SlideShare una empresa de Scribd logo

Iso 27001 y las PyMEs

Alejandro Corletti Estrada
Alejandro Corletti Estrada

Quinto artículo sobre de Alejandro Corletti Estada sobre la familia ISO-27000

Internet
1 de 6
Descargar para leer sin conexión
ISO-27001 y las PyMEs (por Alejandro Corletti: acorletti@darfe.es) Este artículo va a presentar una visión concreta y realista de la situación de las PyMEs Españolas en cuanto a ISO-27001. Se trata de “vislumbrar lo que se viene” para anticipar un poco lo que a las PyMEs casi les vendrá impuesto. Esto no es una novedad, con ISO 9000 ya sucedió, la diferencia tal vez sea que este nuevo estándar está creciendo más vertiginosamente y a su vez toda PyMEs que desee seguir compitiendo en este “Cybermercado” necesitará cada vez más abrir/compartir sus SSII, deberá acceder y ser accedido a su información de Stock, facturación, pedidos, clientes, productos, precios, listados, nómina, etc..... y para ello le exigirán un cierto nivel de seguridad de los mismos. Este nivel, la mejor forma de demostrarlo es a través de una certificación reconocida mundialmente, y en esto, la calve la tiene ISO-27001. 1. Claves para una PyME. Vamos a empezar un poco al revés de la estrategia común de un artículo. Más allá del desarrollo teórico, deseo dejar claro que a nuestro juicio, existen cuarto CLAVES para una PyME que se plantea ISO-27001 (primera cuestión que tal vez no sea así en una gran empresa): - Orientar la Seguridad con sus procesos de negocio. - Gestionar su seguridad (no solo medidas técnicas) - Obtener una validación sólida sobre su situación en LOPD y LSSI. - Entrar en el proceso de “Lobby” que se está gestando. Desarrollemos brevemente cada uno de ellos: a. Orientar la Seguridad con sus procesos de negocio: El primer paso para la implementación de ISO-27001, es el análisis de riesgo (AR) (hasta podríamos discutir si es previo o no a la determinación del “Ámbito a certificar”, pero no vale la pena hacerlo ahora....). Esta actividad que está muy de moda hoy, puede hacerse siguiendo cualquier metodología, siempre y cuando demuestre coherencia. El resultado final de la misma, será a través del análisis de activos, impacto, salvaguardas, etc, llegar a determinar los niveles de riesgo (fundamentalmente residuales) al que cada activo quedará expuesto, con la intención de “trabajar” de aquí en más sobre los mismos, en un ciclo continuo (Plan-Do-Check-Act). Hemos visto mucho de esto en la viña del Señor y estamos convencidos, que para una PyMEs lo fundamental, es que en el resultado final del mismo se vea claramente que lo principal para esta PyME es comenzar todo el trabajo por aquellos activos que “dan de comer a la empresa”, es decir los procesos primarios de negocio. Sinceramente, no nos sirve de mucho reconocer que la página web posee un alto riesgo, si esta empresa no opera a través de ella, es importante, pero no fundamental. ASPECTOS TRATADOS EN ESTAS LÍNEAS 1. Claves para una PyME. 2. El nicho de mercado principal de ISO-27001 son las PyMEs. 3. Metodología de implantación y certificación en las PyMEs.
Si se han asociado eficientemente los procesos de Negocio con los activos fundamentales, entonces ahora se puede pensar la seguridad de los mismos como una cuestión ya no de gasto, sino de beneficio para esta PyME. Cada una de las acciones estará orientada a optimizar y garantizar el correcto funcionamiento de cada uno de ellos. Desde la contratación de personal, los cacuerdos con terceros, la adquisición de hardware y software, la segmentación de redes, las medidas de seguridad física, hasta la preparación/prevención y tratamiento de incidentes, las conformidades legales, etc. Cada uno de estos temas estará centrado en su eficiente adecuación para el proceso de negocio. Conclusión: el resultado final del AR, debe ser un claro reflejo de lo prioritario que es, para esta empresa en particular, cada activo relacionado con sus procesos de negocio (sino, ya empezamos mal....). Luego se optimizará cada uno de ellos. b. Gestionar su seguridad (no solo medidas técnicas): El holismo enfatiza la importancia del todo, el cual, es más grande que la suma de las partes y da importancia a la interdependencia de estas. Holismo, eso es gestionar la seguridad. Nuestra experiencia, es que la seguridad hasta ahora no deja de ser un conjunto de partes, conformadas por mayor o menor cantidad de medidas técnicas, según la empresa. ISO-27001, reúne la totalidad de ellas y al integrarlas a través de un Sistema de Gestión de la Seguridad de la Información (SGSI) y llevado como un ciclo continuo (PDCA) genera holismo, un resultado superior a la suma de sus partes. Esto no es una mera hipótesis, es el resultado que ofrecen los puntos 4 al 8 de ISO-27001. Hasta ISO-17799 (Actual ISO-27002), la seguridad era solamente una serie de 133 controles técnicos y nada más. La diferencia (Fundamental), entre su predecesora 17799 y la actual 27001, es que a través de esos nuevos apartados, se genera un verdadero Sistema de Gestión consensuado y llevado a la práctica mundialmente, pues se está demostrando que es la única forma de interpretar la seguridad, “como un todo” = Holismo. Lo importante de esto para una PyME es que, es más grande que la suma de sus partes, y a través de estos puntos (4 al 8), no deja nada librado al azar, garantizando y homogeneizando el propio sistema con el de otras empresas, independientemente de la magnitud de las mismas. c. Obtener una validación sólida sobre su situación en LOPD y LSSI: Para todas las PyMEs que tengan la incertidumbre de “Qué hacer con estos aspectos legales”: Por fin llegó ISO-27001..... Es interesante analizar este aspecto. Tanto en Europa como en EEUU, se están dando elementos de juicio que avalan este hecho. A mediados del pasado mes de julio, se publicó en la revista “Computer Weekly” un artículo muy interesante de directivos de Microsoft, expresaban textualmente que ISO-27001, puede ser el puente de unión entre las orillas de la seguridad y las regulaciones legales. En el caso de este País, se refiere más a Sarbanes-Oxley e HIPAA. Pero en el caso concreto de España, ya hubo también algunos antecedentes concretos de inspecciones de la Agencia Protectora Se está demostrando que la única forma de interpretar la seguridad, es “como un todo”: Holismo Si se han asociado eficientemente los procesos de Negocio con los activos fundamentales, entonces ahora se puede pensar la seguridad de los mismos como una cuestión ya no de gasto, sino de beneficio para esta PyME.
de Datos a empresas certificadas en ISO-27001 en los cuales, al tomar conocimiento de la certificación, los responsables de esta agencia la consideraron como un trabajo superior aún al solo hecho de la legalidad con la LOPD, pues evidentemente habían encarado un desafío mucho más grande, que incluía como parte de él, los aspectos relacionados con la protección de datos, y no hicieron ningún tipo de observaciones. Estas consideraciones no pueden dejar dudas, pues el último grupo de controles de ISO- 27001, se refiere a “Marco legal y buenas prácticas”, y su no cumplimiento es motivo de No Conformidad Mayor, lo que ocasiona la no certificación. Es decir, el recibir la certificación ISO-27001, implica y avala, que los auditores correspondientes, han realizado una evaluación de las conformidades legales de la empresa y dieron el visto bueno.......Se podría presentar una hipotética situación, en la cual una inspección de la Agencia de Protección de Datos o cualquier organismo oficial, ponga en duda lo controlado por la Autoridad Certificadora..... humm... que incertidumbre..... ¿Quién se animará a bombardear este puente primero? d. Entrar en el proceso de “Lobby” que se está gestando: Uno de los principales motores que están llevando al incremento de certificaciones ISO 27001 está siendo la aparición en contratos, de sugerencias al proveedor respecto a estar certificado en esta norma. Cada vez más contratos, estipulan ya que el proveedor apropiado debería tener la certificación en ISO-27001. Nuevamente no es de extrañarse, pues ya sucedió con otros estándares y es lógico que así suceda, pues estamos hablando de empresas que han decidido invertir en mejorar y garantizar sus SSII y otras que no. Para no pecar de inocente, en este ámbito tan “sanamente” competitivo, es muy lógico pensar que algunas empresas que ya tienen la certificación ISO 27001 harán “lobby” a favor de incluirlo como requisito en las ofertas de los clientes, obstaculizando a cualquier rival que no la tenga (no se porqué, me suena conocido este discurso......). Por tanto y como nueva motivación, la certificación de la seguridad puede ser una oportunidad de negocio más que un coste. Lo que no se puede pensar es obtener la certificación, por este sólo hecho, y muchísimo menos, hacerlo contra reloj pues sería inabordable. 2. El nicho de mercado principal de ISO-27001 son las PyMEs. Como la mayoría de los estándares, este también nace como una respuesta del mercado ante requerimientos concretos de seguridad. En definitiva, cualquiera de estas normas, lo que busca es homogeneizar las buenas prácticas que se comienzan a poner en marcha. Por eso todo proceso de estandarización de ISO, nace recolectando la opinión de las empresas del mercado que desean formar parte, proponiendo un primer borrador, y en base a las objeciones, comentarios técnicos, editoriales, etc. el borrador va madurando hasta llegar al nivel de estándar. El tema venía fácil para las grandes empresas mientras fue ISO-17799. En definitiva solo era cuestión de implementar muchas medidas técnicas que se ajusten a los controles, pero al producirse el cambio a ISO 27001 (la parte certificable de la familia 27000) cuya diferencia de fondo no es trivial, podríamos afirmar categóricamente que el nicho de mercado de esta norma cambió radicalmente. La magnitud e implicaciones de un verdadero SGSI y un PDCA es tan “ISO-27001, puede ser el puente de unión entre las orillas de la seguridad y las regulaciones legales” La certificación de la seguridad puede ser una oportunidad de negocio más que un coste.
considerable, que una gran empresa lo tiene muy cuesta arriba, y a los hechos me remito: No existe ninguna gran empresa que haya podido certificar el 100% de sus sistemas de información. Todas han empezado por acotar su ámbito de certificación, para avanzar paso a paso e ir creciendo hasta ver a dónde llegan. Es natural, pues desde la línea de partida es difícil ponerse de acuerdo, pues un análisis de riesgo que pueda identificar TODOS los SSII que afectan sus procesos de negocio, para una gran empresa es imposible (insisto, me refiero a TODOS llegando al máximo nivel de detalle que permita concatenarse con la medición de impacto, las salvaguardas, y cuantificando el riesgo con valores concretos). Si no se puede partir de una base sólida, las inconsistencias se suman y se propagan, llegando a presentar serias brechas, para lo cual el mejor camino es “acotar la tarea”, con un buen cimiento, es decir un ámbito reducido, y luego seguir avanzando ladrillo a ladrillo. Esta realidad, podemos afirmarla pues justamente para corroborar este hecho, fue que en NCS nos propusimos la meta de certificar el 100% de nuestros sistemas y comprobar que esto es factible para una PyME, viviendo muy de cerca la dificultad que esto presenta a grandes empresas. Una PyME hoy, tiene el camino mucho más fácil, pues hasta la totalidad de su ámbito puede quedar bajo el control de un SGSI por la magnitud y sencillez que representa frente a una grande. Como acabamos de expresar entonces, esta norma no pretende llegar únicamente a grandes empresas, sino que casi lo contrario, deberá necesariamente ser aplicado en las PyMEs que deseen trabajar como socias de negocio de cualquier otra grande o pequeña empresa. Todo indica que desde varios organismos oficiales están apuntando a este hecho, a través de proyectos, subvenciones, gestiones, etc. 3. Metodología de implantación y certificación en las PyMEs. El principal objetivo de este artículo es ofrecer un claro curso de acción para las PyMEs. No está orientado a las grandes empresas, pues cualquiera de ellas está en condiciones de contratar una consultoría externa y desentenderse del tema (....grave error), asumiendo también los grandes costes que ello implica. Por esta razón, es que toda PyME debe hacer una fuerte diferencia entre la “Necesidad de certificar” y el “Negocio de la Certificación”, que es la finalidad última de todo este texto pues, bien entendidas estas posturas es lo que les permitirá implementar a las PyMEs la mayoría de los puntos de este estándar, con gran independencia del “Negocio de la Certificación” que se gesta alrededor de todo estándar certificable. Para serles sinceros, si se poseen los conocimientos y capacidades necesarias, afirmaría que se puede “Dibujar” una certificación ISO 27001 (y lo que acabo de afirmar, es muy, pero muy atrevido….). Lo que también afirmo y con mucha más contundencia, es que será imposible de mantener esta mentira. Comentario: al solicitar la certificación ISO- 27001, se debe especificar un ámbito para la misma, este ámbito deja fuera todo lo que uno no desee cubrir por el certificado. Por ejemplo, se puede solicitar la certificación para el CPD central de la empresa, para el proceso de control de stock, de ventas, para la plataforma de transmisión de datos WAN, para la infraestructura informática de tal provincia, etc. Es decir, el certificado ISO- 27001, solo aplica al ámbito en el cual se acotó la certificación, cosa que en el Logo que exhibe la empresa no figura, pero sí en el certificado (recomendamos especialmente, prestar atención a este hecho)
Lo que se trata de reflejar en el cuadro anterior es la decisión que deberá adoptar todo responsable de sistemas en los próximos años, es decir: Tal vez parezca cruel, o poco serio, pero es la cruda realidad (a veces la realidad supera ampliamente a la ficción, y en este tipo de determinaciones puedo asegurarlo con mucha certeza) . Se puede encarar esta ardua tarea, con la intención de aprovechar el esfuerzo o simplemente, para cumplir con un requisito que permita a la empresa seguir fielmente las exigencias del mercado y hacer el mínimo esfuerzo posible, tratando de (fría y crudamente) engañar al auditor…..(Lo que recuerden que, también afirmo y con mucha más contundencia, es que será imposible de mantener esta mentira). Puedo garantizar que será humanamente imposible volver a demostrar, año tras año, que el SGSI sigue rodando (la mentira tiene patas cortas). Es decir, no merece la pena tratar de encarar una futura certificación ISO 27001 si no se tiene como objetivo fundamental y sincero: “Implementar un VERDADERO SGSI” Esto se desmorona muy rápidamente si se partió de pilares débiles, engañosos o falsos, tratando meramente de obtener el sello de “ISO 27001” como única meta. Por lo tanto, primer “consejo” (si se puede llamar así): No se autoengañen, encaren esta tarea con la sana intención de aprovechar al máximo cada esfuerzo que esta les requiera. Una vez comprendido esto, creo necesario avanzar un poco más aún, pues esto afecta de lleno a las PyMEs y tal vez no tanto a una gran empresa. Todo responsable de implementar ISO 27001 en una PyME, en mayor o menor medida, “SÍ o SÍ” ¡¡ debe MOJARSE !! Una gran empresa, tal vez pueda darse el lujo de externalizar todo el proceso, el mantenimiento y las acciones a futuro……….una PyME seguro que no. A lo sumo, deberá contratar una consultora que le analice, diseñe, planifique e implemente inicialmente desde el vamos, todo el SGSI, pero es casi seguro que no podrá subcontratar el mantenimiento que un SGSI requiere, esta tarea implica poseer un claro entendimiento de lo que se hizo y el funcionamiento de todo el SGSI, por lo tanto, en cualquier caso alguien, responsable de la PyME deberá intervenir en profundidad. Esto no quiere decir que le implicará abandonar el resto de sus tareas, pero se debe ser consciente, que algo de su tiempo le deberá dadicar. El responsable de seguridad de la PyME deberá “Mojarse” desde el inicio. Puede hacerlo, embebiéndose del Estándar, e ir preparando poco a poco su empresa con un mínimo apoyo de algún especialista. Este curso de acción, requiere un mayor esfuerzo de los administradores de informática de la empresa (y de su responsable), pero es el que mayor experiencia les aportará y, los resultados, si se ponen ganas, serán muy buenos y dejarán claros los pasos a futuro para mantener el SGSI funcionando perfectamente. La segunda opción que puede tener el responsable de seguridad de una PyME, es contratar una consultoría para que lo guíe paso a paso en todo el proceso, ¡¡ ojo !!, no estoy diciendo que haga Evidentemente, necesito certificar ISO 27001 en el corto plazo: ¿Busco sólo el sello? ¿Lo hago como se debe?
todo el trabajo, sino que vaya guiando a la empresa en cómo hacerlo, pues si lo hace la consultora, se cae en la mentira anteriormente mencionada, pues una vez que se retire el consultor, el SGSI será muy duro de mantener. Por lo tanto lo más importante a reflexionar sobre esta segunda opción es que no es “lavarse las manos”, sino trabajar codo a codo con el consultor, para aprovechar al máximo la experiencia de éste en cada paso, y ser capaz de tener un claro conocimiento de todo lo realizado, para mantenerlo en funcionamiento, se reitera que de esto se trata: “un ciclo de vida continuo”. En cualquiera de los dos casos, es perfectamente posible preparar una PyME para luego solicitar a los auditores acreditados la certificación ISO 27001.

Recomendados

207719100-iso-27001-y-las-py m-es
207719100-iso-27001-y-las-py m-es 207719100-iso-27001-y-las-py m-es
207719100-iso-27001-y-las-py m-esxavazquez
 
Ponencia148 1
Ponencia148 1Ponencia148 1
Ponencia148 1dcordova923
 
Cómo y por qué insertar erp
Cómo y por qué insertar erpCómo y por qué insertar erp
Cómo y por qué insertar erpEvaluandoSoftware
 
Cadex BYOD I&GRC
Cadex BYOD I&GRCCadex BYOD I&GRC
Cadex BYOD I&GRCCadextechnology
 
IPv6 (parte_02)-direcciones
IPv6 (parte_02)-direccionesIPv6 (parte_02)-direcciones
IPv6 (parte_02)-direccionesAlejandro Corletti Estrada
 
Iso 27001 e iso 27004
Iso 27001 e iso 27004Iso 27001 e iso 27004
Iso 27001 e iso 27004Alejandro Corletti Estrada
 
Auditoría, Evaluación, Test de de seguridad (OSSTMM?)
Auditoría, Evaluación, Test de de seguridad (OSSTMM?)Auditoría, Evaluación, Test de de seguridad (OSSTMM?)
Auditoría, Evaluación, Test de de seguridad (OSSTMM?)Alejandro Corletti Estrada
 
Iso 27001 los controles parte II
Iso 27001 los controles parte IIIso 27001 los controles parte II
Iso 27001 los controles parte IIAlejandro Corletti Estrada
 

Recomendados

207719100-iso-27001-y-las-py m-es
207719100-iso-27001-y-las-py m-es 207719100-iso-27001-y-las-py m-es
207719100-iso-27001-y-las-py m-esxavazquez
 
Ponencia148 1
Ponencia148 1Ponencia148 1
Ponencia148 1dcordova923
 
Cómo y por qué insertar erp
Cómo y por qué insertar erpCómo y por qué insertar erp
Cómo y por qué insertar erpEvaluandoSoftware
 
Cadex BYOD I&GRC
Cadex BYOD I&GRCCadex BYOD I&GRC
Cadex BYOD I&GRCCadextechnology
 
IPv6 (parte_02)-direcciones
IPv6 (parte_02)-direccionesIPv6 (parte_02)-direcciones
IPv6 (parte_02)-direccionesAlejandro Corletti Estrada
 
Iso 27001 e iso 27004
Iso 27001 e iso 27004Iso 27001 e iso 27004
Iso 27001 e iso 27004Alejandro Corletti Estrada
 
Auditoría, Evaluación, Test de de seguridad (OSSTMM?)
Auditoría, Evaluación, Test de de seguridad (OSSTMM?)Auditoría, Evaluación, Test de de seguridad (OSSTMM?)
Auditoría, Evaluación, Test de de seguridad (OSSTMM?)Alejandro Corletti Estrada
 
Iso 27001 los controles parte II
Iso 27001 los controles parte IIIso 27001 los controles parte II
Iso 27001 los controles parte IIAlejandro Corletti Estrada
 
Analisis iso 27001
Analisis iso 27001Analisis iso 27001
Analisis iso 27001Alejandro Corletti Estrada
 
Esquema Nacional de Seguridad
Esquema Nacional de SeguridadEsquema Nacional de Seguridad
Esquema Nacional de SeguridadAlejandro Corletti Estrada
 
IPv6 (parte_03)-encabezado
IPv6 (parte_03)-encabezadoIPv6 (parte_03)-encabezado
IPv6 (parte_03)-encabezadoAlejandro Corletti Estrada
 
Metodología implantación y certificación de PyMEs en ISO-27001
Metodología implantación y certificación de PyMEs en ISO-27001Metodología implantación y certificación de PyMEs en ISO-27001
Metodología implantación y certificación de PyMEs en ISO-27001Alejandro Corletti Estrada
 
Seguridad WiFi (técnico)
Seguridad WiFi (técnico)Seguridad WiFi (técnico)
Seguridad WiFi (técnico)Alejandro Corletti Estrada
 
Nivel de Inmadurez de los nids
Nivel de Inmadurez de los nidsNivel de Inmadurez de los nids
Nivel de Inmadurez de los nidsAlejandro Corletti Estrada
 
Matriz de estado de seguridad
Matriz de estado de seguridadMatriz de estado de seguridad
Matriz de estado de seguridadAlejandro Corletti Estrada
 
Seguridad WiFI (resumen ejecutivo)
Seguridad WiFI (resumen ejecutivo)Seguridad WiFI (resumen ejecutivo)
Seguridad WiFI (resumen ejecutivo)Alejandro Corletti Estrada
 
Sentencia de muerte a los firewall
Sentencia de muerte a los firewallSentencia de muerte a los firewall
Sentencia de muerte a los firewallAlejandro Corletti Estrada
 
Iso 27001 los controles parte I
Iso 27001 los controles parte IIso 27001 los controles parte I
Iso 27001 los controles parte IAlejandro Corletti Estrada
 
IPv6 (parte_01)-componentes
IPv6 (parte_01)-componentesIPv6 (parte_01)-componentes
IPv6 (parte_01)-componentesAlejandro Corletti Estrada
 
En seguridad hay que HACER y saber vender - Biografia van gogh
En seguridad hay que HACER y saber vender - Biografia van goghEn seguridad hay que HACER y saber vender - Biografia van gogh
En seguridad hay que HACER y saber vender - Biografia van goghAlejandro Corletti Estrada
 
Metodologia nessus snort
Metodologia nessus snortMetodologia nessus snort
Metodologia nessus snortAlejandro Corletti Estrada
 
Libro CIBERSEGURIDAD una Estrategia Informático / Militar
Libro CIBERSEGURIDAD una Estrategia Informático / MilitarLibro CIBERSEGURIDAD una Estrategia Informático / Militar
Libro CIBERSEGURIDAD una Estrategia Informático / MilitarAlejandro Corletti Estrada
 
207718536-problemаtica-ventajas-y-desventajas-iso-27001-py m-es
207718536-problemаtica-ventajas-y-desventajas-iso-27001-py m-es 207718536-problemаtica-ventajas-y-desventajas-iso-27001-py m-es
207718536-problemаtica-ventajas-y-desventajas-iso-27001-py m-esxavazquez
 
ISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte SanchezISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte SanchezRenzo Lomparte
 
ISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte SanchezISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte SanchezRenzo Lomparte
 
Iso 27001
Iso 27001Iso 27001
Iso 27001alexwill88
 
Iso 27001
Iso 27001Iso 27001
Iso 27001navidisey
 
SEGURIDAD DE INFORMACION - ISO 27001
SEGURIDAD DE INFORMACION - ISO 27001SEGURIDAD DE INFORMACION - ISO 27001
SEGURIDAD DE INFORMACION - ISO 27001sucari2009
 
ISO 27000
ISO 27000ISO 27000
ISO 27000indeson12
 
Ensayo u4
Ensayo u4Ensayo u4
Ensayo u4sergio
 

Más contenido relacionado

Destacado

Metodología implantación y certificación de PyMEs en ISO-27001
Metodología implantación y certificación de PyMEs en ISO-27001Metodología implantación y certificación de PyMEs en ISO-27001
Metodología implantación y certificación de PyMEs en ISO-27001Alejandro Corletti Estrada
 
En seguridad hay que HACER y saber vender - Biografia van gogh
En seguridad hay que HACER y saber vender - Biografia van goghEn seguridad hay que HACER y saber vender - Biografia van gogh
En seguridad hay que HACER y saber vender - Biografia van goghAlejandro Corletti Estrada
 
Libro CIBERSEGURIDAD una Estrategia Informático / Militar
Libro CIBERSEGURIDAD una Estrategia Informático / MilitarLibro CIBERSEGURIDAD una Estrategia Informático / Militar
Libro CIBERSEGURIDAD una Estrategia Informático / MilitarAlejandro Corletti Estrada
 

Destacado (14)

Analisis iso 27001
Analisis iso 27001Analisis iso 27001
Analisis iso 27001
 
Esquema Nacional de Seguridad
Esquema Nacional de SeguridadEsquema Nacional de Seguridad
Esquema Nacional de Seguridad
 
IPv6 (parte_03)-encabezado
IPv6 (parte_03)-encabezadoIPv6 (parte_03)-encabezado
IPv6 (parte_03)-encabezado
 
Metodología implantación y certificación de PyMEs en ISO-27001
Metodología implantación y certificación de PyMEs en ISO-27001Metodología implantación y certificación de PyMEs en ISO-27001
Metodología implantación y certificación de PyMEs en ISO-27001
 
Seguridad WiFi (técnico)
Seguridad WiFi (técnico)Seguridad WiFi (técnico)
Seguridad WiFi (técnico)
 
Nivel de Inmadurez de los nids
Nivel de Inmadurez de los nidsNivel de Inmadurez de los nids
Nivel de Inmadurez de los nids
 
Matriz de estado de seguridad
Matriz de estado de seguridadMatriz de estado de seguridad
Matriz de estado de seguridad
 
Seguridad WiFI (resumen ejecutivo)
Seguridad WiFI (resumen ejecutivo)Seguridad WiFI (resumen ejecutivo)
Seguridad WiFI (resumen ejecutivo)
 
Sentencia de muerte a los firewall
Sentencia de muerte a los firewallSentencia de muerte a los firewall
Sentencia de muerte a los firewall
 
Iso 27001 los controles parte I
Iso 27001 los controles parte IIso 27001 los controles parte I
Iso 27001 los controles parte I
 
IPv6 (parte_01)-componentes
IPv6 (parte_01)-componentesIPv6 (parte_01)-componentes
IPv6 (parte_01)-componentes
 
En seguridad hay que HACER y saber vender - Biografia van gogh
En seguridad hay que HACER y saber vender - Biografia van goghEn seguridad hay que HACER y saber vender - Biografia van gogh
En seguridad hay que HACER y saber vender - Biografia van gogh
 
Metodologia nessus snort
Metodologia nessus snortMetodologia nessus snort
Metodologia nessus snort
 
Libro CIBERSEGURIDAD una Estrategia Informático / Militar
Libro CIBERSEGURIDAD una Estrategia Informático / MilitarLibro CIBERSEGURIDAD una Estrategia Informático / Militar
Libro CIBERSEGURIDAD una Estrategia Informático / Militar
 

Similar a Iso 27001 y las PyMEs

207718536-problemаtica-ventajas-y-desventajas-iso-27001-py m-es
207718536-problemаtica-ventajas-y-desventajas-iso-27001-py m-es 207718536-problemаtica-ventajas-y-desventajas-iso-27001-py m-es
207718536-problemаtica-ventajas-y-desventajas-iso-27001-py m-esxavazquez
 
ISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte SanchezISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte SanchezRenzo Lomparte
 
ISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte SanchezISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte SanchezRenzo Lomparte
 
SEGURIDAD DE INFORMACION - ISO 27001
SEGURIDAD DE INFORMACION - ISO 27001SEGURIDAD DE INFORMACION - ISO 27001
SEGURIDAD DE INFORMACION - ISO 27001sucari2009
 
Ensayo u4
Ensayo u4Ensayo u4
Ensayo u4sergio
 
Analisis De La Norma Iso 27001
Analisis De La Norma Iso 27001Analisis De La Norma Iso 27001
Analisis De La Norma Iso 27001dcordova923
 
Guia apoyo sgsi
Guia apoyo sgsiGuia apoyo sgsi
Guia apoyo sgsiSusana Tan
 
Implantacion sgsi iso27001
Implantacion sgsi iso27001Implantacion sgsi iso27001
Implantacion sgsi iso27001ITsencial
 
Ensayo normas juan enrique
Ensayo normas juan enriqueEnsayo normas juan enrique
Ensayo normas juan enriqueJUAN ENRIQUE
 
El derechoinformatico - El largo brazo de la ley
El derechoinformatico - El largo brazo de la ley El derechoinformatico - El largo brazo de la ley
El derechoinformatico - El largo brazo de la leyFabián Descalzo
 
ISO 27001_042104.pptx
ISO 27001_042104.pptxISO 27001_042104.pptx
ISO 27001_042104.pptxRaulMinotta1
 
Seguridad De InformacióN Iso 27001
Seguridad De InformacióN Iso 27001Seguridad De InformacióN Iso 27001
Seguridad De InformacióN Iso 270011k2a3s
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001jerssondqz
 
Dumar resumen analitico investigativo sobre el iso 27005
Dumar resumen analitico investigativo sobre el iso 27005Dumar resumen analitico investigativo sobre el iso 27005
Dumar resumen analitico investigativo sobre el iso 27005ffffffffe23
 

Similar a Iso 27001 y las PyMEs (20)

207718536-problemаtica-ventajas-y-desventajas-iso-27001-py m-es
207718536-problemаtica-ventajas-y-desventajas-iso-27001-py m-es 207718536-problemаtica-ventajas-y-desventajas-iso-27001-py m-es
207718536-problemаtica-ventajas-y-desventajas-iso-27001-py m-es
 
ISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte SanchezISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte Sanchez
 
ISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte SanchezISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte Sanchez
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
SEGURIDAD DE INFORMACION - ISO 27001
SEGURIDAD DE INFORMACION - ISO 27001SEGURIDAD DE INFORMACION - ISO 27001
SEGURIDAD DE INFORMACION - ISO 27001
 
ISO 27000
ISO 27000ISO 27000
ISO 27000
 
Ensayo u4
Ensayo u4Ensayo u4
Ensayo u4
 
Analisis De La Norma Iso 27001
Analisis De La Norma Iso 27001Analisis De La Norma Iso 27001
Analisis De La Norma Iso 27001
 
Guia apoyo sgsi
Guia apoyo sgsiGuia apoyo sgsi
Guia apoyo sgsi
 
Implantacion sgsi iso27001
Implantacion sgsi iso27001Implantacion sgsi iso27001
Implantacion sgsi iso27001
 
Ensayo normas juan enrique
Ensayo normas juan enriqueEnsayo normas juan enrique
Ensayo normas juan enrique
 
El derechoinformatico - El largo brazo de la ley
El derechoinformatico - El largo brazo de la ley El derechoinformatico - El largo brazo de la ley
El derechoinformatico - El largo brazo de la ley
 
ISO 27001_042104.pptx
ISO 27001_042104.pptxISO 27001_042104.pptx
ISO 27001_042104.pptx
 
Monográfico ISO 27001 ISOTools
Monográfico ISO 27001 ISOToolsMonográfico ISO 27001 ISOTools
Monográfico ISO 27001 ISOTools
 
Seguridad De InformacióN Iso 27001
Seguridad De InformacióN Iso 27001Seguridad De InformacióN Iso 27001
Seguridad De InformacióN Iso 27001
 
Auditoria
AuditoriaAuditoria
Auditoria
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
 
Dumar resumen analitico investigativo sobre el iso 27005
Dumar resumen analitico investigativo sobre el iso 27005Dumar resumen analitico investigativo sobre el iso 27005
Dumar resumen analitico investigativo sobre el iso 27005
 
Guia apoyo sgsi
Guia apoyo sgsiGuia apoyo sgsi
Guia apoyo sgsi
 

Último

NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdf
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdfNUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdf
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdfisrael garcia
 
12 Clasificacion de las Computadoras.pdf
12 Clasificacion de las Computadoras.pdf12 Clasificacion de las Computadoras.pdf
12 Clasificacion de las Computadoras.pdfedwinmelgarschlink2
 
Institucion educativa la esperanza sede la magdalena
Institucion educativa la esperanza sede la magdalenaInstitucion educativa la esperanza sede la magdalena
Institucion educativa la esperanza sede la magdalenadanielaerazok
 
INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENA
INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENAINSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENA
INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENAdanielaerazok
 
Buscadores, SEM SEO: el desafío de ser visto en la web
Buscadores, SEM SEO: el desafío de ser visto en la webBuscadores, SEM SEO: el desafío de ser visto en la web
Buscadores, SEM SEO: el desafío de ser visto en la webDecaunlz
 
COMPETENCIAS CIUDADANASadadadadadadada .pdf
COMPETENCIAS CIUDADANASadadadadadadada .pdfCOMPETENCIAS CIUDADANASadadadadadadada .pdf
COMPETENCIAS CIUDADANASadadadadadadada .pdfOscarBlas6
 
Guia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdfGuia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdflauradbernals
 
institucion educativa la esperanza sede magdalena
institucion educativa la esperanza sede magdalenainstitucion educativa la esperanza sede magdalena
institucion educativa la esperanza sede magdalenajuniorcuellargomez
 

Último (8)

NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdf
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdfNUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdf
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdf
 
12 Clasificacion de las Computadoras.pdf
12 Clasificacion de las Computadoras.pdf12 Clasificacion de las Computadoras.pdf
12 Clasificacion de las Computadoras.pdf
 
Institucion educativa la esperanza sede la magdalena
Institucion educativa la esperanza sede la magdalenaInstitucion educativa la esperanza sede la magdalena
Institucion educativa la esperanza sede la magdalena
 
INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENA
INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENAINSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENA
INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENA
 
Buscadores, SEM SEO: el desafío de ser visto en la web
Buscadores, SEM SEO: el desafío de ser visto en la webBuscadores, SEM SEO: el desafío de ser visto en la web
Buscadores, SEM SEO: el desafío de ser visto en la web
 
COMPETENCIAS CIUDADANASadadadadadadada .pdf
COMPETENCIAS CIUDADANASadadadadadadada .pdfCOMPETENCIAS CIUDADANASadadadadadadada .pdf
COMPETENCIAS CIUDADANASadadadadadadada .pdf
 
Guia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdfGuia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdf
 
institucion educativa la esperanza sede magdalena
institucion educativa la esperanza sede magdalenainstitucion educativa la esperanza sede magdalena
institucion educativa la esperanza sede magdalena
 

Iso 27001 y las PyMEs

  • 1. ISO-27001 y las PyMEs (por Alejandro Corletti: acorletti@darfe.es) Este artículo va a presentar una visión concreta y realista de la situación de las PyMEs Españolas en cuanto a ISO-27001. Se trata de “vislumbrar lo que se viene” para anticipar un poco lo que a las PyMEs casi les vendrá impuesto. Esto no es una novedad, con ISO 9000 ya sucedió, la diferencia tal vez sea que este nuevo estándar está creciendo más vertiginosamente y a su vez toda PyMEs que desee seguir compitiendo en este “Cybermercado” necesitará cada vez más abrir/compartir sus SSII, deberá acceder y ser accedido a su información de Stock, facturación, pedidos, clientes, productos, precios, listados, nómina, etc..... y para ello le exigirán un cierto nivel de seguridad de los mismos. Este nivel, la mejor forma de demostrarlo es a través de una certificación reconocida mundialmente, y en esto, la calve la tiene ISO-27001. 1. Claves para una PyME. Vamos a empezar un poco al revés de la estrategia común de un artículo. Más allá del desarrollo teórico, deseo dejar claro que a nuestro juicio, existen cuarto CLAVES para una PyME que se plantea ISO-27001 (primera cuestión que tal vez no sea así en una gran empresa): - Orientar la Seguridad con sus procesos de negocio. - Gestionar su seguridad (no solo medidas técnicas) - Obtener una validación sólida sobre su situación en LOPD y LSSI. - Entrar en el proceso de “Lobby” que se está gestando. Desarrollemos brevemente cada uno de ellos: a. Orientar la Seguridad con sus procesos de negocio: El primer paso para la implementación de ISO-27001, es el análisis de riesgo (AR) (hasta podríamos discutir si es previo o no a la determinación del “Ámbito a certificar”, pero no vale la pena hacerlo ahora....). Esta actividad que está muy de moda hoy, puede hacerse siguiendo cualquier metodología, siempre y cuando demuestre coherencia. El resultado final de la misma, será a través del análisis de activos, impacto, salvaguardas, etc, llegar a determinar los niveles de riesgo (fundamentalmente residuales) al que cada activo quedará expuesto, con la intención de “trabajar” de aquí en más sobre los mismos, en un ciclo continuo (Plan-Do-Check-Act). Hemos visto mucho de esto en la viña del Señor y estamos convencidos, que para una PyMEs lo fundamental, es que en el resultado final del mismo se vea claramente que lo principal para esta PyME es comenzar todo el trabajo por aquellos activos que “dan de comer a la empresa”, es decir los procesos primarios de negocio. Sinceramente, no nos sirve de mucho reconocer que la página web posee un alto riesgo, si esta empresa no opera a través de ella, es importante, pero no fundamental. ASPECTOS TRATADOS EN ESTAS LÍNEAS 1. Claves para una PyME. 2. El nicho de mercado principal de ISO-27001 son las PyMEs. 3. Metodología de implantación y certificación en las PyMEs.
  • 2. Si se han asociado eficientemente los procesos de Negocio con los activos fundamentales, entonces ahora se puede pensar la seguridad de los mismos como una cuestión ya no de gasto, sino de beneficio para esta PyME. Cada una de las acciones estará orientada a optimizar y garantizar el correcto funcionamiento de cada uno de ellos. Desde la contratación de personal, los cacuerdos con terceros, la adquisición de hardware y software, la segmentación de redes, las medidas de seguridad física, hasta la preparación/prevención y tratamiento de incidentes, las conformidades legales, etc. Cada uno de estos temas estará centrado en su eficiente adecuación para el proceso de negocio. Conclusión: el resultado final del AR, debe ser un claro reflejo de lo prioritario que es, para esta empresa en particular, cada activo relacionado con sus procesos de negocio (sino, ya empezamos mal....). Luego se optimizará cada uno de ellos. b. Gestionar su seguridad (no solo medidas técnicas): El holismo enfatiza la importancia del todo, el cual, es más grande que la suma de las partes y da importancia a la interdependencia de estas. Holismo, eso es gestionar la seguridad. Nuestra experiencia, es que la seguridad hasta ahora no deja de ser un conjunto de partes, conformadas por mayor o menor cantidad de medidas técnicas, según la empresa. ISO-27001, reúne la totalidad de ellas y al integrarlas a través de un Sistema de Gestión de la Seguridad de la Información (SGSI) y llevado como un ciclo continuo (PDCA) genera holismo, un resultado superior a la suma de sus partes. Esto no es una mera hipótesis, es el resultado que ofrecen los puntos 4 al 8 de ISO-27001. Hasta ISO-17799 (Actual ISO-27002), la seguridad era solamente una serie de 133 controles técnicos y nada más. La diferencia (Fundamental), entre su predecesora 17799 y la actual 27001, es que a través de esos nuevos apartados, se genera un verdadero Sistema de Gestión consensuado y llevado a la práctica mundialmente, pues se está demostrando que es la única forma de interpretar la seguridad, “como un todo” = Holismo. Lo importante de esto para una PyME es que, es más grande que la suma de sus partes, y a través de estos puntos (4 al 8), no deja nada librado al azar, garantizando y homogeneizando el propio sistema con el de otras empresas, independientemente de la magnitud de las mismas. c. Obtener una validación sólida sobre su situación en LOPD y LSSI: Para todas las PyMEs que tengan la incertidumbre de “Qué hacer con estos aspectos legales”: Por fin llegó ISO-27001..... Es interesante analizar este aspecto. Tanto en Europa como en EEUU, se están dando elementos de juicio que avalan este hecho. A mediados del pasado mes de julio, se publicó en la revista “Computer Weekly” un artículo muy interesante de directivos de Microsoft, expresaban textualmente que ISO-27001, puede ser el puente de unión entre las orillas de la seguridad y las regulaciones legales. En el caso de este País, se refiere más a Sarbanes-Oxley e HIPAA. Pero en el caso concreto de España, ya hubo también algunos antecedentes concretos de inspecciones de la Agencia Protectora Se está demostrando que la única forma de interpretar la seguridad, es “como un todo”: Holismo Si se han asociado eficientemente los procesos de Negocio con los activos fundamentales, entonces ahora se puede pensar la seguridad de los mismos como una cuestión ya no de gasto, sino de beneficio para esta PyME.
  • 3. de Datos a empresas certificadas en ISO-27001 en los cuales, al tomar conocimiento de la certificación, los responsables de esta agencia la consideraron como un trabajo superior aún al solo hecho de la legalidad con la LOPD, pues evidentemente habían encarado un desafío mucho más grande, que incluía como parte de él, los aspectos relacionados con la protección de datos, y no hicieron ningún tipo de observaciones. Estas consideraciones no pueden dejar dudas, pues el último grupo de controles de ISO- 27001, se refiere a “Marco legal y buenas prácticas”, y su no cumplimiento es motivo de No Conformidad Mayor, lo que ocasiona la no certificación. Es decir, el recibir la certificación ISO-27001, implica y avala, que los auditores correspondientes, han realizado una evaluación de las conformidades legales de la empresa y dieron el visto bueno.......Se podría presentar una hipotética situación, en la cual una inspección de la Agencia de Protección de Datos o cualquier organismo oficial, ponga en duda lo controlado por la Autoridad Certificadora..... humm... que incertidumbre..... ¿Quién se animará a bombardear este puente primero? d. Entrar en el proceso de “Lobby” que se está gestando: Uno de los principales motores que están llevando al incremento de certificaciones ISO 27001 está siendo la aparición en contratos, de sugerencias al proveedor respecto a estar certificado en esta norma. Cada vez más contratos, estipulan ya que el proveedor apropiado debería tener la certificación en ISO-27001. Nuevamente no es de extrañarse, pues ya sucedió con otros estándares y es lógico que así suceda, pues estamos hablando de empresas que han decidido invertir en mejorar y garantizar sus SSII y otras que no. Para no pecar de inocente, en este ámbito tan “sanamente” competitivo, es muy lógico pensar que algunas empresas que ya tienen la certificación ISO 27001 harán “lobby” a favor de incluirlo como requisito en las ofertas de los clientes, obstaculizando a cualquier rival que no la tenga (no se porqué, me suena conocido este discurso......). Por tanto y como nueva motivación, la certificación de la seguridad puede ser una oportunidad de negocio más que un coste. Lo que no se puede pensar es obtener la certificación, por este sólo hecho, y muchísimo menos, hacerlo contra reloj pues sería inabordable. 2. El nicho de mercado principal de ISO-27001 son las PyMEs. Como la mayoría de los estándares, este también nace como una respuesta del mercado ante requerimientos concretos de seguridad. En definitiva, cualquiera de estas normas, lo que busca es homogeneizar las buenas prácticas que se comienzan a poner en marcha. Por eso todo proceso de estandarización de ISO, nace recolectando la opinión de las empresas del mercado que desean formar parte, proponiendo un primer borrador, y en base a las objeciones, comentarios técnicos, editoriales, etc. el borrador va madurando hasta llegar al nivel de estándar. El tema venía fácil para las grandes empresas mientras fue ISO-17799. En definitiva solo era cuestión de implementar muchas medidas técnicas que se ajusten a los controles, pero al producirse el cambio a ISO 27001 (la parte certificable de la familia 27000) cuya diferencia de fondo no es trivial, podríamos afirmar categóricamente que el nicho de mercado de esta norma cambió radicalmente. La magnitud e implicaciones de un verdadero SGSI y un PDCA es tan “ISO-27001, puede ser el puente de unión entre las orillas de la seguridad y las regulaciones legales” La certificación de la seguridad puede ser una oportunidad de negocio más que un coste.
  • 4. considerable, que una gran empresa lo tiene muy cuesta arriba, y a los hechos me remito: No existe ninguna gran empresa que haya podido certificar el 100% de sus sistemas de información. Todas han empezado por acotar su ámbito de certificación, para avanzar paso a paso e ir creciendo hasta ver a dónde llegan. Es natural, pues desde la línea de partida es difícil ponerse de acuerdo, pues un análisis de riesgo que pueda identificar TODOS los SSII que afectan sus procesos de negocio, para una gran empresa es imposible (insisto, me refiero a TODOS llegando al máximo nivel de detalle que permita concatenarse con la medición de impacto, las salvaguardas, y cuantificando el riesgo con valores concretos). Si no se puede partir de una base sólida, las inconsistencias se suman y se propagan, llegando a presentar serias brechas, para lo cual el mejor camino es “acotar la tarea”, con un buen cimiento, es decir un ámbito reducido, y luego seguir avanzando ladrillo a ladrillo. Esta realidad, podemos afirmarla pues justamente para corroborar este hecho, fue que en NCS nos propusimos la meta de certificar el 100% de nuestros sistemas y comprobar que esto es factible para una PyME, viviendo muy de cerca la dificultad que esto presenta a grandes empresas. Una PyME hoy, tiene el camino mucho más fácil, pues hasta la totalidad de su ámbito puede quedar bajo el control de un SGSI por la magnitud y sencillez que representa frente a una grande. Como acabamos de expresar entonces, esta norma no pretende llegar únicamente a grandes empresas, sino que casi lo contrario, deberá necesariamente ser aplicado en las PyMEs que deseen trabajar como socias de negocio de cualquier otra grande o pequeña empresa. Todo indica que desde varios organismos oficiales están apuntando a este hecho, a través de proyectos, subvenciones, gestiones, etc. 3. Metodología de implantación y certificación en las PyMEs. El principal objetivo de este artículo es ofrecer un claro curso de acción para las PyMEs. No está orientado a las grandes empresas, pues cualquiera de ellas está en condiciones de contratar una consultoría externa y desentenderse del tema (....grave error), asumiendo también los grandes costes que ello implica. Por esta razón, es que toda PyME debe hacer una fuerte diferencia entre la “Necesidad de certificar” y el “Negocio de la Certificación”, que es la finalidad última de todo este texto pues, bien entendidas estas posturas es lo que les permitirá implementar a las PyMEs la mayoría de los puntos de este estándar, con gran independencia del “Negocio de la Certificación” que se gesta alrededor de todo estándar certificable. Para serles sinceros, si se poseen los conocimientos y capacidades necesarias, afirmaría que se puede “Dibujar” una certificación ISO 27001 (y lo que acabo de afirmar, es muy, pero muy atrevido….). Lo que también afirmo y con mucha más contundencia, es que será imposible de mantener esta mentira. Comentario: al solicitar la certificación ISO- 27001, se debe especificar un ámbito para la misma, este ámbito deja fuera todo lo que uno no desee cubrir por el certificado. Por ejemplo, se puede solicitar la certificación para el CPD central de la empresa, para el proceso de control de stock, de ventas, para la plataforma de transmisión de datos WAN, para la infraestructura informática de tal provincia, etc. Es decir, el certificado ISO- 27001, solo aplica al ámbito en el cual se acotó la certificación, cosa que en el Logo que exhibe la empresa no figura, pero sí en el certificado (recomendamos especialmente, prestar atención a este hecho)
  • 5. Lo que se trata de reflejar en el cuadro anterior es la decisión que deberá adoptar todo responsable de sistemas en los próximos años, es decir: Tal vez parezca cruel, o poco serio, pero es la cruda realidad (a veces la realidad supera ampliamente a la ficción, y en este tipo de determinaciones puedo asegurarlo con mucha certeza) . Se puede encarar esta ardua tarea, con la intención de aprovechar el esfuerzo o simplemente, para cumplir con un requisito que permita a la empresa seguir fielmente las exigencias del mercado y hacer el mínimo esfuerzo posible, tratando de (fría y crudamente) engañar al auditor…..(Lo que recuerden que, también afirmo y con mucha más contundencia, es que será imposible de mantener esta mentira). Puedo garantizar que será humanamente imposible volver a demostrar, año tras año, que el SGSI sigue rodando (la mentira tiene patas cortas). Es decir, no merece la pena tratar de encarar una futura certificación ISO 27001 si no se tiene como objetivo fundamental y sincero: “Implementar un VERDADERO SGSI” Esto se desmorona muy rápidamente si se partió de pilares débiles, engañosos o falsos, tratando meramente de obtener el sello de “ISO 27001” como única meta. Por lo tanto, primer “consejo” (si se puede llamar así): No se autoengañen, encaren esta tarea con la sana intención de aprovechar al máximo cada esfuerzo que esta les requiera. Una vez comprendido esto, creo necesario avanzar un poco más aún, pues esto afecta de lleno a las PyMEs y tal vez no tanto a una gran empresa. Todo responsable de implementar ISO 27001 en una PyME, en mayor o menor medida, “SÍ o SÍ” ¡¡ debe MOJARSE !! Una gran empresa, tal vez pueda darse el lujo de externalizar todo el proceso, el mantenimiento y las acciones a futuro……….una PyME seguro que no. A lo sumo, deberá contratar una consultora que le analice, diseñe, planifique e implemente inicialmente desde el vamos, todo el SGSI, pero es casi seguro que no podrá subcontratar el mantenimiento que un SGSI requiere, esta tarea implica poseer un claro entendimiento de lo que se hizo y el funcionamiento de todo el SGSI, por lo tanto, en cualquier caso alguien, responsable de la PyME deberá intervenir en profundidad. Esto no quiere decir que le implicará abandonar el resto de sus tareas, pero se debe ser consciente, que algo de su tiempo le deberá dadicar. El responsable de seguridad de la PyME deberá “Mojarse” desde el inicio. Puede hacerlo, embebiéndose del Estándar, e ir preparando poco a poco su empresa con un mínimo apoyo de algún especialista. Este curso de acción, requiere un mayor esfuerzo de los administradores de informática de la empresa (y de su responsable), pero es el que mayor experiencia les aportará y, los resultados, si se ponen ganas, serán muy buenos y dejarán claros los pasos a futuro para mantener el SGSI funcionando perfectamente. La segunda opción que puede tener el responsable de seguridad de una PyME, es contratar una consultoría para que lo guíe paso a paso en todo el proceso, ¡¡ ojo !!, no estoy diciendo que haga Evidentemente, necesito certificar ISO 27001 en el corto plazo: ¿Busco sólo el sello? ¿Lo hago como se debe?
  • 6. todo el trabajo, sino que vaya guiando a la empresa en cómo hacerlo, pues si lo hace la consultora, se cae en la mentira anteriormente mencionada, pues una vez que se retire el consultor, el SGSI será muy duro de mantener. Por lo tanto lo más importante a reflexionar sobre esta segunda opción es que no es “lavarse las manos”, sino trabajar codo a codo con el consultor, para aprovechar al máximo la experiencia de éste en cada paso, y ser capaz de tener un claro conocimiento de todo lo realizado, para mantenerlo en funcionamiento, se reitera que de esto se trata: “un ciclo de vida continuo”. En cualquiera de los dos casos, es perfectamente posible preparar una PyME para luego solicitar a los auditores acreditados la certificación ISO 27001.