78

Perspectiva Empresarial

Procesos y ventajas en la obtencin de una certificacin del SGSI

LAS PAUTAS A SEGUIR PARA ELABORAR UN SGSI SE ESCOGERN SIGUIENDO LAS RECOMENDACIONES QUE UNA INSTITUCIN MARQUE A TRAVS DE UNA NORMA O ESTNDAR CONCRETO

Arsenio Tortajada Gallego

CONSULTOR SENIOR DE SEGURIDAD DE LA INFORMACIN CISA. ISO 27001 LEAD AUDITOR TBSecurity

Rafael Estevan de Quesada

RESPONSABLE DE SEGURIDAD CISA. SEI-CERT/CC AUTHORIZED INSTRUCTOR TBSecurity

Sistema de Gestin de la Seguridad de la Informacin (SGSI), que se establece a partir de un anlisis del riesgo al que se encuentran sometidos los datos en poder de la entidad. El propsito de un SGSI es, por tanto, garantizar que los riesgos de la seguridad de la informacin de una organizacin sean conocidos, asumidos, gestionados y minimizados.

l aumento de intercambio de informacin en la actualidad ha trado consigo una mayor

Y esto debe realizarse de forma

preocupacin por la seguridad de los datos que circulan. Para evitar posibles incidentes, las organizaciones han establecido Sistemas de Gestin de Seguridad de la Informacin (SGSI), que se rigen segn criterios recomendados por normas nacionales o internacionales, entre ellas el estndar ISO/ IEC 27001: 2005. Para obtener una certificacin, el proceso implica la superacin de una auditora, que no es otra cosa que la comprobacin del correcto funcionamiento del SGSI concebido para la organizacin. En este artculo se detalla el proceso de auditora y se describen las principales ventajas para la obtencin de una certificacin.

En este artculo se detalla el proceso de auditora y se describen las principales ventajas para la obtencin de una certificacin
Con el objetivo de reducir los incidentes de seguridad, las organizaciones tienen implantadas una serie de medidas con la idea de que, si ocurren, las consecuencias que provoquen sean mnimas. En el caso de la informacin y su tratamiento, estas medidas de seguridad y los mecanismos para gestionarla conforman lo que se denomina

documentada, estructurada, eficiente y adaptada a los cambios. Las pautas a seguir para elaborar un SGSI se escogern siguiendo las recomendaciones que una institucin marque a travs de una norma o estndar concreto. Despus de la verificacin de la correcta implantacin de los indicadores de este modelo, un organismo certificador elegido ser quien certifique que el SGSI se implant y se opera con arreglo al estndar correspondiente. En el mbito de los SGSI, el estndar internacional ISO/ IEC 27001: 2005 es el que goza de mayor prestigio. Aunque la certificacin de esta norma no es obligatoria, existen mltiples ventajas que aconsejan disponer de esta distincin:

n 26

octubre 2008

79

Perspectiva Empresarial
Ventajas externas: - Aumenta la credibilidad y confianza de clientes y administracin. Como hemos sealado, la certificacin no es obligatoria, aunque en determinados sectores suele ser un punto que facilita el intercambio de informacin (sobre todo aqullos en los que la seguridad de la informacin constituya un punto crtico). Es importante la mayor confianza que se le da al cliente sobre las condiciones en que el contratista tratar la informacin que se le va a facilitar - Facilitar el intercambio y acceso a mercados externos. El reconocimiento mundial de la norma ISO/IEC 27001 (por ser publicada por el organismo de estandarizacin mundial ISO, International Organization for Standardization: www.iso.org) contribuye a abrir puertas en el extranjero. Si la auditora est realizada por una entidad de certificacin acreditada internacionalmente, el certificado que emita tendr tambin un reconocimiento internacional. - Simplificar las evaluaciones sobre los productos o servicios de la entidad. - Ser un elemento diferenciador de la competencia. - Facilitar la compra al cliente, el cual cuenta con ms informacin sobre el servicio que ofrecemos. Ventajas internas: - Proporcionar confianza a las personas de la organizacin. Desde el momento en que los procesos estn definidos y documentados, el personal se ver capacitado para desempear sus tareas de forma ms segura, con ms conviccin y menos posibilidad de fallo. Lo que trae consigo, a la vez, una mayor motivacin de la plantilla. - Reducir costes. Manteniendo la lnea del punto anterior, los trabajadores llevarn a cabo sus funciones de forma ms gil, siguiendo las pautas del proceso concreto para cada ocasin. Por otro lado, la consideracin previa de los riesgos que Existen una serie de organizaciones en el mercado que estn acreditadas para otorgar certificaciones (BSI, DNV Certification B.V, Bureau Veritas, SGS, Applus+), las cuales, a su vez, se someten al control de las entidades de acreditacin, que validarn si son aptas o no para esta funcin (en Espaa esta tarea la desempea el organismo pblico ENAC, Entidad Nacional de Acreditacin y Certificacin, que sigue las polticas y recomendaciones pueden afectar a la organizacin provoca que se evite, o como mnimo que se reduzca, el impacto de las consecuencias de un eventual incidente. - Mejora de los procesos y, por ende, del producto o servicio. establecidas por la Unin Europea. Adems, el ENAC establece Acuerdos de Reconocimiento Mutuo establecidos internacionalmente entre organismos de acreditacin de todo el mundo.). Las organizaciones de certificacin verificarn el ajuste del SGSI implantado, segn los requerimientos de la norma, a travs de las auditoras, cuyos pasos a seguir, segn se refleja en la norma 'UNE-ISO/ IEC 17021:2006 Requisitos para los organismos que realizan auditora y certificacin de Sistemas de Gestin', son: 1. ETAPA 1 a. Solicitud y revisin de la solicitud. Trmite administrativo que culmina en la apertura de un expediente por parte de la organizacin de certificacin y en la preparacin de documentacin sobre SGSI por parte

Los costes a pagar a la entidad certificadora encargada de expedir la certificacin se fijan en funcin del tiempo dedicado a la auditora

Proceso de certificacin de SGSI

de la empresa auditada. b. Auditora documental. El equipo auditor revisa la documentacin que forma parte del SGSI. Como mnimo, se deber presentar: la poltica de seguridad de la organizacin; el alcance de la certificacin y el anlisis de riesgos de la organizacin (el auditor que prestar especial atencin a este apartado- determinar si cubre todo el alcance definido por la empresa y si es aceptable en funcin de los activos y la naturaleza de la organizacin). Tambin ser imprescindible aportar

n 26

octubre 2008

80

Perspectiva Empresarial
documentacin sobre la seleccin de controles, que deber estar de acuerdo con la declaracin de aplicabilidad, as como la revisin de la documentacin de los controles seleccionados. Se concertar una visita de auditora previa, en la que el auditor visitar las dependencias, completar el anlisis de la documentacin, comprobar en trminos generales la implantacin del SGSI y, finalmente, fijar la fecha de la auditora final. 2. ETAPA 2 a. Auditora in situ. sta comportar una nueva visita a las instalaciones y una prueba del cumplimiento del funcionamiento del SGSI. El propsito de esta etapa es evaluar la implementacin, incluida la eficacia, del SGSI mediante la revisin de evidencias que demuestren la conformidad con la norma ISO/ IEC 27001, con especial hincapi en lo relativo al compromiso de la direccin, la adecuacin del SGSI a los objetivos de negocio, la continuidad de negocio, y la revisin interna del funcionamiento del SGSI. En caso de que el auditor detecte no conformidades, pedir a la organizacin auditada que exponga una serie de acciones correctoras, o bien detendr el proceso de certificacin y propondr un nuevo planteamiento del SGSI para un posterior requerimiento de la auditora, en caso de desviaciones muy graves. Si, por el contrario, el auditor no detecta no conformidades, el proceso continuar y pasar a la fase siguiente. Estas acciones son ejecutadas tanto al finalizarse la etapa 1 como al final de la etapa 2. A partir del anlisis de la auditora final in situ y de la documentacin recogida, el auditor redactar un informe final. b. Evaluacin. Un comit evaluador -procedente de la misma entidad certificadora- ser quien valore el caso basndose en el informe final elaborado por el auditor. Es en esta parte del proceso en la que se decidir la conveniencia de otorgar la certificacin Los costes a pagar a la entidad certificadora encargada de expedir la certificacin se fijan en funcin del tiempo dedicado a la auditora. Es la norma ISO/IEC 27006: 2007 quien establece el nmero de jornadas aproximadas designadas, que se calcularn en funcin de las dimensiones de la empresa (volumen de trabajadores, nmero de sucursales), as como de la complejidad del sistema a evaluar. Se debern tener en cuenta tambin los gastos derivados de todo el proceso de preparacin para someterse con xito a la auditora: desde el tiempo invertido por a la organizacin auditada. Una vez se ha obtenido una resolucin positiva, se entregar el certificado y se entrar en un ciclo de revisin de la certificacin: de forma anual se realizar una auditora parcial (seleccionando controles concretos). Esta certificacin estar vigente durante tres aos. En el caso de que se encuentren anomalas importantes en cualquiera de las etapas de la auditora, no se otorgar la certificacin, y la organizacin auditada deber replantear su SGSI y someterlo a anlisis en una auditora posterior. los trabajadores asignados a desarrollar el planteamiento del propio SGSI y su correspondiente documentacin, hasta los costes originados por la implantacin de medidas de seguridad (alarmas, software, cursos de formacin). Aunque son mltiples las organizaciones que deciden emprender este proyecto valindose de sus recursos internos, la complejidad del proceso sugiere una preparacin a conciencia, lo que en muchas ocasiones implica la contratacin del servicio de especialistas en la materia. Por su experiencia, su conocimiento especfico y las garantas de xito que ofrecen, recurrir a empresas externas para mejorar los procesos de seguridad y adaptarlos al cumplimiento de normas internacionales, se convierte en una opcin ms que indicada.

La complejidad del proceso sugiere una preparacin a conciencia, lo que en muchas ocasiones implica la contratacin del servicio de especialistas en la materia
Minimizar gastos: el asesoramiento para la obtencin de certificaciones

ISO/ IEC 27001, la destacada entre varios estndares

La definicin ms exhaustiva de Sistema de Gestin de la Seguridad de la Informacin (SGSI) est descrita en los estndares internacionales publicados por la International Organization for Standardization (ISO), ISO/IEC 27001 e ISO/IEC 27002. El primero de ellos, fue aprobado en octubre de 2005 (su versin en castellano, UNE-ISO/ IEC 27001: 2007, fue publicada el ao pasado). Existen otros estndares que regulan y establecen las caractersticas de un SGSI, adems de la ISO/ IEC 27001. Uno de ellos es el SOGP, "Information Security Forum's Standard of Good Practice, considerado ms bien un cdigo de buenas prcticas y que est elaborado por el ISF, Information Security Forum. Information Security Management Maturity Model -conocida como ISMCubed o ISM3- es otra forma de SGSI. ISM3 est basado en estndares como ITIL, ISO/ IEC 20000, ISO 9001, CMM, ISO/ IEC 27001, e incorpora informacin general de conceptos de seguridad.

n 26

octubre 2008