1. Implantación de la ISO27001: Factores críticos de éxito y visión de la norma como
motor de generación de valor añadido.
David Reinares Lara, Consultor Senior, Innotec System
RESUMEN 1. INTRODUCCIÓN
La aparición de la norma ISO27001 ha En un entorno cada vez más conectado y
representado un gran cambio en la manera de dependiente de los SI, el coste de la inseguridad
plantear la seguridad, ofreciendo un modelo crece exponencialmente. Según un estudio
iterativo y global con el que encarar la realizado por Ashish Grag, Jeffrey Curtis y
seguridad en las empresas. Sin embargo su Hilary Halper, sobre un total de 22 incidentes de
implantación práctica presenta complejidades seguridad entre 1996 y 2002, el precio de las
que pueden hacer fracasar el proyecto, a la vez acciones de las empresas afectadas cayó un 2,7
que representa un gran gasto para la empresa por ciento el primer día tras conocerse
que no siempre es fácil de justificar a la públicamente la noticia, y un promedio del 4,5
dirección. por ciento, lo que supuso una pérdida media por
incidente de 918 millones de dólares (Garg, y
Existen una serie de factores críticos que deben otros, 2003). Aunque estos resultados no pueden
ser tomados en cuenta desde el inicio del ser extrapolados a todos los tipos de compañías,
proyecto y que suelen coincidir en la mayoría de son un claro ejemplo del daño causado por un
las implantaciones como causas principales de incidente de seguridad medido tan solo en los
fracaso en el proyecto. Estos factores, encarados costes del daño a la imagen corporativa.
de manera correcta desde el principio, sin
embargo, pueden desembocar en que el La Tabla 1 recoge las conclusiones de un
proyecto resulte más sencillo y su ejecución más estudio realizado por PriceWaterhouseCoopers
rápida y con menor gasto. Conocer estos para el Departamento de Comercio e Industria
factores es por lo tanto clave para la en el año 2008
consecución de cualquier proyecto de
2008 Grandes
implantación y certificación de la ISO 27001. 2008 Global
empresas
Interrupción del 8.000-15.000£ en 80.000-130.000£
En la implantación existen beneficios añadidos negocio 1-2 días en 1-2 días
al de la “securización” de la empresa, como
Tiempo
pueden ser la mejora de la imagen exterior, el dedicado a 600-1.200£ en 2- 2.500-5.000£ en
control de la inversión realizada, la mejora responder al 4 días-hombre 6-13 días-hombre
incidente
continua mediante la detección de desviaciones, Dinero gastado
entre otros. En definitiva, un valor añadido para de manera
directa en 1.000-2.000£ 4.000-8.000£
la empresa que ha de ser expuesto a la alta responder al
dirección en la fase de aprobación del proyecto, incidente
y que debe ser explotado como un beneficio Perdida
financiera
adicional importante a la inversión realizada y directa (pérdida 500-1.000£ 4.000-8.000£
tenido en cuenta a la hora de calcular el retorno de activos,
bienes, etc)
de la inversión en seguridad. Daño a la
50-200£ 2.000-15.000£
reputación
Palabras claves: seguridad, SGSI, ISO27001, Coste total del
peor incidente 10.000 – 20.000£ 90.000-170.000£
factores críticos de éxito, generación de valor, de media
proceso, ciclo, certificación. Tabla 1 ¿Cuál fue el coste del peor incidente de
seguridad el año pasado?, fuente Informe de
2. incidentes de seguridad 2008 Lo importante de estos estándares, es que son
(PriceWaterhouseCooper, 2008). reconocidos e impulsados mundialmente, y las
más grandes empresas y gobiernos ya están
La pregunta que surge de manera lógica ante certificándose en ella; dándose el caso incluso
estas cifras es, ¿qué se puede hacer? Y la de países como EEUU, que contando con sus
respuesta es sencilla: invertir en seguridad. O propias normativas (la serie 800 del NIST en el
quizás no sea tan sencilla ¿Qué compramos? ¿A caso americano), muchas de sus empresas y de
quién contratamos? ¿Qué hacemos? Existen sus instituciones públicas se están certificando
miles de productos software y hardware de en la norma, lo que da cuenta de su importancia
seguridad, así como manuales, normativas, y amplio respaldo.
estándares de diversos países. Además,
lamentablemente, muchas de estas tecnologías 2. FACTORES CRÍTICOS DE ÉXITO
aún no son estándares, por lo que cada
compañía las implementa de una manera, El proceso de implantación de un SGSI es un
provocando que en numerosos casos no se tema complejo, que requiere de muchos
puedan comunicar entre sí, lo cual sería recursos y puede llegar a suponer una
deseable en aras de la seguridad global de la interrupción en el trabajo diario. Por ello
empresa. muchas empresas han necesitado tomar un
segundo o incluso tercer proceso de
Ante esta situación, la organización ISO, certificación antes de lograr ser certificado en el
impulsada por miles de empresas estándar, con el consiguiente gasto de recursos
internacionales y decenas de gobiernos, decidió financieros, de personal y de tiempo. Estos
crear un conjunto de normativas agrupadas bajo procesos de certificación fallidos empezaron a
el epígrafe ISO27000; siendo la primera y más ser estudiados para intentar hallar una serie de
importante la ISO27001 (Information patrones de fallo, y localizar aquellas áreas que
technology - Security techniques - Information debían ser especialmente tratadas en aras de
security management systems – Requirements), implantar un SGSI exitoso.
que establece como modelo de seguridad para
las empresas el Sistema de Gestión de la Los Factores Críticos de Éxito (FCE en
Seguridad de la Información (SGSI), un modelo adelante) pueden ser definidos como "el número
basado en el ciclo de Demming, que limitado de áreas en las cuales los resultados, si
fundamenta su existencia en un proceso cíclico son satisfactorios, asegurarán un rendimiento
de mejora continua. Esta norma a su vez es competitivo exitoso para la organización. Son
sustentada por otras normas, como la ISO27002 las pocas áreas clave donde las cosas deben ir
(Information technology - Security techniques - bien para que el negocio florezca. Si los
Code of practice for information security resultados en estas áreas no son los adecuados,
management), un conjunto de controles para los esfuerzos organizacionales para el periodo
implantar en la empresa que tratan todos los serán menos que los deseados.” (Rockart, y
aspectos de la seguridad, desde la seguridad otros, 1981).
física, hasta la formación y concienciación de
En primer lugar se debe buscar el compromiso
los empleados, pasando por el desarrollo de
y soporte gerencial, de manera que el proyecto
aplicaciones, la subcontratación o la gestión de
venga patrocinado desde arriba en la dirección,
claves. Aún faltan por salir varios estándares de
y sea esta la primera en dar ejemplo a la hora de
esta familia, siendo uno de los más importantes
aplicar aquellas medidas necesarias para definir,
la ISO27003 (Information Technology - Security
aplicar y mantener la seguridad en la empresa.
techniques. Information security management
Además es necesario que la gerencia establezca
system implementation guidance), una guía para
una serie de comités de alto nivel para la toma
el proceso de implantación de un SGSI,
de decisiones, de manera que las prioridades no
entrando en profundidad en cada una de las
cambien en caso de problemas operacionales y
cuatro fases del ciclo de Demming (Plan, Do,
Check, Act, PDCA, según sus siglas en inglés).
3. se pueda obtener un proceso continuo y La implantación del SGSI debería tener en
continuado. cuenta la cultura organizativa de la empresa,
de manera que, al adaptarse a la misma, facilite
Las políticas, objetivos y actividades de la adopción por parte de los empleados de las
seguridad deben reflejar de manera clara y contramedidas, cualesquiera que sean estas.
correcta los objetivos del negocio. El SGSI Esto implica que el equipo encargado de la
debe formar parte integral de la empresa estando implantación debería primeramente averiguar
alineado con los objetivos de negocio de la cuál es la cultura organizativa, o dicho de forma
misma, dándoles soporte y asegurándoles su más coloquial, como se hacen las cosas en cada
éxito frente a las amenazas externas e internas área, de manera que al proponer cada
que puedan ponerlos en riesgo. Esta es una tarea contramedida se adapte a la idiosincrasia
compleja que debe ser refinada en los sucesivos empresarial. Esto no implica que no haya que
ciclos del SGSI, y que está alineada con el realizar cambios en la cultura empresarial de la
anterior FCE, en cuanto debe ser la alta organización, puesto que la adopción de un
dirección junto con las gerencias de cada unidad ciclo de mejora continua para la seguridad
de negocio quienes ayuden a conseguir esta presupone que la empresa madurará su cultura
alineación estratégica y operativa. hacia una más consciente de la seguridad, y en
la cual la misma está presente en todos los
La visión de la implantación del SGSI como
ámbitos. Sin embargo los cambios culturales
un proceso, en lugar de cómo un proyecto. De
son a largo plazo, por lo que adaptar las
esta manera se puede asegurar que no se acabará
medidas a implantar a la forma de trabajo de las
cancelando si el presupuesto general se reduce,
personas hará más sencillo que este cambio
ni dependerá de la voluntad de un directivo. En
gradual suceda. Una manera sencilla sin
cuanto proceso definido en la empresa, será el
embargo de provocar este cambio gradual sería
comité encargado quien disponga del mismo.
que, desde la dirección se revisara la
Esto facilita así mismo la alineación de la
definición de objetivos y metas de cada
implantación con los objetivos del negocio
puesto de manera que la seguridad sea uno más
definido en el factor anterior y la gestión del
de los factores de evaluación y ascenso de cada
SGSI a lo largo del tiempo. Esto es vital debido
empleado.
a que un SGSI debe ser refinado en fases
sucesivas en un ciclo que nunca finaliza, El involucramiento de todos los interesados
debido a los continuos cambios a los que las (stakeholders) es vital para que el proyecto
empresas están sometidas. salga adelante. Ningún proceso de implantación
que quiera ser exitoso puede ser realizado sin
La formación de los empleados en todos los
contar con la colaboración y conocimiento de
niveles, desde pequeños cursos o seminarios de
los trabajadores, colaboradores, subcontratados
concienciación en la seguridad, hasta formación
o incluso accionistas sobre la empresa, sus
especializada en herramientas y tecnologías
activos, las amenazas que pueden poner en
según las necesidades detectadas y
peligro a los activos, el impacto y la
contramedidas a establecer en cada unidad de
probabilidad de cada amenaza, la manera de
negocio e incluso departamento. Esta formación
trabajar y de gestionar la información (lo cual
debería ser evaluada y mejorada de manera
enlaza de manera directa con el anterior FCE),
continua para que resulte totalmente adaptada al
etc. Por ello no solo se debería contar con estos
nivel de conocimientos y habilidades de los
interesados en el trabajo de recogida de
diferentes empleados de la empresa, asegurando
información, sino que sería conveniente darles
de esta manera su fácil comprensión y que de
una mínima formación sobre la implantación
esta manera aumenten las posibilidades de que
de un SGSI y el análisis de riesgos, de forma
los empleados asimilen estas buenas prácticas
que puedan aportar un mayor conocimiento en
en su trabajo diario.
la recogida de información al saber por qué se
hacen las cosas y que se busca con ellas.
4. La detección temprana de todas aquellas más factible empezar por un proceso de
regulaciones, leyes y estándares de la negocio especialmente crítico que
industria que afectan a la empresa, y que deben intentar primeramente implantar un
encontrar su contrapartida en el SGSI. La norma SGSI para toda la empresa) y en la
ISO27001, a pesar de ser un estándar global, da elección de la metodología de análisis
una importancia capital (especialmente en el y gestión del riesgo (en los primeros
proceso de certificación) al cumplimiento de los ciclos es recomendable una
anteriores por parte de las empresas metodología ligera, y según el equipo y
implantando un SGSI, debido a que hace propia la empresa madure en la gobernanza de
la máxima “piensa globalmente, actúa la seguridad, ampliar la metodología).
localmente”. Los códigos de buenas prácticas • A no ser que la empresa tenga ya un
ofrecidos por la norma ISO son el resultado del equipo de seguridad que junto con el
trabajo de muchos subcomités a lo largo de todo departamento de TI tengan una
el mundo que han debido consensuar el trabajo madurez considerable en la gobernanza
final para ser válido para todos, lo que implica y gestión de TI y en la implantación de
que cada país o sector de manera individual procesos y servicios de TI, es mejor
puede hacer énfasis en diferentes aspectos. subcontratar la implantación a un
equipo externo especializado en SGSI
Por último, que no menos importante, el y que cuente con una alta experiencia
establecimiento de un sistema de medición que en proyectos de implantación y en el
permita valorar la marcha del SGSI de modo sector en el que su empresa se mueve.
global y particular, detectando desviaciones y En este caso será especialmente
cambios en la empresa que deban ser tratados importante el FCE “involucramiento de
para que el SGSI se mantenga operativo. Este todos los interesados”.
sistema debe permitir también la participación
de las personas en la forma de críticas y 3. VISIÓN DE LA NORMA COMO
sugerencias para la mejora. MOTOR DE GENERACIÓN DE VALOR
AÑADIDO
Además, se deberían realizar unas buenas
prácticas que harán que la implantación sea más La seguridad no debe ser buscada per se.
sencilla y acometible: Aunque parezca una afirmación trivial, muchas
empresas, sin darse cuenta, lo hacen. Aún no ha
• Se deberían establecer unos pasado el tiempo del Miedo, Incertidumbre y
“quickwinnings”, metas a corto plazo Duda (FUD por sus siglas en inglés), en el cual
que permitan ciertos beneficios la decisión de afrontar la implantación de
inmediatos. Esto ayudará a mejorar la seguridad (o más seguridad) en una empresa se
imagen del SGSI entre la dirección y hace por el pánico desatado por todas las
los empleados. Este es un proyecto a noticias de ataques que circulan en los medios, o
largo plazo, pero si el beneficio tarda peor aún, porque es lo que todos hacen.
en llegar, el proyecto corre el peligro
de acabar siendo relegado a un segundo Implantar medidas de seguridad en una empresa
plano, o incluso llegarse a cancelar si la es un proceso costoso y que debería ser muy
dirección pierde la confianza en él. razonado antes de dar el primer paso. Una
• En los primeros ciclos del proyecto se empresa no se puede permitir sin más empezar a
debería ser poco ambicioso. Es mejor invertir en productos y soluciones de seguridad,
ir ampliando y refinando en el futuro, porque este camino solo conduce a la
que acometer un proyecto que será desorganización, un estado de la seguridad
ingobernable y extremadamente empresarial donde se toman decisiones no
complejo. Esto se debería reflejar basadas en las necesidades reales de la empresa
especialmente a la hora de definir y y que acaban conduciendo a una falsa sensación
delimitar el alcance del proyecto (es de seguridad.
5. Frente a este escenario, el estándar ISO ofrece La implantación de un SGSI permite demostrar
un enfoque global y razonado. A través de las que la alta dirección y la gerencia muestran el
cuatro fases del PDCA aplicadas en diferentes debido cuidado y la diligencia debida (due
ciclos, se refina el modelo de implantación en la care, due diligence). El cuidado debido son los
empresa. pasos tomados para demostrar que una
compañía ha tomado la responsabilidad por las
El análisis de riesgos permite gestionar la actividades realizadas en la organización y que
inversión en seguridad. Mediante la asignación ha tomado los pasos necesarios para ayudar a
de riesgos a las amenazas a los activos, la proteger a la compañía, a sus recursos y a sus
empresa puede centrarse en aquellos riesgos que empleados. La debida diligencia son las
requieran de atención inmediata maximizando actividades continuas para asegurar que los
el retorno de inversión. Si la empresa cuenta mecanismos de protección están continuamente
con un presupuesto ajustado, puede asegurarse monitorizados y operacionales. (Harris, 2003).
de que las amenazas más graves (por su impacto En el mundo corporativo ha habido un antes y
y/o probabilidad) han sido tratadas. De esta un después del caso Enron/Arthur Andersen.
manera se asegura que el gasto de recursos es Después de que este caso estallase, desde varios
razonado, y no atiende a modas o preferencias gobiernos se han tomado medidas para evitar
personales de los encargados de seguridad. una situación parecida en el futuro, siendo
especialmente importante la ley Sarbanex-Osley
La asignación de responsables de activos y de
de EEUU. Mediante la implantación y posterior
implantación de contramedidas permite que
certificación de un SGSI, la dirección de una
las probabilidades de éxito de la implantación
organización puede mostrar que ha tomado los
del SGSI aumenten. En el modelo anterior el
pasos adecuados y que ha actuado de una
responsable es el encargado de la seguridad en
manera diligente. En caso de que algún ataque o
la empresa, lo que no refleja la realidad. Si bien
mala práctica llegase a juicio, la diligencia y
este responsable debe estar siempre ahí para
cuidados debidos pueden ser demostrados, lo
ayudar en la implantación y ofrecer sugerencias
que conllevaría a una reducción de la pena
desde su conocimiento de las tecnologías y
impuesta, o incluso a la exoneración de los
soluciones de seguridad, el único que conoce la
directivos. La responsabilidad de la dirección
realidad de un activo o proceso de negocio es
por lo que pase con la información de la
aquel que tiene su control en la operativa diaria,
empresa va a continuar creciendo en el futuro.
de manera que esta persona debería ser el
Incluso gobiernos tan reacios a involucrarse en
responsable por la correcta securización de
los mercados privados mediante regulaciones
dicho activo o proceso, pudiendo detectar de
como EEUU han tenido que endurecer sus leyes
manera sencilla cualquier desviación respecto
o crear nuevas para afrontar los últimos casos de
de las medidas adoptadas y aportar sugerencias
corrupción, debido a la magnitud de los mismos.
de mejora desde el conocimiento profundo de la
La protección de los empleados y de los
problemática que puede afectar a dicho
accionistas son temas muy serios que pueden ser
activo/proceso. Esto mismo también permite
tratados en la parte que le corresponde mediante
que a medio plazo, los riesgos disminuyan, al
la certificación en el estándar ISO27001.
familiarizarse los responsables con la
metodología y los controles (Hinson, 2008). La implantación de un SGSI permite actuar
como elemento de mejora de la confianza y
La concienciación del personal aumenta, al
percepción de la organización por parte de los
haber sido involucrado en el proceso desde una
clientes y de los socios comerciales. Cualquier
etapa temprana. Esto a su vez se traduce en
empresa certificada se apresura a incluir el sello
mayores probabilidades de éxito, así como
de la certificación en sus anuncios y
mayor facilidad para el cambio progresivo de
documentación externa. Una vez que se ha
la cultura empresarial a una más consciente de
realizado el enorme esfuerzo de certificarse hay
la seguridad y que la ha adoptado en su trabajo
que aprovechar e involucrar al departamento de
diario como un requisito más.
marketing de la empresa. En esta línea, la
6. certificación puede ser muy a menudo un factor securización de la dirección con respecto a sus
diferenciador decisivo entre organizaciones responsabilidades por la información.
competidoras, especialmente cuando se compite
por la adjudicación de un proyecto. La 5. BIBLIOGRAFÍA
seguridad ya es parte integral de muchas ofertas
Garg Ashish, Curtis Jeffrey y Halper Hilary
tanto públicas como privadas de adjudicación de
Quantifying the financial impact of security
proyectos. Una organización certificada es una
breaches, artículo en Information Management
organización con muchos puntos ganados para
and Computer Security [Publicación
obtener importantes contratos.
periódica]. - Emerald, 2003. - 2 : Vol. 11.
La estandarización acaba redundando en una
Harris Shon All-in-one CISSP Certification
mayor interoperabilidad entre sistemas de
Exam Guide [Libro]. - Emeryville, CA :
diferentes partes, al seguir una guía común. De
McGraw-Hill/Osborne, 2003.
esta manera se reducen costes en el desarrollo e
implantación de sistemas, se permite la PriceWaterhouseCooper 2008 Information
reutilización y puede servir como un factor de security breaches survey [Informe]. - 2008.
mejora de la calidad de los mismos.
Rockart John F. y Bullen Christine V. A
El tener implantada la seguridad como un primer on Critical Success Factors [Informe]. -
proceso permite a medio y largo plazo ahorrar Center for Information Systems Research,
costes de consultores y empresas externas de Alfred P. Sloan School of Management, MIT,
seguridad. Si bien en un principio se ha 1981.
recomendado como buena práctica subcontratar
el proceso de implantación de SGSI, a medida Hinson Gary, The financial implications of
que la empresa vaya creciendo en madurez, irá implementing ISO/IEC 27001 & 27002: a
asumiendo más y más responsabilidades, de generic cost-benefit model [Informe].-
manera que al final solo se necesite una o dos http://www.iso27001security.com, 2008.
auditorías anuales externas para asegurar que las
cosas vayan bien (cumplimiento) e identificar
una lista de oportunidades para la mejora.
4. CONCLUSIONES
La implantación de un SGSI es un proceso largo
y complejo, que si no es gestionado
correctamente desde el inicio, puede conllevar
unos gastos incrementados y la posibilidad de
fracaso.
Sin embargo, los mismos factores que pueden
hacer fracasar este tipo de proyecto,
administrados con especial cuidado, pueden
resultar en ventajas que resulten en un proyecto
más sencillo de realizar y gestionar, y con unos
gastos ajustados.
Además, el proceso de implantación deviene en
unos beneficios adicionales importantes para la
empresa, aportando ventajas competitivas, un
control más fino del gasto y de la gestión, la
concienciación temprana de los usuarios y la
7. CURRICULUM BREVE
David Reinares Lara (dreinares@sequre.es)
Máster en Seguridad de la Información por la
ALI/Universidad Politécnica de Madrid (UPM)
2007-2008.
Ingeniero Superior Informático por la
Universidad Rey Juan Carlos (URJC) 2004-
2007.
Ingeniero Técnico en Informática de Gestión
por la Universidad Complutense de Madrid
(UCM) 1998-2004.
Miembro de ISACA y de su capítulo español
ASIA.
Certificado en ITIL Foundations (V2).
Pasó las pruebas conducentes a la obtención de
las certificaciones CISM, CISSP y CISA.
De Enero de 2007 a Noviembre de 2007 trabajó
para ITDeusto como técnico de seguridad,
instalando y gestionando la herramienta
OSSIM, así como generando incidencias e
informes de incidencias para los clientes.
De Enero de 2008 a Julio de 2008 trabajó para
Sequre Consultores como consultor junior de
seguridad, encargándose de planes directores de
seguridad, LOPD e ISO27001, así como de
aspectos técnicos del departamento de
Seguridad Gestionada.
Desde Octubre de 2008 trabaja en Innotec
System como consultor sénior de seguridad,
gestionando proyectos de LOPD, ISO27001,
análisis de riesgos, planes de continuidad de
negocio y recuperación ante desastres y
auditoría de seguridad (técnica y normativa).
También trabaja en la formación de un SOC
para soporte a clientes.