Llegamos a ustedes gracias a:



Columnas de opinión

¿Cómo certificar ISO 27001?

Por: Gabriel Marcos, Gerente de Data Center, Seguridad y Outsourcing para Latinoamérica y el Caribe de Global Crossing

[10/09/2010] Voy a asumir que ya está convencido de por qué certificar ISO 27001, de sus ventajas, beneficios, y que también está dispuesto a afrontar las dificultades que esto conlleva. Porque sin duda, lograr una certificación internacional como ésta, no es tarea sencilla. La cuestión es que probablemente no sea tan claro por qué.

Vamos a enfocar nuestra modesta descripción de un proceso de certificación desde cuatro puntos de vista: proyecto, tecnología, procesos y personas, con el objetivo de extraer algunas conclusiones que podrían resultar valiosas a la hora de emprender este intenso e interesante viaje.
Proyecto
Vista la certificación como proyecto, nos interesan básicamente tres puntos íntimamente relacionados: alcance, objetivos y tiempos.
Podríamos decir que para una compañía que no posee políticas de seguridad implementadas, procesos, procedimientos, ni controles específicos de seguridad de la información, el tiempo mínimo para alcanzar la certificación es de dos años, extendiéndose en la medida en que el alcance comprenda más áreas y procesos de la organización.
Por supuesto, como ocurre en toda actividad, hay muchas formas de alcanzar una certificación, aunque en estas recomendaciones vamos a tomar el camino de realmente implementar un sistema de gestión de la seguridad de la información, que sea sostenible en el tiempo y que produzca beneficios para la organización.
Y aquí entramos también en la cuestión de los objetivos, porque si anteponemos el obtener la certificación a crear un sistema de gestión eficiente que resuelva problemas reales, quizás no sea la mejor alternativa, ya que principalmente se corren dos riesgos: primero, que los costos de reconvertir esos procesos en útiles para la organización sean mayores a los que hubiera costado hacer las cosas bien desde un inicio; y, segundo, que el alcance definido (con el único objetivo de obtener la certificación) sea tan poco atractivo para el mercado, que se produzca un efecto de publicidad adversa para la marca.
Las certificaciones generan mucho movimiento en las empresas, y es correcto que la certificación sea vista como una ventaja competitiva y que se desarrollen acciones de márketing en torno a su obtención (ya que la propia norma lo plantea en sus cláusulas); pero a la hora de administrar y comprometer los tiempos del proyecto es importante que seamos realistas en función del alcance y de la calidad de la implementación. Es muy poco probable que podamos certificar una norma como ésta -con un alcance importante para la organización- en seis meses, si no existen de antemano gran parte de los requisitos ya implementados.
Tecnología
Si nos detenemos a analizar los aspectos tecnológicos como una fase importante de la implementación, es principalmente por una cuestión de costos.
Y es que me cuesta imaginar una certificación de ISO 27001 en la que no sea necesario invertir en hardware y servicios asociados a la implementación de tecnologías; porque si la empresa que quiere certificar ya hubiera hecho un análisis de los riesgos sostenido en el tiempo -de forma tal que contara con todos los sistemas de protección necesarios para sus activos de información- entonces, ya contaría con un sistema de gestión implementado y la certificación sería trivial.
Es importante dimensionar temprano cuáles serán las inversiones necesarias y cuáles los servicios que se requerirán para poder conseguir una aprobación realista del presupuesto que permita que el proyecto avance sin demoras ni interrupciones (al menos por ese motivo).
Procesos
La norma define actividades indispensables que es necesario implementar como procesos para obtener la certificación; como por ejemplo, las revisiones por el comité de seguridad o las auditorías internas, pero también es necesario considerar qué procesos de negocio se verán afectados en función del alcance.
En este punto podríamos recomendar comenzar con un alcance significativo, pero acotado; de forma tal que el proyecto pueda ser llevado a buen puerto en un tiempo no tan lejano para luego crecer y extenderse (idealmente) a toda la organización.
Sin duda que hablar de procedimientos y procesos hace pensar en una carga burocrática adicional, tanto en la implementación como en la utilización habitual del sistema de gestión, y es lógico que esto vaya a ocurrir. Existe la tentación de evitar parte de esta carga utilizando documentos (procesos, procedimientos, políticas, metodologías, etc.) que sean provistos, o bien por las consultoras que soportan el proceso de implementación y certificación, o bien obtenidos de otras compañías. La recomendación en este caso es que la propia organización desarrolle su documentación, ya que el know-how y el involucrarse directamente garantizan que el sistema de gestión evolucione y sea sostenido en el tiempo.
En este punto quiero ser bien claro para evitar malentendidos: recomiendo ampliamente trabajar con apoyo externo para el desarrollo e implementación de sistemas de gestión como ISO 27001, ya que la experiencia que aporta un equipo profesional especializado es claramente beneficiosa para la organización. Pero eso no significa que los consultores deban hacer todo el trabajo, ya que si bien puede parecer más fácil al inicio, lo cierto es que los consultores se irán, pero el sistema de gestión permanece, y si no se cuenta con el know-how mínimo para mantenerlo y mejorarlo, corremos el riesgo de perder la certificación obtenida.
Personas
La verdadera clave de cualquier logro organizacional son siempre las personas, y obtener una certificación no es la excepción. Los recursos humanos forman parte esencial de ISO 27001 con actividades específicas asociadas a su gestión y formación.
El tiempo y los costos asociados a la formación de las personas que participan del alcance de la certificación y la organización en general, deben ser considerados desde el inicio del proyecto, ya que son aspectos que no pueden obviarse para obtener el certificado, ni tampoco para el funcionamiento adecuado del sistema de gestión propiamente dicho.
A modo de ejemplo, podemos decir que la falta de capacitación es uno de los riesgos que se identifican en prácticamente todos los procesos de certificación; y no solamente del personal técnico, sino a nivel organizacional. En muchos casos en los que ya existen políticas corporativas definidas por la organización, es posible comprobar que el personal no las conoce o bien no las sabe aplicar; y eso constituye un incumplimiento normativo grave, más allá del riesgo en sí que implica para la propia empresa.
Pero sería un error ver a la capacitación como una cuestión de tomar cursos y resolver un problema puntual. Lo cierto es que necesitamos comenzar por describir y documentar qué perfiles de personas (es decir, aptitudes, formación, conocimientos, etc.) son necesarios para el adecuado funcionamiento del sistema de gestión, y empezar a analizar brechas desde ese punto. De más está decir que es imprescindible la participación activa del departamento de Recursos Humanos para poder implementar políticas en este sentido a nivel organizacional.
Conclusiones
Soy consciente que con el objetivo de hacer un resumen, estoy dejando afuera puntos que son importantes para la norma, como el cumplimiento regulatorio o la continuidad del negocio, por nombrar solamente algunos. Pero en lugar de hablar específicamente de la norma, a la cual uno puede consultar y estudiar hasta el cansancio en muchos otros sitios, preferí enfocarme en aspectos más prácticos del proceso de certificación, que son más difíciles de encontrar y que generalmente terminamos conociendo después de lo que hubiéramos deseado.
Trabajar con un equipo externo de especialistas ayuda a contribuir al éxito de una certificación, pero es importante entender que la experiencia de los expertos debe ser complementada con el conocimiento de la cultura organizacional de los empleados de la empresa, ya que de otra manera el plan de implementación no será realista, por más bien construido que esté desde la teoría.
Por otro lado, tengamos en cuenta que la ISO 27001 es una norma que cruza a casi todos los sectores de una organización, y eso significa que debemos involucrar a representantes de esos sectores en el proceso de certificación desde el inicio. Es sabido que en algunos departamentos de tecnología existe la tendencia a funcionar aislados del resto de la organización. Pedir ayudar es algo que definitivamente deben aprender a hacer para llevar a cabo este tipo de procesos.
Con todo, los beneficios de un sistema de gestión, y en particular del que plantea ISO 27001, bien valen la pena el esfuerzo y los recursos abocados a su implementación y certificación.
Seamos sinceros. Los riesgos están, los estemos tratando o no, así que mejor hagamos algo al respecto; y qué mejor que una norma internacional probada en todos los continentes y con tan amplio espectro de aplicación como la ISO 27001.
Como dijo alguna vez Jacques Lacan: La primera virtud del conocimiento, es la capacidad de enfrentarse a lo que no es evidente.
CIO, Perú
Gabriel Marcos es Gerente de Data Center, Seguridad y Outsourcing para Latinoamérica y el Caribe. Bajo su responsabilidad se encuentra el desarrollo, posicionamiento, lanzamiento y generación de demanda de los servicios de Virtualización, Business Intelligence, y Seguridad de la Información que utilizan los clientes de Global Crossing.  Participa también como líder de proyecto en el proceso de certificación ISO 27000 para el Security Operation Center regional de Global Crossing. Gabriel publica habitualmente artículos y papers en diferentes medios del sector, y participa como orador en eventos referidos a Seguridad de la Información, abordando problemáticas relacionadas a la gestión del riesgo como parte fundamental de los procesos de negocio, y la gestión de inversiones y el outsourcing de servicios de tecnología y seguridad. Gabriel Marcos es Analista de Sistemas, ha recibido formación en estándares internacionales como ISO 9000, ISO 27000, ITIL, COBIT, y forma parte de la empresa desde 1997.

COMENTARIOS
crcarras   dom, 12-ago-12

Gabriel, Comparto tus opiniones, sobre todo el valorar que las personas son el factor de éxito y no la tecnología para los procesos de gestión de seguridad de la información.


Leer más comentarios | Realizar un comentario