You are on page 1of 3

Aplicación de normas ISO/IEC 27001, Caso de Estudio Techgate PLC

Edgar Columba, Publio Estupiñan, Luis Soria
Maestría en Gestión de las Comunicaciones y Tecnologías de la Información, Escuela Politécnica Nacional
25/04/13

Abstract.- El presente artículo, analiza el caso de
estudio de la empresa Techgate plc, empresa de
servicios informáticos que decidió implantar un
Sistema de Gestión de Seguridad de la Información -
SGSI- certificada en ISO/IEC 27001, basada en un
enfoque de riesgo empresarial, que se establece para
crear, implementar, operar, supervisar, revisar,
mantener y mejorar la seguridad de la información,
obteniendo como resultado importantes ventajas de
negocio.
Este tipo de empresas, al tener como objeto de su
negocio los sistemas de información de sus clientes,
obtienen una clara ventaja competitiva por medio de
la implantación de estas normas, que dan una garantía
a los usuarios de sus servicios de que la información es
tratada con procesos, procedimientos y directrices de
seguridad claras.
El caso revela algunas conexiones sorprendentes entre
la gestión de la seguridad de la información y la
gestión empresarial en general, además de numerosas
ventajas indirectas que no suelen mencionarse.
I. INTRODUCCIÓN
Los sistemas de gestión en general nacen de las
necesidad que las organizaciones tienen para
cumplir con las exigencias cada vez mas altas del
mundo globalizado, para optimizar procesos y
mejorar la consecución de objetivos institucionales.
Dentro de esta línea existen varios modelos de
gestión a los cuales una organización puede
alinearse, es asi como en la actualidad los modelos
de gestión pueden estar enfocados a la satisfacción
del cliente, cuidado ambiental, responsabilidad
social, seguridad ocupacional y el que en este
documento es objeto de estudio la seguridad de la
información.
Cuando se decide implementar un Sistema de
Gestión de Seguridad de la Información, SGSI, se
debe determinar a donde quiere llegar la
organización, que objetivos desean alcanzar, cual es
el compromiso de la alta dirección y disponer de los
recursos humanos, materiales y financieros para su
implementación.
Para gestionar la seguridad informática se utiliza
como referencia la normativa ISO/IEC 27001:2001
la misma que se define como : La parte del sistema
de gestión general basada en un enfoque
empresarial, que se establece para crear,
implementar, operar, verificar, mantener y mejorar
la seguridad de la información. Al igual que otras
normas de gestión esta se alinea al modelo PHVA
(Planificar, Hacer, Verificar y Actuar) es decir la
mejora continua. Para la correcta ejecución de la
normativa debe estar fundada en un solida pirámide
documental que incluye un manual, procedimientos,
instructivos, y programas. Entre los ítems mas
relevantes la empresa debe definir el alcance de
las política, objetivos del SGSI, la estructura
organizativa, gestión de riesgos, compromiso de la
dirección así como también indicadores para
evaluación de la gestión.
Para que esta norma sea susceptible de certificación
debe cumplir con requisitos de auditoria donde se
mida la correcta ejecución de los parámetros
establecidos en la norma.
II. ANTECEDENTES DE LA EMPRESA
En esta sección se describe las generalidades sobre
la organización que es caso de estudio:
Techgate plc, es una empresa ubicada en el Reino
Unido, constituida en el año 2001, que ofrece
sistemas de producción de TI altamente resistentes
y de vanguardia, la empresa sigue un modelo de
negocio flexible, operativo y técnico para responder
a las necesidades del cliente y del mercado en forma
eficiente.
Para alcanzar estos objetivos la empresa cuenta con
un equipo de gestión capacitado para escuchar y
aprender de los clientes las necesidades de TI, lo
que le ha permitido participación en foros a fines
del negocio.
La empresa cuenta con dos certificaciones: la
primera BS 25999 que establece la gestión de
continuidad del negocio y la segunda la ISO 27001
que describe las mejores practicas para un sistema
de gestión de la seguridad, objeto del presente
estudio.
Posee 2 centros de datos los cuales les permite
proporcionar una infraestructura complementa
mente resistente como centros y redes de datos
como servicios de alta disponibilidad.


III. PLANIFICACION DEL SGSI
Según la norma ISO/IEC 27001, las actividades que
comprende la creación del SGSI son:
 Definición del alcance y límites.
 Establecimiento de una política del SGSI
 Primeras fases de la gestión del riesgo:
o Enfoque para la evaluación del riesgo:
metodología y criterios de aceptación del
riesgo.
o Análisis y valoración del riesgo.
o Evaluación del riesgo.
o Selección de las acciones más apropiadas
para su tratamiento.
 Obtención de la aprobación por la dirección
del riesgo residual propuesto y de la
autorización de implementar y operar el
sistema.
 Plasmación en la declaración de
aplicabilidad de la decisión tomada sobre el
tratamiento del riesgo, identificando los
controles a aplicar y justificando las
exclusiones.
A continuación se describe, como Techgate plc
desarrollo su plan de creación del SGSI.
IV. DEFINICION DEL ALCANCE Y LIMITES
DEL SGSI
Cuando se quiere implantar un sistema de gestión,
debe tenerse claro qué es lo que se pretende, adónde
se quiere llegar; es decir, los objetivos previstos. El
tipo o naturaleza de estos objetivos será lo que
identifique el sistema de gestión. Basados en este
hecho, el alcance y los límites del SGSI deben
definirse en términos de la actividad empresarial, de
la organización, su ubicación, sus activos y
tecnología [1].
Techgate plc, decidió implantar un sistema de
gestión de la seguridad de la información en la
empresa, como estaban haciendo otras
organizaciones del sector, y para ello organizó un
debate interno con los interesados, directivos, y bajo
la asesoría de la consultora Ultima Risk Managment
(URM).
De este debate, se determinó que el alcance de la
certificación sería a toda la organización pues era la
única opción razonable, teniendo en cuenta la
necesidad de un enfoque coherente y la necesidad
de maximizar el valor percibido por los clientes [2].
V. ANALISIS DE IMPACTO Y RIESGOS
La gestión del riesgo es la piedra angular de esta
norma. En la definición de la política del SGSI ya
se indica que deberá estar alineada con el contexto
de la estrategia de gestión de riesgos de la
organización, contexto en el que tendrá lugar la
creación y el mantenimiento del SGSI (4.2.1.b.3)
[1].
Techgate plc identificó cuáles eran sus procesos de
negocio y los activos en los que se sustentaban, y
realizó un análisis de riesgos para conocer sus
amenazas y vulnerabilidades. Obtuvo el documento
de aplicabilidad y se formuló un plan de tratamiento
del riesgo. En concreto, se empezó por elaborar el
manual del sistema y política del SGSI (control
A.5.1.1) [2], que fue aprobado por el Director de
Operaciones Graham Greeh (control A.6.1.1) [2].
El análisis de riesgos dejó al descubierto numerosas
vulnerabilidades que era necesario tratar (control
A.14.1.2). Aunque muchas de ellas eran conocidas,
al estar plasmadas en un documento y ser requisito
de la norma el corregirlas, resultó más fácil
conseguir el apoyo de la dirección y los recursos
necesarios para afrontar su resolución.
Con estas acciones realizadas ya se tenía un punto
de partida para afianzar la implantación con unas
directrices documentadas e impulsadas desde la
dirección.
VI. IMPLANTACION DEL SGSI
Una de las primeras acciones que Techgate plc
llevó a cabo fue la formación en materia de
seguridad de la información de todo el personal,
incluida la dirección (control A.8.2.2). La
concienciación fue la clave del éxito de la
implantación. Se dio a conocer el alcance de este
sistema de gestión, sus objetivos y la importancia de
llevar a cabo ciertas acciones no solo para la
protección de los datos, sino de todos los activos de
información, incluido el personal. De esta forma se
sensibilizó al personal y no se encontró resistencia a
la hora de pasar a firmar las cláusulas de
confidencialidad (control A.6.1.5) y el compromiso
de cumplir la normativa interna referente a la
seguridad de la información.
Se creó un sistema documental que diera soporte a
la implantación del sistema (apartado 4.3.1), y de
esta manera se recogieron en un solo sitio los
procedimientos e instrucciones que ya había en la
empresa, pero que casi todo el mundo desconocía.
Se dejaron en una carpeta pública, en modo lectura,
los documentos que debían estar al alcance de todo
el personal. De esta forma, el responsable del SGSI
era el encargado de actualizarlos y la dirección tenía
constancia de los empleados accedían en todo


momento a la última versión validada, previniendo
así la utilización de documentos obsoletos (apartado
4.3.2).
También se implantó la gestión de incidencias de
seguridad, llevándose un registro de las ocurridas
(control A.13.2). La primera consecuencia positiva
de este operativo para el administrador de sistemas
fue poder justificar su tiempo de trabajo ante la
dirección.
VII. FACTORES CLAVES DE EXITO PARA LA
IMPLANTACION DEL SGSI
Compromiso Alta Dirección y Participación
Un factor clave de éxito para implantar un SGSI es
el compromiso de la dirección, que se plasma a lo
largo de todas las fases de implantación en una serie
de acciones, principalmente del apoyo de la
dirección, puesto que esta es la que aprueba las
acciones a tomar y facilita los recursos necesarios
para llevarlas a cabo.
Capacitación y Concienciación
El principal problema a la hora de implantar un
sistema de gestión en una empresa es la resistencia
al cambio por parte del personal. Para vencerla, es
fundamental una labor de sensibilización y
concienciación a través de la formación. El objetivo
es que todo el mundo sepa cuáles son sus
responsabilidades y su papel dentro del sistema.
Esta formación no tiene por qué ser presencial:
podría ser una presentación o un pequeño manual
colgado en una intranet. La realización de este tipo
de acciones al comienzo de la implantación facilita
su desarrollo, contribuyendo a que todo el personal
involucrado tome parte de una forma positiva.
Igualmente, una vez finalizada dicha implantación
es conveniente volver a realizar una breve
formación para fijar conceptos e incidir en las
responsabilidades de cada integrante del sistema.
Asimismo, la repetición periódica de este tipo de
acciones contribuye al buen funcionamiento y
mantenimiento del sistema.
Consultoría y Asesoría Externa
La mejor forma de abordar una implantación
exitosa, es con la ayuda de una consultora externa
que tenga experiencia, que guie a la empresa en el
cumplimiento con los requisitos de la norma, y
sobre todo al inicio ayude a la empresa a plantearse
objetivos realistas y fáciles de alcanzar. Con ello se
consiguen resultados positivos inmediatos que
animan a los implicados a continuar y favorecen la
buena disposición a los cambios, minimizando el
tiempo y el esfuerzo de la implantación. Asimismo,
se facilita la integración gradual de la empresa en el
ciclo de mejora continua.
Implantación basado en Administración Proyectos

VIII. BENEFICIOS DE LA IMPLANTACION
DEL SGSI
Beneficios Directos
Mejora del control por parte de la dirección: La
dirección tiene más control sobre la organización y
mejor información de calidad para gestionar la
misma; se reduce, por tanto, el esfuerzo de la
dirección.
Beneficios Indirectos
IX. CONCLUSIONES


REFERENCIAS
[1] Modelo para el gobierno de las TIC basado en
las normas ISO, Fernandez Sanchez, Carlos
Manuel; Velthuis, Mario Piattini, AENOR,
2012.
[2] ISO 27001 Case Study Techgate plc, URM’s
consultancy services, whitepaper, 2012.
[3] ISO/IEC 27001:2007,
http://www.iso27001security.com/html/27001.h
tml