ISO-27001 y las PyMEs

(por Alejandro Corletti: acorletti@ncs-spain.com) ASPECTOS TRATADOS EN ESTAS LNEAS

2. 3.

1. Claves para una PyME. El nicho de mercado principal de ISO-27001 son las PyMEs. Metodologa de implantacin y certificacin en las PyMEs.

Este artculo va a presentar una visin concreta y realista de la situacin de las PyMEs Espaolas en cuanto a ISO-27001. Se trata de vislumbrar lo que se viene para anticipar un poco lo que a las PyMEs casi les vendr impuesto. Esto no es una novedad, con ISO 9000 ya sucedi, la diferencia tal vez sea que este nuevo estndar est creciendo ms vertiginosamente y a su vez toda PyMEs que desee seguir compitiendo en este Cybermercado necesitar cada vez ms abrir/compartir sus SSII, deber acceder y ser accedido a su informacin de Stock, facturacin, pedidos, clientes, productos, precios, listados, nmina, etc..... y para ello le exigirn un cierto nivel de seguridad de los mismos. Este nivel, la mejor forma de demostrarlo es a travs de una certificacin reconocida mundialmente, y en esto, la calve la tiene ISO-27001. Desde NCS, hemos querido vivir esta realidad en carne propia, para poder conocer en detalle todos sus aspectos, por eso empezamos a analizar este nuevo estndar desde hace casi dos aos (acompaando a esta revista desde que naci, con las primeras publicaciones en ISO 27001) y en julio de este ao obtuvimos la certificacin. Nuestro mbito a certificar fue el ms amplio que se puede proponer una PyME: La totalidad de los Sistemas de Informacin, este era el ltimo eslabn que nos faltaba para poder ser verdaderos referentes en ISO-27001 orientado claramente dentro del marco de las PyMEs, conociendo el detalle de todo el proceso, su problemtica, sus beneficios, ventajas y desventajas (de lo que hablaremos en otra ocasin). Hoy podemos decir que sabemos del tema, y en este artculo trataremos de reflejar nuestra experiencia. 1. Claves para una PyME. Vamos a empezar un poco al revs de la estrategia comn de un artculo. Ms all del desarrollo terico, deseo dejar claro que a nuestro juicio, existen cuarto CLAVES para una PyME que se plantea ISO-27001 (primera cuestin que tal vez no sea as en una gran empresa): Orientar la Seguridad con sus procesos de negocio. Gestionar su seguridad (no solo medidas tcnicas) Obtener una validacin slida sobre su situacin en LOPD y LSSI. Entrar en el proceso de Lobby que se est gestando.

Desarrollemos brevemente cada uno de ellos: a. Orientar la Seguridad con sus procesos de negocio: El primer paso para la implementacin de ISO-27001, es el anlisis de riesgo (AR) (hasta podramos discutir si es previo o no a la determinacin del mbito a certificar, pero no vale la pena hacerlo ahora....). Esta actividad que est muy de moda hoy, puede hacerse siguiendo cualquier metodologa, siempre y cuando demuestre coherencia. El resultado

final de la misma, ser a travs del anlisis de activos, impacto, salvaguardas, etc, llegar a determinar los niveles de riesgo (fundamentalmente residuales) al que cada activo quedar expuesto, con la intencin de trabajar de aqu en ms sobre los mismos, en un ciclo continuo (Plan-Do-Check-Act). Hemos visto mucho de esto en la via del Seor y estamos convencidos, que para una PyMEs lo fundamental, es que en el resultado final del mismo se vea claramente que lo principal para esta PyME es comenzar todo el trabajo por aquellos activos que dan de comer a la empresa, es decir los procesos primarios de negocio. Sinceramente, no nos sirve de mucho reconocer que la pgina web posee un alto riesgo, si esta empresa no opera a travs de ella, es importante, pero no fundamental. Si se han asociado eficientemente los procesos de Negocio con los activos fundamentales, entonces ahora se puede pensar la seguridad de los mismos como una cuestin ya no de gasto, sino de beneficio para esta PyME. Cada una de las acciones estar orientada a optimizar y garantizar el correcto funcionamiento de cada uno de ellos. Desde la contratacin de Si se han asociado eficientemente personal, los cacuerdos con terceros, la adquisicin los procesos de Negocio con los de hardware y software, la segmentacin de redes, activos fundamentales, entonces las medidas de seguridad fsica, hasta la ahora se puede pensar la seguridad preparacin/prevencin y tratamiento de incidentes, de los mismos como una cuestin las conformidades legales, etc. Cada uno de estos ya no de gasto, sino de beneficio temas estar centrado en su eficiente adecuacin para esta PyME. para el proceso de negocio. Conclusin: el resultado final del AR, debe ser un claro reflejo de lo prioritario que es, para esta empresa en particular, cada activo relacionado con sus procesos de negocio (sino, ya empezamos mal....). Luego se optimizar cada uno de ellos. b. Gestionar su seguridad (no solo medidas tcnicas): El holismo enfatiza la importancia del todo, el cual, es ms grande que la suma de las partes y da importancia a la interdependencia de estas. Holismo, eso es gestionar la seguridad. Nuestra experiencia, es que la seguridad hasta ahora no deja de ser un conjunto de partes, conformadas por mayor o menor cantidad de medidas tcnicas, segn la empresa. ISO-27001, rene la totalidad de ellas y al integrarlas a travs de un Sistema de Gestin de la Seguridad de la Informacin (SGSI) y llevado como un ciclo continuo (PDCA) genera holismo, un resultado superior a la suma de sus partes. Esto no es una mera hiptesis, es el resultado que ofrecen los puntos 4 al 8 de ISO-27001. Hasta ISO-17799 (Actual ISO-27002), la seguridad era solamente una serie de 133 controles tcnicos y nada ms. La diferencia (Fundamental), entre su predecesora 17799 y la actual 27001, es que a travs de esos Se est demostrando que nica forma de nuevos apartados, se genera un verdadero Sistema de la Gestin consensuado y llevado a la prctica mundialmente, interpretar la seguridad, es pues se est demostrando que es la nica forma de como un todo: Holismo interpretar la seguridad, como un todo = Holismo. Lo importante de esto para una PyME es que, es ms grande que la suma de sus partes, y a travs de estos puntos (4 al 8), no deja nada librado al azar, garantizando y homogeneizando el propio sistema con el de otras empresas, independientemente de la magnitud de las mismas. c. Obtener una validacin slida sobre su situacin en LOPD y LSSI:

Para todas las PyMEs que tengan la incertidumbre de Qu hacer con estos aspectos legales: Por fin lleg ISO-27001..... Es interesante analizar este aspecto. Tanto en Europa como en EEUU, se estn dando elementos de juicio que avalan este hecho. A mediados del pasado mes de julio, se public en la revista Computer Weekly un artculo muy interesante de directivos de Microsoft, expresaban textualmente que ISO-27001, puede ser el puente de ISO-27001, puede ser el unin entre las orillas de la seguridad y las regulaciones puente de unin entre las legales. En el caso de este Pas, se refiere ms a orillas de la seguridad y Sarbanes-Oxley e HIPAA. Pero en el caso concreto de las regulaciones legales Espaa, ya hubo tambin algunos antecedentes concretos de inspecciones de la Agencia Protectora de Datos a empresas certificadas en ISO-27001 en los cuales, al tomar conocimiento de la certificacin, los responsables de esta agencia la consideraron como un trabajo superior an al solo hecho de la legalidad con la LOPD, pues evidentemente haban encarado un desafo mucho ms grande, que inclua como parte de l, los aspectos relacionados con la proteccin de datos, y no hicieron ningn tipo de observaciones. Estas consideraciones no pueden dejar dudas, pues el ltimo grupo de controles de ISO27001, se refiere a Marco legal y buenas prcticas, y su no cumplimiento es motivo de No Conformidad Mayor, lo que ocasiona la no certificacin. Es decir, el recibir la certificacin ISO-27001, implica y avala, que los auditores correspondientes, han realizado una evaluacin de las conformidades legales de la empresa y dieron el visto bueno.......Se podra presentar una hipottica situacin, en la cual una inspeccin de la Agencia de Proteccin de Datos o cualquier organismo oficial, ponga en duda lo controlado por la Autoridad Certificadora..... humm... que incertidumbre..... Quin se animar a bombardear este puente primero? d. Entrar en el proceso de Lobby que se est gestando: Uno de los principales motores que estn llevando al incremento de certificaciones ISO 27001 est siendo la aparicin en contratos, de sugerencias al proveedor respecto a estar certificado en esta norma. Cada vez ms contratos, estipulan ya que el proveedor apropiado debera tener la certificacin en ISO-27001. Nuevamente no es de extraarse, pues ya sucedi con otros estndares y es lgico que as suceda, pues estamos hablando de empresas que han decidido invertir en mejorar y garantizar sus SSII y otras que no. Para no pecar de inocente, en este mbito tan sanamente competitivo, es muy lgico pensar que algunas empresas que ya tienen la certificacin ISO 27001 harn lobby a favor de incluirlo como requisito en las ofertas de los clientes, obstaculizando a cualquier rival que no la tenga (no se porqu, me suena conocido este discurso......). La certificacin de la seguridad puede ser una oportunidad de negocio ms que un coste.

Por tanto y como nueva motivacin, la certificacin de la seguridad puede ser una oportunidad de negocio ms que un coste. Lo que no se puede pensar es obtener la certificacin, por este slo hecho, y muchsimo menos, hacerlo contra reloj pues sera inabordable. 2. El nicho de mercado principal de ISO-27001 son las PyMEs.

Como la mayora de los estndares, este tambin nace como una respuesta del mercado ante requerimientos concretos de seguridad. En definitiva, cualquiera de estas normas, lo que busca es homogeneizar las buenas prcticas que se comienzan a poner en marcha. Por eso todo proceso de estandarizacin de ISO, nace recolectando la opinin de las empresas del mercado que desean formar parte, proponiendo un primer borrador, y en base a las objeciones, comentarios tcnicos, editoriales, etc. el borrador va madurando hasta llegar al nivel de estndar. El tema vena fcil para las grandes empresas mientras fue ISO-17799. En definitiva solo era cuestin de implementar muchas medidas tcnicas que se ajusten a los controles, pero al producirse el cambio a ISO 27001 (la parte certificable de la familia 27000) cuya diferencia de fondo no es trivial, podramos afirmar categricamente que el nicho de mercado de esta norma cambi radicalmente. La magnitud e implicaciones de un verdadero SGSI y un PDCA es tan considerable, que una gran empresa lo tiene muy cuesta arriba, y a los hechos me remito: No existe ninguna gran empresa que haya podido certificar el 100% de sus sistemas de informacin. Todas han empezado por acotar su mbito de certificacin, para avanzar paso a paso e ir creciendo hasta ver a dnde llegan. Es natural, pues desde la lnea de partida es difcil ponerse de acuerdo, pues un anlisis de riesgo que pueda identificar TODOS los SSII que afectan sus procesos de negocio, para una gran empresa es imposible (insisto, me refiero a TODOS Comentario: al solicitar la certificacin ISOllegando al mximo nivel de detalle que 27001, se debe especificar un mbito para la permita concatenarse con la medicin de misma, este mbito deja fuera todo lo que uno Por impacto, las salvaguardas, y cuantificando el no desee cubrir por el certificado. riesgo con valores concretos). Si no se puede ejemplo, se puede solicitar la certificacin partir de una base slida, las inconsistencias para el CPD central de la empresa, para el se suman y se propagan, llegando a presentar proceso de control de stock, de ventas, para la serias brechas, para lo cual el mejor camino plataforma de transmisin de datos WAN, es acotar la tarea, con un buen cimiento, es para la infraestructura informtica de tal decir un mbito reducido, y luego seguir provincia, etc. Es decir, el certificado ISO27001, solo aplica al mbito en el cual se avanzando ladrillo a ladrillo. acot la certificacin, cosa que en el Logo que Esta realidad, podemos afirmarla pues exhibe la empresa no figura, pero s en el justamente para corroborar este hecho, fue certificado (recomendamos especialmente, que en NCS nos propusimos la meta de prestar atencin a este hecho) certificar el 100% de nuestros sistemas y comprobar que esto es factible para una PyME, viviendo muy de cerca la dificultad que esto presenta a grandes empresas. Una PyME hoy, tiene el camino mucho ms fcil, pues hasta la totalidad de su mbito puede quedar bajo el control de un SGSI por la magnitud y sencillez que representa frente a una grande. Como acabamos de expresar entonces, esta norma no pretende llegar nicamente a grandes empresas, sino que casi lo contrario, deber necesariamente ser aplicado en las PyMEs que deseen trabajar como socias de negocio de cualquier otra grande o pequea empresa. Todo indica que desde varios organismos oficiales estn apuntando a este hecho, a travs de proyectos, subvenciones, gestiones, etc. 3. Metodologa de implantacin y certificacin en las PyMEs. El principal objetivo de este artculo es ofrecer un claro curso de accin para las PyMEs. No est orientado a las grandes empresas, pues cualquiera de ellas est en condiciones de contratar una consultora externa y desentenderse del tema (....grave error), asumiendo tambin los grandes costes que ello implica. Por esta razn, es que toda PyME debe hacer una fuerte diferencia entre la Necesidad de certificar y el Negocio de la Certificacin, que es la

finalidad ltima de todo este texto pues, bien entendidas estas posturas es lo que les permitir implementar a las PyMEs la mayora de los puntos de este estndar, con gran independencia del Negocio de la Certificacin que se gesta alrededor de todo estndar certificable.

Para serles sinceros, si se poseen los conocimientos y capacidades necesarias, afirmara que se puede Dibujar una certificacin ISO 27001 (y lo que acabo de afirmar, es muy, pero muy atrevido.). Lo que tambin afirmo y con mucha ms contundencia, es que ser imposible de mantener esta mentira. Lo que se trata de reflejar en el cuadro anterior es la decisin que deber adoptar todo responsable de sistemas en los prximos aos, es decir:

Lo hago como se debe?

Busco slo el sello?

Evidentemente, necesito certificar ISO 27001 en el corto plazo:

Tal vez parezca cruel, o poco serio, pero es la cruda realidad (a veces la realidad supera ampliamente a la ficcin, y en este tipo de determinaciones puedo asegurarlo con mucha certeza) . Se puede encarar esta ardua tarea, con la intencin de aprovechar el esfuerzo o simplemente, para cumplir con un requisito que permita a la empresa seguir fielmente las exigencias del mercado y hacer el mnimo esfuerzo posible, tratando de (fra y crudamente) engaar al auditor..(Lo que recuerden que, tambin afirmo y con mucha ms contundencia, es que ser imposible de mantener esta mentira). Puedo garantizar que ser humanamente imposible volver a demostrar, ao tras ao, que el SGSI sigue rodando (la mentira tiene patas cortas). Es decir, no merece la pena tratar de encarar una futura certificacin ISO 27001 si no se tiene como objetivo fundamental y sincero: Implementar un VERDADERO SGSI Esto se desmorona muy rpidamente si se parti de pilares dbiles, engaosos o falsos, tratando meramente de obtener el sello de ISO 27001 como nica meta. Por lo tanto, primer consejo (si se puede llamar as): No se autoengaen, encaren esta tarea con la sana intencin de aprovechar al mximo cada esfuerzo que esta les requiera. Una vez comprendido esto, creo necesario avanzar un poco ms an, pues esto afecta de lleno a las PyMEs y tal vez no tanto a una gran empresa. Todo responsable de implementar ISO 27001 en una PyME, en mayor o menor medida, S o S debe MOJARSE !! Una gran empresa, tal vez pueda darse el lujo de externalizar todo el proceso, el mantenimiento y las acciones a futuro.una PyME seguro que no. A lo sumo, deber contratar una consultora que le analice, disee, planifique e implemente inicialmente desde el vamos, todo el SGSI, pero es casi seguro que no podr subcontratar el mantenimiento que un SGSI requiere, esta tarea implica poseer un claro entendimiento de lo que se hizo y el funcionamiento de todo el

SGSI, por lo tanto, en cualquier caso alguien, responsable de la PyME deber intervenir en profundidad. Esto no quiere decir que le implicar abandonar el resto de sus tareas, pero se debe ser consciente, que algo de su tiempo le deber dadicar. El responsable de seguridad de la PyME deber Mojarse desde el inicio. Puede hacerlo, embebindose del Estndar, e ir preparando poco a poco su empresa con un mnimo apoyo de algn especialista. Este curso de accin, requiere un mayor esfuerzo de los administradores de informtica de la empresa (y de su responsable), pero es el que mayor experiencia les aportar y, los resultados, si se ponen ganas, sern muy buenos y dejarn claros los pasos a futuro para mantener el SGSI funcionando perfectamente. La segunda opcin que puede tener el responsable de seguridad de una PyME, es contratar una consultora para que lo gue paso a paso en todo el proceso, ojo !!, no estoy diciendo que haga todo el trabajo, sino que vaya guiando a la empresa en cmo hacerlo, pues si lo hace la consultora, se cae en la mentira anteriormente mencionada, pues una vez que se retire el consultor, el SGSI ser muy duro de mantener. Por lo tanto lo ms importante a reflexionar sobre esta segunda opcin es que no es lavarse las manos, sino trabajar codo a codo con el consultor, para aprovechar al mximo la experiencia de ste en cada paso, y ser capaz de tener un claro conocimiento de todo lo realizado, para mantenerlo en funcionamiento, se reitera que de esto se trata: un ciclo de vida continuo. En cualquiera de los dos casos, es perfectamente posible preparar una PyME para luego solicitar a los auditores acreditados la certificacin ISO 27001.