedimiento para auditoría interna 9.2
Procedimiento para acciones correctivas 10.1
Política BYOD (Bring Your Own Device = Trae tu
A.6.2.1
propio dispositivo)
Política de dispositivos móviles y teletrabajo A.6.2.1
266
Apéndice
A.8.2.1, A.8.2.2,
Política de clasificación de la información
A.8.2.3
A.9.2.1, A.9.2.2,
Política de claves A.9.2.4, A.9.3.1,
A.9.4.3
Política de eliminación y destrucción A.8.3.2, A.11.2.7
Procedimientos para trabajo en áreas seguras A.11.1.5
Política de pantalla y escritorio limpios A.11.2.9
Política de gestión de cambios A.12.1.2, A.14.2.4
Política de Copias de seguridad A.12.3.1
A.13.2.1, A.13.2.2,
Política de transferencia de información
A.13.2.3
Análisis de impacto en el negocio (BIA) A.17.1.1
Plan de pruebas y verificación A.17.1.3
Plan de mantenimiento y revisión A.17.1.3
Estrategia de continuidad de negocio A.17.2.1
267
SEGURO & SIMPLE
análisis y tratamiento de riesgos, indicando un resumen de todos los
resultados.
268
Apéndice
final de la implementación de su SGSI, y (2) todas las áreas y controles
que no se han cubierto con otros documentos, y que se refieren a todos
los empleados, se cubren con esta política.
269
SEGURO & SIMPLE
Procedimiento para gestión de incidentes. Este es un procedimien-
to importante que define cómo reportar, clasificar y manejar las debili-
dades de seguridad. Este procedimiento define también cómo aprender
de los incidentes de seguridad de la información, lo cual puede ayudar
a prevenir que se vuelvan a materializar. Este procedimiento también
puede invocar al Plan de continuidad de negocio si un incidente causa
una larga interrupción.
270
Apéndice
Una vez que se pone en marcha este método de medición, se debe
realizar la medición en consecuencia. Es importante informar estos re-
sultados periódicamente a las personas que tienen la responsabilidad
de evaluarlos.
271
SEGURO & SIMPLE
Procedimiento para control de documentos. Este es normalmente
un procedimiento independiente, de 2 o 3 páginas de longitud. Si ya
ha implementado algún otro estándar como ISO 9001, ISO 14001, ISO
22301 o similar, puede utilizar el mismo procedimiento para todos es-
tos sistemas de gestión. A veces es mejor escribir este procedimiento
como el primer documento del proyecto.
272
APÉNDICE B – DIAGRAMA DE
IMPLEMENTACIÓN DE LA ISO
27001:2013
273
SEGURO & SIMPLE
274
APÉNDICE C – APLICABILIDAD
DE LA ISO 27001 DIVIDIDO POR
INDUSTRIA
Esta es una lista de las cuestiones más comunes en las que ISO 27001
puede ayudarle. Algunas de estas cuestiones son típicas para una in-
dustria en particular, mientras que otras cuestiones son relevantes para
todas las industrias.
275
SEGURO & SIMPLE
276
Apéndice
277
SEGURO & SIMPLE
278
APÉNDICE D – INFOGRAFÍA:
ISO 27001 (REVISIÓN 2013) –
¿QUÉ HA CAMBIADO?
¿QUÉ HA CAMBIADO?
ISO/IEC 27001 es el estándar internacional líder para la gestión de la
seguridad de la información, publicado por la Organización
Internacional de Normalización. Después de 8 años, la revisión del
2005 fue reemplazada por la revisión ISO/IEC 27001:2013
Alineación
ISO 9001
ISO 14001
ISO 27001
279 ISO 20000
La revisión del 2013 es
compatible con las
Directivas del Anexo SL
(esto está alineado con
SEGURO &1995
SIMPLE 2000 2005 2010 2015
Alineación
ISO 9001
ISO 14001
ISO 27001 ISO 20000
La revisión del 2013 es
compatible con las
Directivas del Anexo SL
(esto está alineado con
ISO 22000 otros estándares de
gestión) ISO 22301
Periodo de transición
Las compañías certificadas contra la revisión
del 2005 tiene que hacer la transición
Las compañías pueden a la revisión del
Revisión antigua certificarse contra la 2013 antes del 25 de
del 2005 revisión del 2005 hasta Septiembre de 2015
el 25 de septiembre de (periodo de 2 años)
2014 (periodo de 1 año)
Comparación
Revisión antigua del 2005 Nueva revisión del 2013
Publicada el 15 de Octubre de 2005 Publicada el 25 de septiembre de 2013
11
secciones en el Anexo A secciones en el Anexo A
14
133
controles en el Anexo A controles en el Anexo A
114
280
del 2013 revisión del 2013 desde el 25 de septiembre del
2013
Comparación
Revisión antigua del 2005 Nueva revisión del 2013
Publicada el 15 de Octubre de 2005 Publicada el 25 de septiembre de 2013
11
secciones en el Anexo A secciones en el Anexo A
14
133
controles en el Anexo A controles en el Anexo A
114
Requisitos
Nuevos requisitos en la Requisitos que ya no están en la
revisión de la ISO 27001:2013 ISO 27001:2013
Similitudes y diferencias
ÁREAS MÁS IMPORTANTES
Mayor
Partes interesadas
Objetivos, monitorización & medición
Alcance del SGSI
Moderado
Similitudes y diferencias
Mayor ÁREAS MÁS IMPORTANTES
Partes interesadas
Objetivos, monitorización & medición
Alcance del SGSI
Moderado
282
APÉNDICE E – MATRIZ
ISO 27001 VS ISO 20000
ISO/IEC
ISO/IEC 20000-1:2011 Explicación
27001:2013
0 Introducción Introducción
Aunque no existen sub-cláusulas en
la introducción de la ISO 20000-1,
ambos estándares establecen en sus
introducciones la necesidad de un
enfoque a procesos para la planifi-
0.1 General 1.1 General cación, el establecimiento, la imple-
mentación, la operación, el manteni-
miento y la mejora, para cumplir con
los requisitos de un sistema de ges-
tión ISO (en este caso para seguridad
de la información y para servicios).
Compatibili-
dad con otras
No existen cláusulas similares en ISO
0.2 normas de
20000-1.
sistema de
gestión
1 Alcance 1 Alcance
Aunque no existen sub-cláusulas en
1.1 General el ámbito de la ISO 27001, ambos
estándares establecen aquí lo que
incluyen: requisitos para la gestión
del sistema, gestión de servicios
(ISO 20000 - 1), y evaluación y trata-
miento de riesgos de seguridad de la
información (ISO 27001).
283
SEGURO & SIMPLE
ISO/IEC
ISO/IEC 20000-1:2011 Explicación
27001:2013
Este requisito es idéntico para
Normativa de Normativa de ambos estándares, excepto las
2 2
referencia referencia referencias específicas para cada
estándar.
Ambos estándares incluyen sus pro-
pios “fundamentos y vocabulario” (ISO
Términos y Términos y
3 3 27000 para ISO 27001 e ISO 20000-1
definiciones definiciones
proporciona sus propias definiciones
para los principales términos).
Establecer y
4.5
Contexto de la mejorar el SGS
4
organización
Procesos de
7
relación
284
Apéndice
ISO/IEC
ISO/IEC 20000-1:2011 Explicación
27001:2013
Determinación
del alcance
del sistema Definir el al- Puede utilizar el mismo documento
4.3 4.5.1
de gestión de cance para definir el alcance de su SGS.
seguridad de
la información
No existe una cláusula en ISO
20000-1 similar a esta cláusula de
ISO 27001, pero las siguientes cláu-
sulas proporcionan algunos detalles
útiles que pueden ayudarle a enten-
der mejor la cláusula 4.4 de la ISO
27001:
285
SEGURO & SIMPLE
ISO/IEC
ISO/IEC 20000-1:2011 Explicación
27001:2013
Los requisitos son los mismos, y la
dirección tiene que tratar ambos
estándares de la misma manera con
Compromiso de
4.1.1 respecto a la implementación de
la dirección
políticas, provisión de recursos, me-
Liderazgo y jora continua, asignación de roles y
5.1 responsabilidades, etc.
compromiso
Política de se-
Este requisito es básicamente la
guridad de la
implementación de un SGSI; así,
información
mediante la realización de esta
6.6.1 a) (comunicación
cláusula de ISO 27001 puede con-
e importancia
seguir cumplir con la sub-cláusula
de la conformi-
6.6.1 a) de ISO 20000-1.
dad)
Los requisitos son casi los mismos,
y en teoría, se podrían cumplir a
través de un único documento. Sin
Política de ges-
4.1.2 embargo, es mejor si las políticas
tión del servicio
están escritas como documentos
separados, en cuyo caso deben ser
5.2 Política compatibles entre sí.
Política de se-
guridad de la Este requisito es básicamente la
información implementación de un SGSI; así,
(definición de mediante la realización de esta
6.6.1
objetivos de cláusula de la ISO 27001 puede
gestión de se- obtener a través de apartado 6.6.1
guridad de la b) de la norma ISO 20000-1.
información)
Autoridad, res- Los requisitos son los mismos, así
4.1.3 ponsabilidad y que los roles, las responsabilidades,
comunicación y las autoridades para ambos están-
Roles, respon- dares pueden ser comunicadas de
5.3 sabilidades y la misma manera. Por ejemplo, un
autoridades responsable, o varios responsables,
en la organiza- Representante deben ser asignados para supervi-
ción 4.1.4 sar actividades de gestión del ser-
de la dirección
vicio / seguridad de información; el
mismo auditor puede realizar audi-
torías del SGS y del SGSI, etc.
286
Apéndice
ISO/IEC
ISO/IEC 20000-1:2011 Explicación
27001:2013
Gobierno de
los procesos No existe una cláusula similar en
4.2
operados por ISO 27001.
terceros
Responsabili-
4.1 dad de la direc-
ción
Planificar el
4.5.2
SGS (Planificar)
Mantener y
4.5.5 mejorar el SGS
(Actuar)
6 Planificación
Política de
seguridad de Este requisito de ISO 20000-1 in-
la información cluye la planificación de un SGSI;
(definición así, mediante la realización de
6.6.1 c)
del enfoque todos los elementos de la cláusula
and d)
del análisis de 6 de la ISO 27001 puede conseguir
riesgos, y reali- cumplir con las sub-cláusulas 6.6.1
zación del aná- c) y d).
lisis de riesgos)
Acciones
Abordar riesgos puede ser conside-
para tratar
rado como una acción preventiva,
6.1.1 los riesgos y 4.5.5.1 General
pero no se puede fusionar en el
oportunidades
mismo documento.
– general
Análisis de
riesgos de se- 4.5.2 j) Enfoque que
6.1.2 debe adoptarse
guridad de la
información 4.5.3 d) para la gestión El enfoque general puede ser el
de riesgos y el mismo, pero orientado a los riesgos
Tratamiento 6.6.1 c) criterio para la del servicio.
de riesgos de aceptación de
6.1.3
seguridad de 6.6.2 riesgos
la información
287
SEGURO & SIMPLE
ISO/IEC
ISO/IEC 20000-1:2011 Explicación
27001:2013
Objetivos de
seguridad de Los objetivos de ambos estándares,
la información 4.1.1 Compromiso de y los planes para su realización,
6.2
y planificación 6.6.1 b) la dirección pueden colocarse en un solo docu-
para su conse- mento.
cución
Requisitos
generales del
4 sistema de
gestión del
servicio
Planificación
7 Soporte
de servicios
5.2
nuevos o modi-
ficados
Procesos de
6 provisión del
servicio
La organización debe determinar y
proporcionar los recursos necesa-
rios para la ejecución del proceso,
Provisión de para cumplir con los requisitos de
7.1 Recursos 4.4.1
recursos ambos estándares. Puede utilizar
los mismos procesos para cumplir
con los requisitos, como con un
proceso de compra.
7.2 Competencia ISO 27001 divide la competencia y
la concienciación, y enfatiza más la
Recursos huma- concienciación en ISO 20000-1. Sin
Conciencia- 4.4.2
7.3 nos embargo, puede utilizar un plan de
ción formación para ambos estándares
para reducir registros
Comunicación
5.2 c) con partes inte- La comunicación a las partes in-
7.4 Comunicación resadas teresadas debe establecerse para
Informes del ambos estándares.
6.2
servicio
288
Apéndice
ISO/IEC
ISO/IEC 20000-1:2011 Explicación
27001:2013
Se puede aplicar el mismo procedi-
Información Gestión de la miento para cumplir con los requisi-
7.5 4.3
documentada documentación tos de ambos estándares, y estable-
cer un sistema de documentación.
Implementar y
4.5.3 operar el SGS
(Hacer)
Gestión de
continuidad y
8 Operación 6.3
disponibilidad
del servicio
Gestión de la
6.6 seguridad de la
información
Los indicadores clave del desempe-
Gestión de los
Planificación y ño (KPI) se pueden establecer para
procesos de
8.1 control opera- 4.5.3 e) los procesos de ambos estándares,
gestión del ser-
cional y se pueden describir en el mismo
vicio
documento.
Identificación,
evaluación y El enfoque general puede ser el
4.5.3 d) gestión de los mismo, pero orientado a los riesgos
riesgos sobre del servicio.
los servicios
Análisis de Aunque el primer paso de este
riesgos de se- tema específico de ISO 20000-1
8.2
guridad de la es en el campo de la continuidad
información Requisitos de
del negocio, el paso del análisis
continuidad y
6.3.1 de riesgos puede utilizar el mismo
disponibilidad
enfoque general utilizado por el
del servicio
análisis de riesgos de seguridad de
la información, pero orientado a los
riesgos del servicio.
289
SEGURO & SIMPLE
ISO/IEC
ISO/IEC 20000-1:2011 Explicación
27001:2013
Identificación,
evaluación y El enfoque general puede ser el
4.5.3 d) gestión de los mismo, pero orientado a los riesgos
riesgos sobre del servicio.
los servicios
Aunque el primer paso de este
tema específico de ISO 20000-1
es en el campo de la continuidad
Planes de con-
Tratamiento del negocio, el paso del análisis
tinuidad y dis-
de los riesgos 6.3.2 de riesgos puede utilizar el mismo
ponibilidad del
8.3 de seguridad enfoque general utilizado por el
servicio
de la informa- análisis de riesgos de seguridad de
ción la información, pero orientado a los
riesgos del servicio
Controles de
6.6.2 seguridad de la
información Estas dos cláusulas de ISO 20000-1
pueden completarse exactamente
Cambios e con los elementos de la cláusula 8
incidencias de de la ISO 27001.
6.6.3
seguridad de la
información
Monitorizar y
4.5.4 revisar el SGS
(Verificar)
Gestión de
Evaluación del continuidad y
9 6.3
desempeño disponibilidad
del servicio
Gestión de la
6.6 seguridad de la
información
No existen cláusulas similares en
4.5.4.1 General
ISO 27001.
290
Apéndice
ISO/IEC
ISO/IEC 20000-1:2011 Explicación
27001:2013
La organización debe demostrar
la eficacia del sistema a través de
la monitorización de los paráme-
tros que la organización identificó
como importantes para la realiza-
ción del proceso. Aunque están
brevemente descritos en ISO
4.5.4.1 General 20000-1, estos requisitos se de-
tallan mejor en ISO 27001, y los
requisitos de ambos estándares
se pueden cumplir con un mis-
mo documento, por ejemplo, un
Cuadro de Mando o una matriz
de indicadores clave de desem-
peño.
Puede utilizar el mismo documen-
Seguimiento, to para determinar la frecuencia y
medición, los métodos de prueba para eva-
9.1 luar la viabilidad de las medidas y
análisis y eva-
luación los acuerdos para la continuidad
del servicio, y para el estableci-
miento de las medidas correctivas
necesarias.
291
SEGURO & SIMPLE
ISO/IEC
ISO/IEC 20000-1:2011 Explicación
27001:2013
El mismo procedimiento para la au-
Auditoría inter-
4.5.4.2 ditoría interna puede ser aplicado
na
para ambos estándares.
Auditoría in- Este requisito de ISO 20000-1 es si-
9.2 Política de se- milar a la auditoría interna necesaria
terna
guridad de la in- para un SGSI; por tanto, cumpliendo
6.6.1 e)
formación (au- la cláusula 9.2 de ISO 27001 puede
ditoría interna) conseguir cumplir con la sub-cláusu-
la 6.6.1 e) de ISO 20000-1.
Aunque el requisito es el mismo,
los elementos de entrada de la revi-
sión por dirección son diferentes. Se
Revisión por la
4.5.4.3 puede utilizar el mismo documento
dirección
para ambos estándares, pero debe
contener elementos de entrada se-
Revisión por la parados para ambos estándares.
9.3
dirección
Política de se- Este requisito de ISO 20000-1 incluye
guridad de la la revisión de los resultados de las au-
información ditorías de SGSI; por tanto, cumpliendo
6.6.1 f)
(revisión de los con la cláusula 9.3 de ISO 27001, pue-
resultados de de conseguir cumplir con la sub-cláu-
auditoría) sula 6.6.1 f) de la ISO 20000-1.
Mantener y
10 Mejora 4.5.5 mejorar el SGS
(Actuar)
Los requisitos son casi los mismos
No conformi- (ISO 27001 no requiere explícita-
10.1 dad y acciones 4.5.5.1 General mente acciones preventivas), y en
correctivas ambos casos se puede utilizar el
mismo procedimiento.
Como cada sistema de gestión, el
énfasis está en la mejora continua,
Mejora conti- Gestión de me-
10.2 4.5.5.2 que se lleva a cabo a través de un
nua joras
procedimiento común para las ac-
ciones correctivas.
Procesos de No existen cláusulas similares en
8
resolución ISO 27001.
Procesos de No existen cláusulas similares en
9
control ISO 27001.
292
APÉNDICE F – PLANTILLA
PROPUESTA PROYECTO PARA LA
IMPLEMENTACIÓN DE LA ISO 27001
[logo de la organización]
[nombre de la organización]
Código:
Versión:
Fecha de la versión:
Creado por:
Aprobado por:
Nivel de confidencialidad:
293
SEGURO & SIMPLE
Historial de modificaciones
294
Apéndice
1. Propósito
El propósito de este documento es proponer el proyecto de implemen-
tación de ISO 27001 y/o ISO 22301 a la alta dirección.
● ventaja de marketing
● optimización de procesos
295
SEGURO & SIMPLE
2) Auditoría interna
4) Certificación
5. Responsabilidades
El proyecto será liderado por [nombre], y los miembros del equipo de
proyecto serán [listar nombres].
296
Apéndice
6. Recursos
Los recursos necesarios para implementar el proyecto incluyen los re-
cursos humanos, financieros y técnicos.
● C
antidad: [definir la cantidad de dinero necesaria para finalizar el
proyecto]
297
SEGURO & SIMPLE
7. Entregables
Durante el proyecto de implementación del SGSI, se escribirán los si-
guientes documentos (algunos de los cuales contienen apéndices que
no se indican expresamente aquí):
●P
rocedimiento para el control de documentos y registros –
procedimiento de descripción de reglas básicas para la redacción,
aprobación, distribución y actualización de documentos y registros
●P
rocedimiento para la identificación de requerimientos –
procedimiento para la identificación de obligaciones legales, re-
glamentarias y contractuales
●A
lcance del Sistema de Gestión de Seguridad de la Informa-
ción – un documento para definir de manera precisa las ubicacio-
nes, la tecnología, los activos, etc. que forman parte del alcance
●M
etodología de análisis y tratamiento de riesgos – describe
la metodología para la gestión de riesgos de la información
●T
abla de análisis de riesgos – la tabla es el resultado de la eva-
luación de los activos, amenazas y vulnerabilidades
●D
eclaración de Aplicabilidad – un documento que determina
los objetivos y la aplicabilidad de cada control según el Anexo A
del estándar ISO 27001
298
●P
rocedimiento para la auditoría interna – define cómo se se-
leccionan los auditores, cómo se escriben los programas de audi-
toría, cómo se llevan a cabo las auditorías y cómo se informan los
resultados de la auditoría
●P
rocedimiento para las acciones correctivas – describe el pro-
ceso de implementación de las acciones correctivas y preventivas
299
APÉNDICE G – LISTA DE
VERIFICACIÓN PARA LA
IMPLEMENTACIÓN DE LA ISO 27001
Fases de Reali-
Tarea
implementación zado
Obtener el apoyo Investigar qué beneficios de la ISO
de la dirección 27001 serían aplicables a su empresa
Presentar los beneficios a la direc-
ción y conseguir su compromiso
Conseguir la aprobación for-
mal para el proyecto
300
Apéndice
301
SEGURO & SIMPLE
302
APÉNDICE H – PLAN DE PROYECTO
PARA LA IMPLEMENTACIÓN DE LA
ISO 27001
[logo de la organización]
[nombre de la organización]
PLAN DE PRYECTO
para la implementación del Sistema de Gestión
de Seguridad de la Información
Código:
Versión:
Fecha de la versión:
Creado por:
Aprobado por:
Nivel de confidenciali-
dad:
303
SEGURO & SIMPLE
Historial de modificaciones
Fecha Ver- Creado por Descripción de la
sión modificación
01/10/2013 0.1 Dejan Kosutic Esquema del documento
básico
304
Apéndice
1. Propósito, alcance y usuarios
El propósito del Plan de proyecto es definir claramente el objetivo del
proyecto de implementación del Sistema de Gestión de Seguridad de la
Información (SGSI), los documentos que se escribirán, los plazos, y los
roles y responsabilidades en el proyecto.
2. Documentos de referencia
● Estándar ISO/IEC 27001
● Estándar BS 25999-2
305
SEGURO & SIMPLE
3.2. Resultados del proyecto
307
SEGURO & SIMPLE
3.3. Organización del proyecto
El rol del equipo del proyecto es ayudar en diversos aspectos durante la im-
plementación del proyecto, para llevar a cabo las tareas especificadas del
proyecto, y para tomar decisiones sobre cuestiones que requieren un enfo-
que multidisciplinario. El equipo del proyecto se reúne antes de completar
la versión final de los documentos de la sección 2 de este Plan de proyecto,
y en los casos en los que el responsable de proyecto lo estime necesario.
Tabla de participantes en el proyecto
308
Apéndice
3.4. Principales riesgos del proyecto
Las medidas para reducir los riesgos mencionados, son las siguientes:
Se creará una carpeta compartida, en la red local, que incluirá todos los
documentos producidos durante el proyecto. Todos los miembros del
equipo del proyecto tendrán acceso a estos documentos. Solamente
el responsable del proyecto [y los miembros del equipo de proyecto]
estará autorizado para modificar y borrar archivos.
309
SEGURO & SIMPLE
4. Gestión de registros guardados en base a este documento
310
APÉNDICE I – LISTA DE PREGUNTAS
PARA HACERLE A SU CONSULTOR
ISO 27001
Preguntas generales:
311
SEGURO & SIMPLE
7) ¿Tiene algún conflicto de intereses? [Si su compañía está vendien-
do algún tipo de herramienta o software, ¿Están utilizando este
trabajo de consultoría para entender mejor cómo vender?]
1)
¿Cuántos proyectos de implementación de ISO 27001 ha
completado con éxito en los últimos dos años?
2)
¿Cuántos de sus clientes solicitaron certificarse, y cuántos se
certificaron en ISO 27001 exitósamente (en su primer intento)?
3) ¿Cuál ha sido el proyecto ISO 27001 más complejo que ha tenido?
¿Podría describirlo brevemente? [Esta pregunta tiene como obje-
tivo la experiencia del consultor, y lo que usted (con su compleji-
dad) puede esperar de él.]
4) ¿ Cuál es su trayectoria educativa en el estándar ISO 27001? Es decir,
¿Qué certificados tiene? [Los cursos (por ejemplo el curso de Auditor
Jefe, o el curso de Implementador Jefe) dan excelentes conocimientos].
5) ¿Imparte cursos de ISO 27001? En caso afirmativo, ¿Cuántos cur-
sos ha realizado y para cuanta gente aproximadamente? [General-
mente los consultores que imparten cursos tienen una excelente
experiencia respecto a problemas del mundo real, y son capaces de
transferir sus conocimientos a otras personas - en este caso – usted.]
6) ¿Ha publicado alguna vez artículos de experto? ¿Cuántos y dónde?
7) ¿Trabajó como un auditor de certificación? [Esta experiencia le
ayudará a entender lo que solicitan las entidades certificadoras en
la certificación.]
8) ¿Puede mostrarle ejemplos sobre documentación de análisis de
riesgos que él haya creado para algunos de sus clientes? [Esto es
útil por varias razones. Usted puede juzgar: (1) lo profesional que
parece esta documentación, (2) si sería apropiada para su empresa;
y (3) si el consultor muestra abiertamente los datos de otros clientes,
lo cual le puede servir para saber si este consultor encaja en su em-
presa (él probablemente haga lo mismo con su documentación).]
312
Apéndice
Preguntas específicas sobre la implementación:
3.
¿Cuánto es el tiempo habitual para la implementación del
proyecto? ¿De qué depende el tiempo? [Puede comparar su es-
timación con esta herramienta Herramienta de la duración de la
implementación]
Precio:
313
APÉNDICE J – LISTA DE PREGUNTAS
PARA HACERLE A UNA ENTIDAD
CERTIFICADORA DE ISO 27001
2.
¿Qué reputación tiene la entidad certificadora? [¿La entidad
certificadora tiene una buena reputación? ¿Qué dicen otras
empresas, y cuáles son las recomendaciones de otros clientes?]
314
Apéndice
clientes tiene la entidad? ¿Le puede proporcionar una lista de ref-
erencia? [Averigüe si la entidad certificadora y los auditores tienen
experiencia con empresas de su tamaño. El tener experiencias de
auditoría con compañías más grandes, pueden ser difícil de apli-
car a empresas que son más pequeñas y simples.]
315
SEGURO & SIMPLE
13. ¿Qué otros servicios se incluyen en el precio? [Si bien es cierto
que las entidades certificadoras no pueden hacer consultoría a
sus clientes, pueden incluir otros servicios beneficiosos para ust-
ed.]
17. ¿Cuáles son los problemas más comunes que ha visto la entidad
certificadora en una auditoría de certificación inicial? [Esto
puede ayudar a centrar la atención, durante la implementación,
para tener un proceso robusto donde otros tuvieron problemas.]
316
APÉNDICE K – INFOGRAFÍA:
EL CEREBRO DE UN AUDITOR
ISO – QUÉ ESPERAR DE UNA
AUDITORÍA DE CERTIFICACIÓN
AUDITOR DE
EL CEREBRO DE UN CERTIFICACIÓN
QUÉ ESPERAR DE UNA
ISO
9001, 14001, 18001, 20000, 22000, o 27001 puede ser útil, en lugar de
AUDITORÍA DE CERTIFICACIÓN estresante
HECHO
El auditor debe evaluar si: (1) usted tiene toda la documentación obligatoria,
(2) si sus actividades y documentación cumplen con el estándar,
y (3) si sus actividades cumplen con su propia documentación
TRUCO
No escriba políticas y procedimientos que no necesite, y que no vaya a cumplir; una vez que publique un
documento, asegúrese de que todo el mundo se lo toma en serio
AUDITOR?
HECHO
HECHO
- personas, y se molestarán si intenta
toría en su compañía sólo contra un estándar impedir realizar su trabajo
(por ejemplo ISO 27001). A pesar de esto,
tenga en cuenta que la mayoría de auditores 317
TRUCO
son expertos en varios estándares
ISO (por ejemplo, ISO 9001, ISO 14001, No evite preguntas (ellos sabrán que está
ISO 22301, ISO 20000, ISO 22000, etc) ocultando algo)
y (3) si sus actividades cumplen con su propia documentación
TRUCO
No escriba políticas y procedimientos que no necesite, y que no vaya a cumplir; una vez que publique un
SEGURO documento,
& SIMPLE asegúrese de que todo el mundo se lo toma en serio
AUDITOR?
HECHO
HECHO
- personas, y se molestarán si intenta
toría en su compañía sólo contra un estándar impedir realizar su trabajo
(por ejemplo ISO 27001). A pesar de esto,
tenga en cuenta que la mayoría de auditores TRUCO
son expertos en varios estándares
ISO (por ejemplo, ISO 9001, ISO 14001, No evite preguntas (ellos sabrán que está
ISO 22301, ISO 20000, ISO 22000, etc) ocultando algo)
TRUCO No mienta (cuando ellos detecten que está
mintiendo, perderán completamente la
Utilice sus conocimientos y su experiencia
de auditor para obtener una imagen más
amplia de cuáles son los estándares que No pierda su tiempo (no los arrastre a un
pueden ser adecuados para usted, es decir, lugar donde no quieren ir, o no pierda mucho
cómo podría mejorar aún más las opera-
ciones de su empresa rápidamente)
BÚSQUEDA
CONOCIMIENTO MOLESTIA
FELICIDAD
AUTORIZACIÓN
PROHIBIDO
EXPECTATIVAS
CERTIFICACIÓN?
HECHO
Durante la auditoría, el auditor de
BÚSQUEDA
CONOCIMIENTO MOLESTIA
FELICIDAD
AUTORIZACIÓN
PROHIBIDO
EXPECTATIVAS
CERTIFICACIÓN?
HECHO
Durante la auditoría, el auditor de
HECHO
Advisera
Courtesy of Advisera.com. Copyright ©2015 EPPS Services Ltd.
320
APÉNDICE L – ¿CUÁL ES EL TRABAJO
DEL RESPONSABLE DE SEGURIDAD
(CHIEF INFORMATION SECURITY
OFFICER -CISO) EN ISO 27001?
Cumplimiento:
Documentación:
321
SEGURO & SIMPLE
Gestión de riesgos:
322
Apéndice
● Proponer el presupuesto y otros recursos necesarios para la protec-
ción de la información
Mejoras:
● Gestión de activos:
Terceras partes:
323
SEGURO & SIMPLE
Comunicación:
● Definir qué tipo de canales de comunicación son aceptables, y cuá-
les no
● Preparar el equipamiento de comunicación que se utilizará en caso
de emergencia / desastre
Gestión de incidentes:
● Recibir información sobre los incidentes de seguridad
● Coordinar la respuesta ante incidentes de seguridad
● Preparar evidencias para acciones legales en caso de incidentes
● Analizar los incidentes para evitar que se vuelvan a repetir
Cuestiones técnicas:
● Aprobar los métodos adecuados para la protección de los dis-
positivos móviles, las redes de computadoras, y otros canales de
comunicación
● Proponer métodos de autenticación, Política de contraseñas, mé-
todos de cifrado, etc.
● Proponer reglas para el teletrabajo seguro
● Definir características de seguridad para los servicios de Internet
● Definir principios para el desarrollo seguro de sistemas de información
● Revisar logs de actividad de los usuarios para identificar compor-
tamientos sospechosos
324
APÉNDICE M – CATÁLOGO DE
AMENAZAS Y VULNERABILIDADES
Amenazas
Aquí tiene el listado de amenazas – no es una lista definitiva, debe
adaptarse a cada organización:
325
SEGURO & SIMPLE
● Daños ocasionados por un relámpago
● Desastre (causado por una persona)
● Desastre (natural)
● Destrucción de registros
● Divulgación de contraseñas
● Divulgación de información
● Encubrir la identidad de un usuario
● Errores de mantenimiento
● Errores de software
● Errores de usuario
● Espionaje
● Espionaje industrial
● Falsificación de registros
● Fallo de los enlaces de comunicaciones
● Fraude
● Fuego
● Fuga de información
● Huelga
● Incumplimiento de la legislación
● Incumplimiento de relaciones contractuales
● Ingeniería social
● Instalación de software no autorizado
326
Apéndice
● Interrupción de los procesos de negocio
● Inundación
● Mal funcionamiento de equipamiento
● Mal uso de las herramientas de auditoría
● Mal uso de los sistemas de información
● Malversación
● Pérdida de electricidad
● Pérdida de los servicios de soporte
● Robo
● Uso no autorizado de material con copyright
● Uso no autorizado de software
● Vandalismo
Vulnerabilidades
Aquí tiene el listado de vulnerabilidades – no es una lista definitiva,
debe adaptarse a cada organización:
● Ausencia de control sobre los datos de entrada y salida
● Ausencia de documentación interna
● Ausencia de política de control de accesos
● Ausencia de política de escritorio despejado y pantalla limpia
● Ausencia de política para el uso de la criptografía
● Ausencia de procedimiento para la eliminación de derechos cuan-
do el empleado abandona la compañía
327
SEGURO & SIMPLE
● Ausencia de protección para el equipamiento móvil
● Ausencia de redundancia
● Ausencia de sistemas para la identificación y la autenticación
● Ausencia de validación de datos procesados
● Ausencia o realización de una auditoría interna pobre
● Conexiones de redes públicas no protegidas
● Copia simple
● Demasiado poder en una persona
● Descontrol de las descargas de Internet
● Descontrol del uso de los sistemas de información
● Descontrol en las copias de datos
● Destrucción de dispositivos de almacenamiento sin borrar datos
● Empleados no motivados
● Equipamiento sensible a cambios de voltaje
● Equipamiento sensible a la humedad y contaminantes
● Equipamiento sensible a la temperatura
● Especificación incompleta para el desarrollo de software
● Inadecuada capacitación de los empleados
● Inadecuada clasificación de la información
● Inadecuada concienciación de seguridad
● Inadecuada gestión de cambios
● Inadecuada gestión de contraseñas
328
Apéndice
● Inadecuada gestión de la capacidad
● Inadecuada gestión de la red
● Inadecuada o irregulares copias de seguridad
● Inadecuada protección de claves criptográficas
● Inadecuada protección física
● Inadecuada segregación de instalaciones de producción y pruebas
● Inadecuada segregación de responsabilidades
● Inadecuada seguridad del cableado
● Inadecuada supervisión de empleados
● Inadecuada supervisión de proveedores
● Inadecuada sustitución de equipamiento obsoleto
● Inadecuado control del acceso físico
● Insuficientes pruebas de software
● Interfaz de usuario complicada
● La contraseña por defecto no se ha modificado
● Los derechos de usuario no son revisados regularmente
● Mala selección de los datos de prueba
● Mantenimiento inadecuado
● Software sin documentar
● Ubicación vulnerable a inundaciones
329
GLOSARIO
Activo – todo lo que es valioso para la empresa. Podría ser por ejemplo,
hardware, software, datos, pero también personas, infraestructura, etc.
330
Glosario
331
BIBLIOGRAFÍA
332
Bibliografía
(PII) in public clouds acting as PII processors
PCI DSS version 3.2, Payment Card Industry Security Standards Council,
2016
http://training.advisera.com/course/iso-27001-foundations-course/ ISO
27001 Foundations Course, Advisera.com
333
ÍNDICE
acciones correctivas 11, 40, 69, 177, alta dirección 9, 10, 12, 20, 23, 29, 39,
184, 187, 188, 189, 190, 191, 192, 44, 46, 47, 50, 52, 53, 61, 79, 82,
198, 203, 209, 212, 266, 271, 272, 83, 84, 85, 86, 88, 89, 90, 95, 96,
292, 299, 301, 302, 307, 315, 322, 98, 101, 107, 124, 129, 137, 138,
323 164, 179, 182, 186, 187, 189, 224,
acreditación 12, 194, 195, 196, 197, 245, 247, 251, 276, 295, 305, 322,
200, 314 323
actividades 32, 51, 53, 67, 68, 81, 83, amenaza 49, 111, 112, 152, 331
84, 94, 97, 98, 99, 100, 131, 133, amenazas y vulnerabilidades 14, 104,
135, 136, 138, 139, 151, 162, 171, 106, 110, 111, 142, 225, 232, 298,
177, 182, 189, 191, 199, 204, 212, 306, 325
249, 250, 266, 271, 275, 286, 295, ANAB 314
305, 309, 310, 321, 322, 323, 330, análisis de impacto en el negocio 324
331 análisis de riesgos 10, 13, 104, 105, 109,
activos 11, 28, 41, 46, 104, 106, 110, 112, 115, 117, 118, 120, 124, 125,
111, 113, 115, 129, 142, 146, 153, 130, 134, 141, 142, 143, 147, 151,
154, 156, 159, 162, 168, 204, 225, 154, 157, 188, 223, 235, 251, 252,
226, 227, 229, 232, 265, 268, 298, 253, 258, 262, 268, 269, 275, 287,
306, 321, 323, 325, 330 289, 290, 298, 301, 306, 309, 312,
administrador de sistemas 28, 118, 127, 322, 323, 325
138, 151, 156 Anexo A 11, 38, 40, 116, 119, 143, 144,
administrador de TI 21, 54, 93, 251 145, 147, 148, 149, 150, 157, 163,
administradores de sistemas 51, 161, 171, 176, 230, 235, 266, 298, 306
162 Anexo SL 38, 233
agencias gubernamentales 8, 93, 238, auditor de certificación 12, 78, 104,
276 119, 120, 189, 194, 199, 202, 203,
agencias gubernamentales estadoun- 208, 212, 213, 216, 218, 250, 254,
idenses 238 259, 312
alcance 10, 12, 14, 32, 33, 39, 57, 78, auditoría de certificación 13, 70, 125,
79, 80, 81, 85, 90, 182, 205, 240, 194, 195, 202, 203, 205, 208, 214,
241, 256, 260, 284, 285, 298, 301, 259, 302, 316, 317
305, 306, 313 auditoría de recertificación 203
alcance del SGSI 10, 14, 33, 39, 78, 79, Auditoría Fase 1 201
80, 85, 90, 205, 241 Auditoría Fase 2 201
334
Índice
auditoría integrada 200, 201 219, 220, 227, 230, 231, 240, 246,
auditoría interna 14, 40, 177, 180, 181, 247, 248, 249, 251, 253, 254, 256,
182, 183, 184, 185, 186, 189, 190, 277, 278, 311, 312, 314, 315, 316
191, 192, 198, 199, 209, 212, 234, COBIT 69, 237, 333
266, 271, 272, 292, 299, 301, 302, competencias 39, 88, 95, 101
306 compromiso 34, 50, 53, 55, 56, 82, 84,
auditoría interna integrada 181 94, 143, 245, 246, 263, 286, 300
auditoría principal 183, 184, 185 comunicación 23, 39, 57, 62, 77, 85, 98,
auditor interno 180, 181, 182, 184, 185, 99, 100, 123, 157, 164, 222, 286,
192, 199, 214, 263, 271 288, 311, 324, 331
Auditor Jefe 12, 57, 63, 197, 214, 215, concienciación 51, 67, 97, 98, 99, 196,
216, 217, 312 197, 204, 243, 248, 249, 288, 302,
banco 17, 19, 77, 107, 200, 246, 247, 322
254 consecuencias 97, 105, 106, 107, 113,
bancos 17, 57, 180, 193, 246, 247 114, 137, 171, 190, 225, 330
beneficios 18, 20, 33, 37, 44, 45, 46, 47, consultor 21, 47, 55, 56, 57, 58, 63, 67,
48, 49, 50, 51, 53, 83, 88, 98, 136, 69, 109, 181, 199, 213, 217, 218,
157, 244, 252, 253, 258, 263, 300, 220, 247, 248, 250, 261, 262, 309,
322 311, 312, 313, 341
British Standards Institution 26 consultoría 16, 21, 57, 58, 70, 168, 206,
BS 7799 26, 37, 222 219, 220, 278, 297, 311, 312, 316
BS 25999-2 305 controles 20, 28, 30, 32, 35, 38, 39, 40,
BSI 26, 37, 196 41, 42, 59, 64, 66, 67, 69, 86, 95,
Bureau Veritas 196 104, 105, 113, 115, 116, 119, 120,
cálculo del riesgo 107, 108 121, 122, 123, 124, 125, 127, 128,
capacitación 31, 94, 96, 152, 196, 214, 129, 130, 131, 133, 136, 139, 140,
243, 244, 247, 251, 254, 255, 302, 142, 143, 144, 145, 146, 147, 148,
322 149, 150, 151, 152, 153, 154, 156,
capacitación y concienciación 302, 322 157, 158, 159, 161, 162, 163, 164,
catálogos 110, 116 166, 167, 168, 169, 170, 171, 172,
certificado 27, 33, 36, 45, 79, 193, 194, 173, 174, 175, 176, 177, 178, 188,
195, 197, 200, 202, 203, 210, 211, 191, 198, 203, 204, 212, 221, 222,
212, 217, 227, 251, 256, 257, 261, 223, 224, 226, 227, 228, 229, 230,
262, 263, 276, 277 231, 232, 235, 237, 238, 242, 249,
China 35 266, 268, 269, 270, 272, 296, 298,
ciclo PDCA 39, 40, 59, 60, 64, 177, 224 299, 301, 302, 306, 307, 309
ciclo Plan-Do-Check-Act (PDCA) 60 controles técnicos 42, 66, 122, 123, 124,
clientes 27, 28, 30, 36, 45, 57, 58, 70, 127, 136, 159, 177
77, 87, 92, 107, 133, 179, 185, copias de seguridad 29, 84, 93, 111,
194, 204, 209, 210, 213, 217, 218, 112, 114, 116, 123, 127, 129, 131,
335
SEGURO & SIMPLE
146, 150, 162, 173, 183, 207, 208, entidad certificadora 67, 194, 195, 196,
210, 229, 330 200, 201, 202, 208, 211, 212, 214,
coste 45, 66, 67, 94, 116, 117, 201, 276, 216, 241, 251, 277, 302, 314, 315,
297, 313 316
costes 36, 44, 64, 66, 67, 188, 189, 276, entrevistas 55, 96, 109, 110, 202, 204,
295, 297, 313 205, 240, 313
cuestiones internas y externas 39, 74, equipo de proyecto 61, 62, 79, 88, 92,
79, 90 96, 98, 107, 117, 138, 243, 244,
cumplimiento 18, 27, 33, 36, 45, 47, 77, 245, 246, 295, 296, 300, 305, 309
103, 129, 151, 174, 175, 176, 187, escala 58, 104, 106, 107, 113
205, 238, 252, 269, 284 estrategia 46, 70, 74, 75, 88, 107, 116,
cuota de mercado 44 246
curso 63, 116, 186, 197, 214, 215, 216, estrategia de negocio 46, 74, 107
307, 312 Europa occidental 35
Curso de Auditor Jefe 57, 215 Excel 105, 111, 118, 171
Curso de Implementador Jefe 215 gestión del proyecto 62, 68, 305
cursos 8, 16, 22, 24, 57, 63, 67, 96, 98, gestión de riesgos 30, 34, 35, 36, 74, 85,
196, 197, 214, 215, 219, 243, 312, 103, 104, 107, 108, 118, 122, 125,
316, 322 144, 222, 223, 224, 225, 232, 235,
Cybersecurity Framework 237, 238 242, 277, 287, 298, 301, 306
Declaración de Aplicabilidad 38, 59, herramienta de análisis de riesgos 112,
119, 120, 121, 122, 125, 129, 149, 115
203, 265, 268, 301, 306, 321 implementación 3, 5, 16, 20, 21, 22, 23,
departamento de recursos humanos 96, 24, 25, 28, 31, 32, 33, 38, 39, 40, 45,
210, 270 52, 53, 54, 55, 56, 59, 60, 62, 63, 64,
departamento de TI 32, 62, 79, 245 65, 66, 70, 72, 75, 82, 83, 89, 96,
Departamento de ventas 50 102, 104, 115, 118, 119, 121, 122,
derechos de propiedad intelectual 175 123, 124, 125, 127, 135, 137, 144,
director de cumplimiento 47 157, 159, 163, 172, 176, 192, 198,
director financiero 47, 66 204, 205, 212, 214, 215, 218, 221,
director general 28, 245, 246, 250, 251, 222, 228, 235, 236, 242, 245, 246,
253, 254, 255 248, 250, 251, 255, 258, 260, 261,
disminución de costes 44 263, 264, 266, 267, 268, 269, 272,
dispositivo 29, 127, 266 273, 276, 277, 283, 286, 293, 295,
DNV 196 296, 298, 299, 300, 301, 303, 305,
documentos externos 92 306, 307, 308, 309, 310, 311, 312,
documentos internos 92 313, 316, 322, 323, 325, 341
ejecutivos 36, 68, 82, 83, 84, 186, 188, India 35, 242
192, 239 información documentada 71, 91, 131,
Enterprise Risk Management 225 140, 175
336
Índice
Informe de auditoría interna 182 315, 332
infraestructura de TI 115, 139, 161, 173, ISO 17011 196
270 ISO 17021 196
instituciones financieras 8, 36, 45, 193, ISO 17024 197
256 ISO 20000 42, 233, 238, 283, 284, 285,
Inversión 25, 48 286, 287, 288, 289, 290, 291, 292,
IRCA 197 311
ISO 3, 4, 5, 6, 8, 16, 17, 18, 19, 20, 21, ISO 22301 4, 8, 38, 91, 172, 174, 176,
22, 23, 24, 25, 26, 27, 28, 29, 30, 186, 195, 200, 233, 235, 236, 237,
31, 32, 33, 35, 36, 37, 38, 39, 40, 270, 272, 295, 297, 305, 332, 333
41, 42, 44, 45, 46, 47, 50, 51, 52, ISO 27000 19, 39, 284
53, 54, 57, 58, 59, 60, 62, 63, 64, ISO 27002 144, 145, 176, 222, 223, 224,
65, 66, 68, 69, 70, 71, 73, 74, 75, 226, 227, 228, 229
79, 80, 82, 83, 84, 87, 89, 91, 92, ISO 27004 74
94, 95, 98, 102, 103, 104, 105, ISO 27005 105, 221, 222, 224, 225, 232
106, 116, 119, 120, 124, 127, 130, ISO 27006 216
131, 134, 136, 137, 139, 144, 145, ISO 27017 222, 226, 227, 228
148, 149, 152, 155, 156, 158, 160, ISO 27018 227, 228, 229, 230, 231
162, 163, 164, 165, 167, 169, 171, ISO 31000 74, 224, 225, 333
172, 174, 175, 176, 177, 178, 179, ISO 45001 233
181, 182, 183, 184, 185, 186, 188, ITIL 171, 237, 238, 333
189, 190, 191, 193, 194, 195, 196, jefe de departamento 21, 66
197, 198, 199, 200, 202, 203, 204, jefes de departamento 187, 244
205, 206, 210, 211, 213, 214, 215, jefes de departamentos 107
216, 217, 218, 219, 220, 221, 222, legislación 18, 36, 119, 134, 174, 175,
223, 224, 225, 226, 227, 228, 229, 182, 204, 228, 275
230, 231, 232, 233, 234, 235, 236, leyes y regulaciones 36, 147, 185, 238
237, 238, 239, 240, 241, 242, 243, línea de responsables 50, 53
244, 245, 246, 248, 250, 251, 252, manufacturación 136, 248
254, 255, 256, 257, 258, 259, 260, marco de gestión 20
261, 262, 263, 264, 265, 266, 267, medición 38, 40, 69, 86, 87, 88, 103,
268, 269, 270, 272, 273, 275, 276, 142, 177, 178, 179, 180, 198, 222,
277, 278, 279, 283, 284, 285, 286, 254, 266, 270, 271, 291, 322
287, 288, 289, 290, 291, 292, 293, mejora 40, 94, 103, 177, 188, 191, 192,
295, 298, 299, 300, 303, 305, 306, 283, 286, 292, 315
311, 312, 313, 314, 315, 316, 321, mejora continua 40, 94, 103, 177, 188,
325, 331, 332, 333, 341 191, 192, 286, 292
ISO 9001 27, 38, 40, 42, 80, 91, 119, metodología de análisis de riesgos 105, 301
181, 186, 189, 195, 200, 233, 234, Metodología de análisis de riesgos 104,
235, 248, 256, 262, 263, 272, 311, 142
337
SEGURO & SIMPLE
midiendo 20, 83 Peter Drucker 86
minutas de reunión 187, 204 Plan de proyecto 61, 124, 295, 296, 303,
mitos 26, 29, 31, 97, 105 305, 308
monitorizando 163 Plan de recuperación ante desastres
NIST SP800 237 331
no conformidad 184, 190, 206, 207, plan de tratamiento de riesgos 95, 122,
208, 209, 210, 211, 254, 330 124, 127, 188
no conformidades 40, 180, 182, 183, planes de continuidad de negocio 270,
184, 188, 189, 190, 202, 206, 208, 309
209, 210, 250, 251, 323 planes de recuperación 270, 324
no conformidad mayor 210, 211, 254 plantillas de documentos 8, 25, 67, 261,
nube 25, 33, 35, 46, 70, 78, 81, 141, 300
142, 169, 186, 222, 226, 227, 228, Política de clasificación 149, 267, 321
230, 240, 241, 257, 258, 277 Política de control de accesos 100, 146,
objetivos 20, 38, 39, 60, 73, 74, 75, 82, 204, 265, 269, 321
83, 84, 85, 86, 87, 88, 90, 94, 99, Política de Control de Accesos 148
100, 102, 103, 119, 128, 129, 142, Política de seguridad de la información
144, 151, 178, 179, 186, 187, 188, 81, 86, 88, 90, 97, 99, 149, 168,
189, 192, 222, 223, 251, 253, 254, 179, 180, 265, 267, 286, 287, 292,
255, 260, 265, 267, 286, 288, 295, 321
298, 301, 302, 306, 322 presupuesto 56, 57, 65, 66, 72, 94, 104,
objetivos de seguridad de la información 116, 117, 122, 123, 124, 186, 245,
39, 74, 75, 83, 84, 85, 87, 88, 90, 246, 247, 323
94, 129, 187, 301, 322 prevención 49, 158, 276
objetivos estratégicos 20, 87, 128, 129, probabilidad 46, 104, 105, 106, 107,
178, 179, 186 109, 113, 114, 115, 118, 142, 225,
Organización Internacional de Normal- 331
ización 26, 38, 194, 195 Procedimiento de acciones correctivas
Organización Internacional de Normal- 184, 191
ización (ISO) 26 Procedimiento de Control Documental
partes interesadas 30, 38, 39, 41, 74, 93
75, 76, 77, 78, 84, 85, 90, 100, Procedimiento para la identificación de
102, 129, 150, 185, 187, 246, 247, requisitos 77
284, 288, 300, 321, 323 profesional de seguridad de la infor-
PAS 99 234 mación 21, 44, 341
patrocinador 61, 63, 64, 66, 79, 88, 117, Programa de auditoría interna 182, 266,
300, 308, 309 271
PCI DSS 237, 256, 333 protección de datos personales 45, 147,
PECB 197 151, 175, 228, 321
338
Índice
proveedores y socios 45, 199 RIS 48, 49, 53
RABQSA 197 roles y responsabilidades 39, 46, 52, 88,
recursos 20, 24, 28, 29, 32, 39, 42, 54, 89, 90, 151, 223, 265, 268, 276,
55, 65, 74, 77, 82, 94, 95, 96, 98, 286, 305
99, 101, 111, 117, 122, 123, 138, salvaguarda 116, 330
139, 140, 145, 146, 147, 152, 153, salvaguardas 20, 30, 31, 32, 35, 40, 42,
154, 158, 160, 161, 172, 188, 210, 48, 115, 117, 125, 126, 252, 275,
226, 229, 234, 237, 243, 253, 254, 278, 322, 323
255, 258, 263, 270, 286, 288, 297, satisfacción del cliente 44
299, 300, 307, 308, 309, 322, 323 seguir los cambios 92
recursos financieros 20, 94, 123, 297 Seguridad de la información 28, 150,
registro 87, 96, 142, 146, 161, 163, 171, 331
188, 192, 194, 195, 203, 209, 229, serie ISO27k 221
255, 271, 272, 310 SGC 91, 248
registros 32, 33, 39, 75, 76, 91, 92, 93, SGS 196, 284, 285, 286, 287, 289, 290,
96, 131, 136, 142, 162, 174, 175, 292
184, 185, 189, 202, 203, 204, 205, SGSI 20, 21, 22, 33, 39, 41, 42, 54, 71,
208, 209, 210, 229, 250, 254, 263, 73, 74, 76, 78, 79, 80, 81, 82, 83,
265, 266, 267, 270, 271, 272, 277, 84, 85, 86, 87, 88, 89, 90, 91, 93,
288, 298, 301, 302, 306, 310, 315, 94, 95, 96, 97, 98, 101, 102, 103,
323 119, 127, 128, 129, 131, 132, 136,
Reino Unido 26, 35, 196, 248, 314 137, 151, 171, 174, 175, 176, 177,
requisitos contractuales 86, 119, 174, 178, 183, 184, 185, 186, 188, 189,
175 190, 191, 192, 202, 203, 204, 205,
requisitos legales y regulatorios 275 217, 222, 232, 234, 240, 241, 242,
responsabilidades de la alta dirección 248, 250, 251, 254, 265, 267, 268,
39, 82 269, 284, 286, 287, 292, 298, 299,
responsable de proyecto 51, 56, 61, 62, 301, 302, 305, 306, 307, 315, 316
63, 66, 72, 242, 250, 308, 309 sistema de extinción de incendios 48,
Retorno de la Inversión en Seguridad 48 111, 331
revisión 2005 102 sistema de gestión de continuidad de
revisión 2013 224, 279 negocio 172, 173
revisión por dirección 40, 83, 123, 141, Sistema de Gestión de Seguridad de la
177, 179, 186, 187, 188, 192, 198, Información 41, 43, 86, 183, 195,
212, 234, 251, 292, 302 298, 303, 305, 306
Revisión por dirección 83, 186, 234, 296 sistema de gestión documental 92, 93
riesgo operacional 35, 277 sistema de gestión integrado 234
riesgo residual 117, 118, 232 sitio de recuperación ante desastres 29,
riesgos no aceptables 116, 125, 251 31, 331
339
SEGURO & SIMPLE
sitios de recuperación ante desastres 147, 188, 198, 221, 222, 225, 265,
116 267, 268, 269, 283, 296, 298, 299,
talleres 109, 113, 215 301, 306, 307, 321, 341
teléfono 67, 100, 171, 219, 263 ubicación alternativa 331
tratamiento de riesgos 30, 32, 38, 39, UKAS 196, 314
95, 104, 108, 114, 115, 116, 118, visitas de seguimiento 202, 211, 316
119, 122, 123, 124, 125, 127, 141, vulnerabilidad 111, 161
340
SEGURO & SIMPLE: UNA GUÍA PARA
LA PEQUEÑA EMPRESA PARA LA
IMPLEMENTACIÓN DE LA ISO 27001
CON MEDIOS PROPIOS
Escrito en español y evitando la jerga técnica de los frikis, Seguro & Sim-
ple, está escrito para personas normales, con un lenguaje llano, simple.
Si usted es un profesional de seguridad de la información, o es nuevo
en este campo, este el único libro que necesitará.
341
342