1. ISO-27001 y las PyMEs
(por Alejandro Corletti: acorletti@darfe.es)
Este artículo va a presentar una visión concreta y realista de la situación de las PyMEs Españolas en
cuanto a ISO-27001. Se trata de “vislumbrar lo que se viene” para anticipar un poco lo que a las
PyMEs casi les vendrá impuesto. Esto no es una novedad, con ISO 9000 ya sucedió, la diferencia
tal vez sea que este nuevo estándar está creciendo más vertiginosamente y a su vez toda PyMEs que
desee seguir compitiendo en este “Cybermercado” necesitará cada vez más abrir/compartir sus SSII,
deberá acceder y ser accedido a su información de Stock, facturación, pedidos, clientes, productos,
precios, listados, nómina, etc..... y para ello le exigirán un cierto nivel de seguridad de los mismos.
Este nivel, la mejor forma de demostrarlo es a través de una certificación reconocida mundialmente,
y en esto, la calve la tiene ISO-27001.
1. Claves para una PyME.
Vamos a empezar un poco al revés de la estrategia común de un artículo. Más allá del desarrollo
teórico, deseo dejar claro que a nuestro juicio, existen cuarto CLAVES para una PyME que se
plantea ISO-27001 (primera cuestión que tal vez no sea así en una gran empresa):
- Orientar la Seguridad con sus procesos de negocio.
- Gestionar su seguridad (no solo medidas técnicas)
- Obtener una validación sólida sobre su situación en LOPD y LSSI.
- Entrar en el proceso de “Lobby” que se está gestando.
Desarrollemos brevemente cada uno de ellos:
a. Orientar la Seguridad con sus procesos de negocio:
El primer paso para la implementación de ISO-27001, es el análisis de riesgo (AR) (hasta
podríamos discutir si es previo o no a la determinación del “Ámbito a certificar”, pero no
vale la pena hacerlo ahora....). Esta actividad que está muy de moda hoy, puede hacerse
siguiendo cualquier metodología, siempre y cuando demuestre coherencia. El resultado
final de la misma, será a través del análisis de activos, impacto, salvaguardas, etc, llegar a
determinar los niveles de riesgo (fundamentalmente residuales) al que cada activo quedará
expuesto, con la intención de “trabajar” de aquí en más sobre los mismos, en un ciclo
continuo (Plan-Do-Check-Act). Hemos visto mucho de esto en la viña del Señor y estamos
convencidos, que para una PyMEs lo fundamental, es que en el resultado final del mismo se
vea claramente que lo principal para esta PyME es comenzar todo el trabajo por aquellos
activos que “dan de comer a la empresa”, es decir los procesos primarios de negocio.
Sinceramente, no nos sirve de mucho reconocer que la página web posee un alto riesgo, si
esta empresa no opera a través de ella, es importante, pero no fundamental.
ASPECTOS TRATADOS EN ESTAS LÍNEAS
1. Claves para una PyME.
2. El nicho de mercado principal de ISO-27001 son las PyMEs.
3. Metodología de implantación y certificación en las PyMEs.
2. Si se han asociado eficientemente los procesos de Negocio con los activos fundamentales,
entonces ahora se puede pensar la seguridad de los mismos como una cuestión ya no de
gasto, sino de beneficio para esta PyME. Cada una de las acciones estará orientada a
optimizar y garantizar el correcto funcionamiento de
cada uno de ellos. Desde la contratación de
personal, los cacuerdos con terceros, la adquisición
de hardware y software, la segmentación de redes,
las medidas de seguridad física, hasta la
preparación/prevención y tratamiento de incidentes,
las conformidades legales, etc. Cada uno de estos
temas estará centrado en su eficiente adecuación
para el proceso de negocio.
Conclusión: el resultado final del AR, debe ser un claro reflejo de lo prioritario que es, para
esta empresa en particular, cada activo relacionado con sus procesos de negocio (sino, ya
empezamos mal....). Luego se optimizará cada uno de ellos.
b. Gestionar su seguridad (no solo medidas técnicas):
El holismo enfatiza la importancia del todo, el cual, es más grande que la suma de las partes
y da importancia a la interdependencia de estas.
Holismo, eso es gestionar la seguridad. Nuestra experiencia, es que la seguridad hasta ahora
no deja de ser un conjunto de partes, conformadas por mayor o menor cantidad de medidas
técnicas, según la empresa. ISO-27001, reúne la totalidad de ellas y al integrarlas a través
de un Sistema de Gestión de la Seguridad de la Información (SGSI) y llevado como un ciclo
continuo (PDCA) genera holismo, un resultado superior a la suma de sus partes.
Esto no es una mera hipótesis, es el resultado que ofrecen los puntos 4 al 8 de ISO-27001.
Hasta ISO-17799 (Actual ISO-27002), la seguridad era solamente una serie de 133 controles
técnicos y nada más. La diferencia (Fundamental), entre su
predecesora 17799 y la actual 27001, es que a través de esos
nuevos apartados, se genera un verdadero Sistema de
Gestión consensuado y llevado a la práctica mundialmente,
pues se está demostrando que es la única forma de
interpretar la seguridad, “como un todo” = Holismo.
Lo importante de esto para una PyME es que, es más grande que la suma de sus partes, y a
través de estos puntos (4 al 8), no deja nada librado al azar, garantizando y homogeneizando
el propio sistema con el de otras empresas, independientemente de la magnitud de las
mismas.
c. Obtener una validación sólida sobre su situación en LOPD y LSSI:
Para todas las PyMEs que tengan la incertidumbre de “Qué hacer con estos aspectos
legales”: Por fin llegó ISO-27001.....
Es interesante analizar este aspecto. Tanto en Europa como en EEUU, se están dando
elementos de juicio que avalan este hecho.
A mediados del pasado mes de julio, se publicó en la revista “Computer Weekly” un artículo
muy interesante de directivos de Microsoft, expresaban textualmente que ISO-27001, puede
ser el puente de unión entre las orillas de la seguridad y las regulaciones legales. En el caso
de este País, se refiere más a Sarbanes-Oxley e HIPAA. Pero en el caso concreto de España,
ya hubo también algunos antecedentes concretos de inspecciones de la Agencia Protectora
Se está demostrando que
la única forma de
interpretar la seguridad, es
“como un todo”: Holismo
Si se han asociado eficientemente
los procesos de Negocio con los
activos fundamentales, entonces
ahora se puede pensar la seguridad
de los mismos como una cuestión
ya no de gasto, sino de beneficio
para esta PyME.
3. de Datos a empresas certificadas en ISO-27001 en los cuales, al tomar conocimiento de la
certificación, los responsables de esta agencia la
consideraron como un trabajo superior aún al solo hecho
de la legalidad con la LOPD, pues evidentemente habían
encarado un desafío mucho más grande, que incluía como
parte de él, los aspectos relacionados con la protección de
datos, y no hicieron ningún tipo de observaciones.
Estas consideraciones no pueden dejar dudas, pues el último grupo de controles de ISO-
27001, se refiere a “Marco legal y buenas prácticas”, y su no cumplimiento es motivo de No
Conformidad Mayor, lo que ocasiona la no certificación. Es decir, el recibir la certificación
ISO-27001, implica y avala, que los auditores correspondientes, han realizado una
evaluación de las conformidades legales de la empresa y dieron el visto bueno.......Se podría
presentar una hipotética situación, en la cual una inspección de la Agencia de Protección de
Datos o cualquier organismo oficial, ponga en duda lo controlado por la Autoridad
Certificadora..... humm... que incertidumbre..... ¿Quién se animará a bombardear este
puente primero?
d. Entrar en el proceso de “Lobby” que se está gestando:
Uno de los principales motores que están llevando al incremento de certificaciones ISO
27001 está siendo la aparición en contratos, de sugerencias al proveedor respecto a estar
certificado en esta norma. Cada vez más contratos, estipulan ya que el proveedor apropiado
debería tener la certificación en ISO-27001. Nuevamente no es de extrañarse, pues ya
sucedió con otros estándares y es lógico que así suceda, pues estamos hablando de empresas
que han decidido invertir en mejorar y garantizar sus SSII y otras que no.
Para no pecar de inocente, en este ámbito tan “sanamente”
competitivo, es muy lógico pensar que algunas empresas que ya
tienen la certificación ISO 27001 harán “lobby” a favor de
incluirlo como requisito en las ofertas de los clientes,
obstaculizando a cualquier rival que no la tenga (no se porqué,
me suena conocido este discurso......).
Por tanto y como nueva motivación, la certificación de la seguridad puede ser una
oportunidad de negocio más que un coste. Lo que no se puede pensar es obtener la
certificación, por este sólo hecho, y muchísimo menos, hacerlo contra reloj pues sería
inabordable.
2. El nicho de mercado principal de ISO-27001 son las PyMEs.
Como la mayoría de los estándares, este también nace como una respuesta del mercado ante
requerimientos concretos de seguridad. En definitiva, cualquiera de estas normas, lo que busca
es homogeneizar las buenas prácticas que se comienzan a poner en marcha. Por eso todo
proceso de estandarización de ISO, nace recolectando la opinión de las empresas del mercado
que desean formar parte, proponiendo un primer borrador, y en base a las objeciones,
comentarios técnicos, editoriales, etc. el borrador va madurando hasta llegar al nivel de estándar.
El tema venía fácil para las grandes empresas mientras fue ISO-17799. En definitiva solo era
cuestión de implementar muchas medidas técnicas que se ajusten a los controles, pero al
producirse el cambio a ISO 27001 (la parte certificable de la familia 27000) cuya diferencia de
fondo no es trivial, podríamos afirmar categóricamente que el nicho de mercado de esta norma
cambió radicalmente. La magnitud e implicaciones de un verdadero SGSI y un PDCA es tan
“ISO-27001, puede ser el
puente de unión entre las
orillas de la seguridad y
las regulaciones legales”
La certificación de la
seguridad puede ser
una oportunidad de
negocio más que un
coste.
4. considerable, que una gran empresa lo tiene muy cuesta arriba, y a los hechos me remito: No
existe ninguna gran empresa que haya podido certificar el 100% de sus sistemas de información.
Todas han empezado por acotar su ámbito de certificación, para avanzar paso a paso e ir
creciendo hasta ver a dónde llegan. Es natural, pues desde la línea de partida es difícil ponerse
de acuerdo, pues un análisis de riesgo que pueda identificar TODOS los SSII que afectan sus
procesos de negocio, para una gran empresa es imposible (insisto, me refiero a TODOS llegando
al máximo nivel de detalle que permita concatenarse con la medición de impacto, las
salvaguardas, y cuantificando el riesgo con valores concretos). Si no se puede partir de una base
sólida, las inconsistencias se suman y se propagan, llegando a presentar serias brechas, para lo
cual el mejor camino es “acotar la tarea”, con un buen cimiento, es decir un ámbito reducido, y
luego seguir avanzando ladrillo a ladrillo.
Esta realidad, podemos afirmarla pues
justamente para corroborar este hecho, fue
que en NCS nos propusimos la meta de
certificar el 100% de nuestros sistemas y
comprobar que esto es factible para una
PyME, viviendo muy de cerca la dificultad
que esto presenta a grandes empresas. Una
PyME hoy, tiene el camino mucho más fácil,
pues hasta la totalidad de su ámbito puede
quedar bajo el control de un SGSI por la
magnitud y sencillez que representa frente a
una grande.
Como acabamos de expresar entonces, esta
norma no pretende llegar únicamente a
grandes empresas, sino que casi lo contrario,
deberá necesariamente ser aplicado en las PyMEs que deseen trabajar como socias de negocio de
cualquier otra grande o pequeña empresa. Todo indica que desde varios organismos oficiales
están apuntando a este hecho, a través de proyectos, subvenciones, gestiones, etc.
3. Metodología de implantación y certificación en las PyMEs.
El principal objetivo de este artículo es ofrecer un claro curso de acción para las PyMEs. No
está orientado a las grandes empresas, pues cualquiera de ellas está en condiciones de contratar
una consultoría externa y desentenderse del tema (....grave error), asumiendo también los
grandes costes que ello implica. Por esta razón, es que toda PyME debe hacer una fuerte
diferencia entre la “Necesidad de certificar” y el “Negocio de la Certificación”, que es la
finalidad última de todo este texto pues, bien entendidas estas posturas es lo que les permitirá
implementar a las PyMEs la mayoría de los puntos de este estándar, con gran independencia del
“Negocio de la Certificación” que se gesta alrededor de todo estándar certificable.
Para serles sinceros, si se poseen los conocimientos y capacidades necesarias,
afirmaría que se puede “Dibujar” una certificación ISO 27001 (y lo que acabo
de afirmar, es muy, pero muy atrevido….). Lo que también afirmo y con mucha
más contundencia, es que será imposible de mantener esta mentira.
Comentario: al solicitar la certificación ISO-
27001, se debe especificar un ámbito para la
misma, este ámbito deja fuera todo lo que uno
no desee cubrir por el certificado. Por
ejemplo, se puede solicitar la certificación
para el CPD central de la empresa, para el
proceso de control de stock, de ventas, para la
plataforma de transmisión de datos WAN,
para la infraestructura informática de tal
provincia, etc. Es decir, el certificado ISO-
27001, solo aplica al ámbito en el cual se
acotó la certificación, cosa que en el Logo que
exhibe la empresa no figura, pero sí en el
certificado (recomendamos especialmente,
prestar atención a este hecho)
5. Lo que se trata de reflejar en el cuadro anterior es la decisión que deberá adoptar todo
responsable de sistemas en los próximos años, es decir:
Tal vez parezca cruel, o poco serio, pero es la cruda realidad (a veces la realidad supera
ampliamente a la ficción, y en este tipo de determinaciones puedo asegurarlo con mucha
certeza) .
Se puede encarar esta ardua tarea, con la intención de aprovechar el esfuerzo o simplemente,
para cumplir con un requisito que permita a la empresa seguir fielmente las exigencias del
mercado y hacer el mínimo esfuerzo posible, tratando de (fría y crudamente) engañar al
auditor…..(Lo que recuerden que, también afirmo y con mucha más contundencia, es que será
imposible de mantener esta mentira). Puedo garantizar que será humanamente imposible
volver a demostrar, año tras año, que el SGSI sigue rodando (la mentira tiene patas cortas). Es
decir, no merece la pena tratar de encarar una futura certificación ISO 27001 si no se tiene como
objetivo fundamental y sincero:
“Implementar un VERDADERO SGSI”
Esto se desmorona muy rápidamente si se partió de pilares débiles, engañosos o falsos, tratando
meramente de obtener el sello de “ISO 27001” como única meta.
Por lo tanto, primer “consejo” (si se puede llamar así): No se
autoengañen, encaren esta tarea con la sana intención de aprovechar
al máximo cada esfuerzo que esta les requiera.
Una vez comprendido esto, creo necesario avanzar un poco más aún, pues esto afecta de lleno a
las PyMEs y tal vez no tanto a una gran empresa.
Todo responsable de implementar ISO 27001 en una PyME, en mayor o menor medida, “SÍ o
SÍ” ¡¡ debe MOJARSE !!
Una gran empresa, tal vez pueda darse el lujo de externalizar todo el proceso, el mantenimiento
y las acciones a futuro……….una PyME seguro que no. A lo sumo, deberá contratar una
consultora que le analice, diseñe, planifique e implemente inicialmente desde el vamos, todo el
SGSI, pero es casi seguro que no podrá subcontratar el mantenimiento que un SGSI requiere,
esta tarea implica poseer un claro entendimiento de lo que se hizo y el funcionamiento de todo el
SGSI, por lo tanto, en cualquier caso alguien, responsable de la PyME deberá intervenir en
profundidad. Esto no quiere decir que le implicará abandonar el resto de sus tareas, pero se debe
ser consciente, que algo de su tiempo le deberá dadicar.
El responsable de seguridad de la PyME deberá “Mojarse” desde el inicio. Puede hacerlo,
embebiéndose del Estándar, e ir preparando poco a poco su empresa con un mínimo apoyo de
algún especialista. Este curso de acción, requiere un mayor esfuerzo de los administradores de
informática de la empresa (y de su responsable), pero es el que mayor experiencia les aportará y,
los resultados, si se ponen ganas, serán muy buenos y dejarán claros los pasos a futuro para
mantener el SGSI funcionando perfectamente.
La segunda opción que puede tener el responsable de seguridad de una PyME, es contratar una
consultoría para que lo guíe paso a paso en todo el proceso, ¡¡ ojo !!, no estoy diciendo que haga
Evidentemente, necesito
certificar ISO 27001 en
el corto plazo:
¿Busco sólo
el sello?
¿Lo hago
como se debe?
6. todo el trabajo, sino que vaya guiando a la empresa en cómo hacerlo, pues si lo hace la
consultora, se cae en la mentira anteriormente mencionada, pues una vez que se retire el
consultor, el SGSI será muy duro de mantener. Por lo tanto lo más importante a reflexionar
sobre esta segunda opción es que no es “lavarse las manos”, sino trabajar codo a codo con el
consultor, para aprovechar al máximo la experiencia de éste en cada paso, y ser capaz de tener
un claro conocimiento de todo lo realizado, para mantenerlo en funcionamiento, se reitera que
de esto se trata: “un ciclo de vida continuo”.
En cualquiera de los dos casos, es perfectamente posible preparar una PyME para luego solicitar
a los auditores acreditados la certificación ISO 27001.