SlideShare una empresa de Scribd logo
1 de 6
Descargar para leer sin conexión
ISO-27001 y las PyMEs 
(por Alejandro Corletti: acorletti@ncs-spain.com) 
ASPECTOS TRATADOS EN ESTAS LÍNEAS 
1. Claves para una PyME. 
2. El nicho de mercado principal de ISO-27001 son las PyMEs. 
3. Metodología de implantación y certificación en las PyMEs. 
Este artículo va a presentar una visión concreta y realista de la situación de las PyMEs Españolas en 
cuanto a ISO-27001. Se trata de “vislumbrar lo que se viene” para anticipar un poco lo que a las 
PyMEs casi les vendrá impuesto. Esto no es una novedad, con ISO 9000 ya sucedió, la diferencia 
tal vez sea que este nuevo estándar está creciendo más vertiginosamente y a su vez toda PyMEs que 
desee seguir compitiendo en este “Cybermercado” necesitará cada vez más abrir/compartir sus SSII, 
deberá acceder y ser accedido a su información de Stock, facturación, pedidos, clientes, productos, 
precios, listados, nómina, etc..... y para ello le exigirán un cierto nivel de seguridad de los mismos. 
Este nivel, la mejor forma de demostrarlo es a través de una certificación reconocida mundialmente, 
y en esto, la calve la tiene ISO-27001. 
Desde NCS, hemos querido vivir esta realidad en carne propia, para poder conocer en detalle todos 
sus aspectos, por eso empezamos a analizar este nuevo estándar desde hace casi dos años 
(acompañando a esta revista desde que nació, con las primeras publicaciones en ISO 27001) y en 
julio de este año obtuvimos la certificación. Nuestro ámbito a certificar fue el más amplio que se 
puede proponer una PyME: “La totalidad de los Sistemas de Información”, este era el último 
eslabón que nos faltaba para poder ser verdaderos referentes en ISO-27001 orientado claramente 
dentro del marco de las PyMEs, conociendo el detalle de todo el proceso, su problemática, sus 
beneficios, ventajas y desventajas (de lo que hablaremos en otra ocasión). Hoy podemos decir que 
sabemos del tema, y en este artículo trataremos de reflejar nuestra experiencia. 
1. Claves para una PyME. 
Vamos a empezar un poco al revés de la estrategia común de un artículo. Más allá del desarrollo 
teórico, deseo dejar claro que a nuestro juicio, existen cuarto CLAVES para una PyME que se 
plantea ISO-27001 (primera cuestión que tal vez no sea así en una gran empresa): 
- Orientar la Seguridad con sus procesos de negocio. 
- Gestionar su seguridad (no solo medidas técnicas) 
- Obtener una validación sólida sobre su situación en LOPD y LSSI. 
- Entrar en el proceso de “Lobby” que se está gestando. 
Desarrollemos brevemente cada uno de ellos: 
a. Orientar la Seguridad con sus procesos de negocio: 
El primer paso para la implementación de ISO-27001, es el análisis de riesgo (AR) (hasta 
podríamos discutir si es previo o no a la determinación del “Ámbito a certificar”, pero no 
vale la pena hacerlo ahora....). Esta actividad que está muy de moda hoy, puede hacerse 
siguiendo cualquier metodología, siempre y cuando demuestre coherencia. El resultado
final de la misma, será a través del análisis de activos, impacto, salvaguardas, etc, llegar a 
determinar los niveles de riesgo (fundamentalmente residuales) al que cada activo quedará 
expuesto, con la intención de “trabajar” de aquí en más sobre los mismos, en un ciclo 
continuo (Plan-Do-Check-Act). Hemos visto mucho de esto en la viña del Señor y estamos 
convencidos, que para una PyMEs lo fundamental, es que en el resultado final del mismo se 
vea claramente que lo principal para esta PyME es comenzar todo el trabajo por aquellos 
activos que “dan de comer a la empresa”, es decir los procesos primarios de negocio. 
Sinceramente, no nos sirve de mucho reconocer que la página web posee un alto riesgo, si 
esta empresa no opera a través de ella, es importante, pero no fundamental. 
Si se han asociado eficientemente los procesos de Negocio con los activos fundamentales, 
entonces ahora se puede pensar la seguridad de los mismos como una cuestión ya no de 
gasto, sino de beneficio para esta PyME. Cada una de las acciones estará orientada a 
optimizar y garantizar el correcto funcionamiento de 
cada uno de ellos. Desde la contratación de 
personal, los cacuerdos con terceros, la adquisición 
de hardware y software, la segmentación de redes, 
las medidas de seguridad física, hasta la 
preparación/prevención y tratamiento de incidentes, 
las conformidades legales, etc. Cada uno de estos 
temas estará centrado en su eficiente adecuación 
para el proceso de negocio. 
Conclusión: el resultado final del AR, debe ser un claro reflejo de lo prioritario que es, para 
esta empresa en particular, cada activo relacionado con sus procesos de negocio (sino, ya 
empezamos mal....). Luego se optimizará cada uno de ellos. 
b. Gestionar su seguridad (no solo medidas técnicas): 
Si se han asociado eficientemente 
los procesos de Negocio con los 
activos fundamentales, entonces 
ahora se puede pensar la seguridad 
de los mismos como una cuestión 
ya no de gasto, sino de beneficio 
para esta PyME. 
El holismo enfatiza la importancia del todo, el cual, es más grande que la suma de las partes 
y da importancia a la interdependencia de estas. 
Holismo, eso es gestionar la seguridad. Nuestra experiencia, es que la seguridad hasta ahora 
no deja de ser un conjunto de partes, conformadas por mayor o menor cantidad de medidas 
técnicas, según la empresa. ISO-27001, reúne la totalidad de ellas y al integrarlas a través 
de un Sistema de Gestión de la Seguridad de la Información (SGSI) y llevado como un ciclo 
continuo (PDCA) genera holismo, un resultado superior a la suma de sus partes. 
Esto no es una mera hipótesis, es el resultado que ofrecen los puntos 4 al 8 de ISO-27001. 
Hasta ISO-17799 (Actual ISO-27002), la seguridad era solamente una serie de 133 controles 
técnicos y nada más. La diferencia (Fundamental), entre su 
predecesora 17799 y la actual 27001, es que a través de esos 
Se está demostrando que 
nuevos apartados, se genera un verdadero Sistema de 
la única forma de 
Gestión consensuado y llevado a la práctica mundialmente, 
interpretar la seguridad, es 
pues se está demostrando que es la única forma de 
“como un todo”: Holismo 
interpretar la seguridad, “como un todo” = Holismo. 
Lo importante de esto para una PyME es que, es más grande que la suma de sus partes, y a 
través de estos puntos (4 al 8), no deja nada librado al azar, garantizando y homogeneizando 
el propio sistema con el de otras empresas, independientemente de la magnitud de las 
mismas. 
c. Obtener una validación sólida sobre su situación en LOPD y LSSI:
Para todas las PyMEs que tengan la incertidumbre de “Qué hacer con estos aspectos 
legales”: Por fin llegó ISO-27001..... 
Es interesante analizar este aspecto. Tanto en Europa como en EEUU, se están dando 
elementos de juicio que avalan este hecho. 
A mediados del pasado mes de julio, se publicó en la revista “Computer Weekly” un artículo 
muy interesante de directivos de Microsoft, expresaban 
textualmente que ISO-27001, puede ser el puente de 
unión entre las orillas de la seguridad y las regulaciones 
legales. En el caso de este País, se refiere más a 
Sarbanes-Oxley e HIPAA. Pero en el caso concreto de 
España, ya hubo también algunos antecedentes concretos 
de inspecciones de la Agencia Protectora de Datos a empresas certificadas en ISO-27001 en 
los cuales, al tomar conocimiento de la certificación, los responsables de esta agencia la 
consideraron como un trabajo superior aún al solo hecho de la legalidad con la LOPD, pues 
evidentemente habían encarado un desafío mucho más grande, que incluía como parte de él, 
los aspectos relacionados con la protección de datos, y no hicieron ningún tipo de 
observaciones. 
Estas consideraciones no pueden dejar dudas, pues el último grupo de controles de ISO- 
27001, se refiere a “Marco legal y buenas prácticas”, y su no cumplimiento es motivo de No 
Conformidad Mayor, lo que ocasiona la no certificación. Es decir, el recibir la certificación 
ISO-27001, implica y avala, que los auditores correspondientes, han realizado una 
evaluación de las conformidades legales de la empresa y dieron el visto bueno.......Se podría 
presentar una hipotética situación, en la cual una inspección de la Agencia de Protección de 
Datos o cualquier organismo oficial, ponga en duda lo controlado por la Autoridad 
Certificadora..... humm... que incertidumbre..... ¿Quién se animará a bombardear este 
puente primero? 
d. Entrar en el proceso de “Lobby” que se está gestando: 
Uno de los principales motores que están llevando al incremento de certificaciones ISO 
27001 está siendo la aparición en contratos, de sugerencias al proveedor respecto a estar 
certificado en esta norma. Cada vez más contratos, estipulan ya que el proveedor apropiado 
debería tener la certificación en ISO-27001. Nuevamente no es de extrañarse, pues ya 
sucedió con otros estándares y es lógico que así suceda, pues estamos hablando de empresas 
que han decidido invertir en mejorar y garantizar sus SSII y otras que no. 
Para no pecar de inocente, en este ámbito tan “sanamente” 
competitivo, es muy lógico pensar que algunas empresas que ya 
tienen la certificación ISO 27001 harán “lobby” a favor de 
incluirlo como requisito en las ofertas de los clientes, 
obstaculizando a cualquier rival que no la tenga (no se porqué, 
me suena conocido este discurso......). 
Por tanto y como nueva motivación, la certificación de la seguridad puede ser una 
oportunidad de negocio más que un coste. Lo que no se puede pensar es obtener la 
certificación, por este sólo hecho, y muchísimo menos, hacerlo contra reloj pues sería 
inabordable. 
2. El nicho de mercado principal de ISO-27001 son las PyMEs. 
“ISO-27001, puede ser el 
puente de unión entre las 
orillas de la seguridad y 
las regulaciones legales” 
La certificación de la 
seguridad puede ser 
una oportunidad de 
negocio más que un 
coste.
Como la mayoría de los estándares, este también nace como una respuesta del mercado ante 
requerimientos concretos de seguridad. En definitiva, cualquiera de estas normas, lo que busca 
es homogeneizar las buenas prácticas que se comienzan a poner en marcha. Por eso todo 
proceso de estandarización de ISO, nace recolectando la opinión de las empresas del mercado 
que desean formar parte, proponiendo un primer borrador, y en base a las objeciones, 
comentarios técnicos, editoriales, etc. el borrador va madurando hasta llegar al nivel de estándar. 
El tema venía fácil para las grandes empresas mientras fue ISO-17799. En definitiva solo era 
cuestión de implementar muchas medidas técnicas que se ajusten a los controles, pero al 
producirse el cambio a ISO 27001 (la parte certificable de la familia 27000) cuya diferencia de 
fondo no es trivial, podríamos afirmar categóricamente que el nicho de mercado de esta norma 
cambió radicalmente. La magnitud e implicaciones de un verdadero SGSI y un PDCA es tan 
considerable, que una gran empresa lo tiene muy cuesta arriba, y a los hechos me remito: No 
existe ninguna gran empresa que haya podido certificar el 100% de sus sistemas de información. 
Todas han empezado por acotar su ámbito de certificación, para avanzar paso a paso e ir 
creciendo hasta ver a dónde llegan. Es natural, pues desde la línea de partida es difícil ponerse 
de acuerdo, pues un análisis de riesgo que pueda identificar TODOS los SSII que afectan sus 
procesos de negocio, para una gran empresa 
es imposible (insisto, me refiero a TODOS 
Comentario: al solicitar la certificación ISO- 
llegando al máximo nivel de detalle que 
27001, se debe especificar un ámbito para la 
permita concatenarse con la medición de 
misma, este ámbito deja fuera todo lo que uno 
impacto, las salvaguardas, y cuantificando el 
no desee cubrir por el certificado. Por 
riesgo con valores concretos). Si no se puede 
ejemplo, se puede solicitar la certificación 
partir de una base sólida, las inconsistencias 
para el CPD central de la empresa, para el 
se suman y se propagan, llegando a presentar 
proceso de control de stock, de ventas, para la 
serias brechas, para lo cual el mejor camino 
plataforma de transmisión de datos WAN, 
es “acotar la tarea”, con un buen cimiento, es 
para la infraestructura informática de tal 
decir un ámbito reducido, y luego seguir 
provincia, etc. Es decir, el certificado ISO- 
avanzando ladrillo a ladrillo. 
27001, solo aplica al ámbito en el cual se 
acotó la certificación, cosa que en el Logo que 
Esta realidad, podemos afirmarla pues 
exhibe la empresa no figura, pero sí en el 
justamente para corroborar este hecho, fue 
certificado (recomendamos especialmente, 
que en NCS nos propusimos la meta de 
prestar atención a este hecho) 
certificar el 100% de nuestros sistemas y 
comprobar que esto es factible para una PyME, viviendo muy de cerca la dificultad que esto 
presenta a grandes empresas. Una PyME hoy, tiene el camino mucho más fácil, pues hasta la 
totalidad de su ámbito puede quedar bajo el control de un SGSI por la magnitud y sencillez que 
representa frente a una grande. 
Como acabamos de expresar entonces, esta norma no pretende llegar únicamente a grandes 
empresas, sino que casi lo contrario, deberá necesariamente ser aplicado en las PyMEs que 
deseen trabajar como socias de negocio de cualquier otra grande o pequeña empresa. Todo 
indica que desde varios organismos oficiales están apuntando a este hecho, a través de proyectos, 
subvenciones, gestiones, etc. 
3. Metodología de implantación y certificación en las PyMEs. 
El principal objetivo de este artículo es ofrecer un claro curso de acción para las PyMEs. No 
está orientado a las grandes empresas, pues cualquiera de ellas está en condiciones de contratar 
una consultoría externa y desentenderse del tema (....grave error), asumiendo también los 
grandes costes que ello implica. Por esta razón, es que toda PyME debe hacer una fuerte 
diferencia entre la “Necesidad de certificar” y el “Negocio de la Certificación”, que es la
finalidad última de todo este texto pues, bien entendidas estas posturas es lo que les permitirá 
implementar a las PyMEs la mayoría de los puntos de este estándar, con gran independencia del 
“Negocio de la Certificación” que se gesta alrededor de todo estándar certificable. 
Para serles sinceros, si se poseen los conocimientos y capacidades necesarias, 
afirmaría que se puede “Dibujar” una certificación ISO 27001 (y lo que acabo 
de afirmar, es muy, pero muy atrevido….). Lo que también afirmo y con mucha 
más contundencia, es que será imposible de mantener esta mentira. 
Lo que se trata de reflejar en el cuadro anterior es la decisión que deberá adoptar todo 
responsable de sistemas en los próximos años, es decir: 
¿Busco sólo 
el sello? 
Evidentemente, necesito 
certificar ISO 27001 en 
el corto plazo: 
¿Lo hago 
como se debe? 
Tal vez parezca cruel, o poco serio, pero es la cruda realidad (a veces la realidad supera 
ampliamente a la ficción, y en este tipo de determinaciones puedo asegurarlo con mucha 
certeza) . 
Se puede encarar esta ardua tarea, con la intención de aprovechar el esfuerzo o simplemente, 
para cumplir con un requisito que permita a la empresa seguir fielmente las exigencias del 
mercado y hacer el mínimo esfuerzo posible, tratando de (fría y crudamente) engañar al 
auditor…..(Lo que recuerden que, también afirmo y con mucha más contundencia, es que será 
imposible de mantener esta mentira). Puedo garantizar que será humanamente imposible 
volver a demostrar, año tras año, que el SGSI sigue rodando (la mentira tiene patas cortas). Es 
decir, no merece la pena tratar de encarar una futura certificación ISO 27001 si no se tiene como 
objetivo fundamental y sincero: 
“Implementar un VERDADERO SGSI” 
Esto se desmorona muy rápidamente si se partió de pilares débiles, engañosos o falsos, tratando 
meramente de obtener el sello de “ISO 27001” como única meta. 
Por lo tanto, primer “consejo” (si se puede llamar así): No se 
autoengañen, encaren esta tarea con la sana intención de aprovechar 
al máximo cada esfuerzo que esta les requiera. 
Una vez comprendido esto, creo necesario avanzar un poco más aún, pues esto afecta de lleno a 
las PyMEs y tal vez no tanto a una gran empresa. 
Todo responsable de implementar ISO 27001 en una PyME, en mayor o menor medida, “SÍ o 
SÍ” ¡¡ debe MOJARSE !! 
Una gran empresa, tal vez pueda darse el lujo de externalizar todo el proceso, el mantenimiento 
y las acciones a futuro……….una PyME seguro que no. A lo sumo, deberá contratar una 
consultora que le analice, diseñe, planifique e implemente inicialmente desde el vamos, todo el 
SGSI, pero es casi seguro que no podrá subcontratar el mantenimiento que un SGSI requiere, 
esta tarea implica poseer un claro entendimiento de lo que se hizo y el funcionamiento de todo el
SGSI, por lo tanto, en cualquier caso alguien, responsable de la PyME deberá intervenir en 
profundidad. Esto no quiere decir que le implicará abandonar el resto de sus tareas, pero se debe 
ser consciente, que algo de su tiempo le deberá dadicar. 
El responsable de seguridad de la PyME deberá “Mojarse” desde el inicio. Puede hacerlo, 
embebiéndose del Estándar, e ir preparando poco a poco su empresa con un mínimo apoyo de 
algún especialista. Este curso de acción, requiere un mayor esfuerzo de los administradores de 
informática de la empresa (y de su responsable), pero es el que mayor experiencia les aportará y, 
los resultados, si se ponen ganas, serán muy buenos y dejarán claros los pasos a futuro para 
mantener el SGSI funcionando perfectamente. 
La segunda opción que puede tener el responsable de seguridad de una PyME, es contratar una 
consultoría para que lo guíe paso a paso en todo el proceso, ¡¡ ojo !!, no estoy diciendo que haga 
todo el trabajo, sino que vaya guiando a la empresa en cómo hacerlo, pues si lo hace la 
consultora, se cae en la mentira anteriormente mencionada, pues una vez que se retire el 
consultor, el SGSI será muy duro de mantener. Por lo tanto lo más importante a reflexionar 
sobre esta segunda opción es que no es “lavarse las manos”, sino trabajar codo a codo con el 
consultor, para aprovechar al máximo la experiencia de éste en cada paso, y ser capaz de tener 
un claro conocimiento de todo lo realizado, para mantenerlo en funcionamiento, se reitera que 
de esto se trata: “un ciclo de vida continuo”. 
En cualquiera de los dos casos, es perfectamente posible preparar una PyME para luego solicitar 
a los auditores acreditados la certificación ISO 27001.

Más contenido relacionado

Similar a 207719100-iso-27001-y-las-py m-es

SEGURIDAD DE INFORMACION - ISO 27001
SEGURIDAD DE INFORMACION - ISO 27001SEGURIDAD DE INFORMACION - ISO 27001
SEGURIDAD DE INFORMACION - ISO 27001
sucari2009
 
Ensayo u4
Ensayo u4Ensayo u4
Ensayo u4
sergio
 
Ensayo normas juan enrique
Ensayo normas juan enriqueEnsayo normas juan enrique
Ensayo normas juan enrique
JUAN ENRIQUE
 
I S O 27001- Los Controles
I S O 27001-  Los ControlesI S O 27001-  Los Controles
I S O 27001- Los Controles
sucari2009
 
Plan avanza iso 27001 [sólo lectura] [modo de compatibilidad]
Plan avanza iso 27001 [sólo lectura] [modo de compatibilidad]Plan avanza iso 27001 [sólo lectura] [modo de compatibilidad]
Plan avanza iso 27001 [sólo lectura] [modo de compatibilidad]
guest368d1d
 
Seguridad De InformacióN Iso 27001
Seguridad De InformacióN Iso 27001Seguridad De InformacióN Iso 27001
Seguridad De InformacióN Iso 27001
1k2a3s
 

Similar a 207719100-iso-27001-y-las-py m-es (20)

Iso 27001
Iso 27001Iso 27001
Iso 27001
 
ISO 27000
ISO 27000ISO 27000
ISO 27000
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
SEGURIDAD DE INFORMACION - ISO 27001
SEGURIDAD DE INFORMACION - ISO 27001SEGURIDAD DE INFORMACION - ISO 27001
SEGURIDAD DE INFORMACION - ISO 27001
 
Metodología implantación y certificación de PyMEs en ISO-27001
Metodología implantación y certificación de PyMEs en ISO-27001Metodología implantación y certificación de PyMEs en ISO-27001
Metodología implantación y certificación de PyMEs en ISO-27001
 
Ensayo u4
Ensayo u4Ensayo u4
Ensayo u4
 
Iso 27001 los controles parte I
Iso 27001 los controles parte IIso 27001 los controles parte I
Iso 27001 los controles parte I
 
Guia apoyo sgsi
Guia apoyo sgsiGuia apoyo sgsi
Guia apoyo sgsi
 
ISO 27001_042104.pptx
ISO 27001_042104.pptxISO 27001_042104.pptx
ISO 27001_042104.pptx
 
Analisis De La Norma Iso 27001
Analisis De La Norma Iso 27001Analisis De La Norma Iso 27001
Analisis De La Norma Iso 27001
 
Monográfico ISO 27001 ISOTools
Monográfico ISO 27001 ISOToolsMonográfico ISO 27001 ISOTools
Monográfico ISO 27001 ISOTools
 
Ensayo normas juan enrique
Ensayo normas juan enriqueEnsayo normas juan enrique
Ensayo normas juan enrique
 
El derechoinformatico - El largo brazo de la ley
 El derechoinformatico  - El largo brazo de la ley El derechoinformatico  - El largo brazo de la ley
El derechoinformatico - El largo brazo de la ley
 
I S O 27001- Los Controles
I S O 27001-  Los ControlesI S O 27001-  Los Controles
I S O 27001- Los Controles
 
Iso 27001 Los Controles
Iso 27001 Los ControlesIso 27001 Los Controles
Iso 27001 Los Controles
 
Trabajo Auditoria
Trabajo AuditoriaTrabajo Auditoria
Trabajo Auditoria
 
Trabajo Auditoria
Trabajo AuditoriaTrabajo Auditoria
Trabajo Auditoria
 
Guia apoyo sgsi
Guia apoyo sgsiGuia apoyo sgsi
Guia apoyo sgsi
 
Plan avanza iso 27001 [sólo lectura] [modo de compatibilidad]
Plan avanza iso 27001 [sólo lectura] [modo de compatibilidad]Plan avanza iso 27001 [sólo lectura] [modo de compatibilidad]
Plan avanza iso 27001 [sólo lectura] [modo de compatibilidad]
 
Seguridad De InformacióN Iso 27001
Seguridad De InformacióN Iso 27001Seguridad De InformacióN Iso 27001
Seguridad De InformacióN Iso 27001
 

Más de xavazquez

Users técnico pc - jpr504 - 24
Users   técnico pc - jpr504 - 24Users   técnico pc - jpr504 - 24
Users técnico pc - jpr504 - 24
xavazquez
 
Users técnico pc - jpr504 - 23
Users   técnico pc - jpr504 - 23Users   técnico pc - jpr504 - 23
Users técnico pc - jpr504 - 23
xavazquez
 
Users técnico pc - jpr504 - 22
Users   técnico pc - jpr504 - 22Users   técnico pc - jpr504 - 22
Users técnico pc - jpr504 - 22
xavazquez
 
Users técnico pc - jpr504 - 21
Users   técnico pc - jpr504 - 21Users   técnico pc - jpr504 - 21
Users técnico pc - jpr504 - 21
xavazquez
 
Users técnico pc - jpr504 - 20
Users   técnico pc - jpr504 - 20Users   técnico pc - jpr504 - 20
Users técnico pc - jpr504 - 20
xavazquez
 
Users técnico pc - jpr504 - 19
Users   técnico pc - jpr504 - 19Users   técnico pc - jpr504 - 19
Users técnico pc - jpr504 - 19
xavazquez
 
Users técnico pc - jpr504 - 18
Users   técnico pc - jpr504 - 18Users   técnico pc - jpr504 - 18
Users técnico pc - jpr504 - 18
xavazquez
 
Users técnico pc - jpr504 - 17
Users   técnico pc - jpr504 - 17Users   técnico pc - jpr504 - 17
Users técnico pc - jpr504 - 17
xavazquez
 
Users técnico pc - jpr504 - 16
Users   técnico pc - jpr504 - 16Users   técnico pc - jpr504 - 16
Users técnico pc - jpr504 - 16
xavazquez
 
Users técnico pc - jpr504 - 15
Users   técnico pc - jpr504 - 15Users   técnico pc - jpr504 - 15
Users técnico pc - jpr504 - 15
xavazquez
 
Users técnico pc - jpr504 - 14
Users   técnico pc - jpr504 - 14Users   técnico pc - jpr504 - 14
Users técnico pc - jpr504 - 14
xavazquez
 
Users técnico pc - jpr504 - 13
Users   técnico pc - jpr504 - 13Users   técnico pc - jpr504 - 13
Users técnico pc - jpr504 - 13
xavazquez
 
Users técnico pc - jpr504 - 12
Users   técnico pc - jpr504 - 12Users   técnico pc - jpr504 - 12
Users técnico pc - jpr504 - 12
xavazquez
 
Users técnico pc - jpr504 - 11
Users   técnico pc - jpr504 - 11Users   técnico pc - jpr504 - 11
Users técnico pc - jpr504 - 11
xavazquez
 
Users técnico pc - jpr504 - 10
Users   técnico pc - jpr504 - 10Users   técnico pc - jpr504 - 10
Users técnico pc - jpr504 - 10
xavazquez
 
Users técnico pc - jpr504 - 09
Users   técnico pc - jpr504 - 09Users   técnico pc - jpr504 - 09
Users técnico pc - jpr504 - 09
xavazquez
 
Users técnico pc - jpr504 - 08
Users   técnico pc - jpr504 - 08Users   técnico pc - jpr504 - 08
Users técnico pc - jpr504 - 08
xavazquez
 
Users técnico pc - jpr504 - 07
Users   técnico pc - jpr504 - 07Users   técnico pc - jpr504 - 07
Users técnico pc - jpr504 - 07
xavazquez
 
Users técnico pc - jpr504 - 06
Users   técnico pc - jpr504 - 06Users   técnico pc - jpr504 - 06
Users técnico pc - jpr504 - 06
xavazquez
 
Users técnico pc - jpr504 - 05
Users   técnico pc - jpr504 - 05Users   técnico pc - jpr504 - 05
Users técnico pc - jpr504 - 05
xavazquez
 

Más de xavazquez (20)

Users técnico pc - jpr504 - 24
Users   técnico pc - jpr504 - 24Users   técnico pc - jpr504 - 24
Users técnico pc - jpr504 - 24
 
Users técnico pc - jpr504 - 23
Users   técnico pc - jpr504 - 23Users   técnico pc - jpr504 - 23
Users técnico pc - jpr504 - 23
 
Users técnico pc - jpr504 - 22
Users   técnico pc - jpr504 - 22Users   técnico pc - jpr504 - 22
Users técnico pc - jpr504 - 22
 
Users técnico pc - jpr504 - 21
Users   técnico pc - jpr504 - 21Users   técnico pc - jpr504 - 21
Users técnico pc - jpr504 - 21
 
Users técnico pc - jpr504 - 20
Users   técnico pc - jpr504 - 20Users   técnico pc - jpr504 - 20
Users técnico pc - jpr504 - 20
 
Users técnico pc - jpr504 - 19
Users   técnico pc - jpr504 - 19Users   técnico pc - jpr504 - 19
Users técnico pc - jpr504 - 19
 
Users técnico pc - jpr504 - 18
Users   técnico pc - jpr504 - 18Users   técnico pc - jpr504 - 18
Users técnico pc - jpr504 - 18
 
Users técnico pc - jpr504 - 17
Users   técnico pc - jpr504 - 17Users   técnico pc - jpr504 - 17
Users técnico pc - jpr504 - 17
 
Users técnico pc - jpr504 - 16
Users   técnico pc - jpr504 - 16Users   técnico pc - jpr504 - 16
Users técnico pc - jpr504 - 16
 
Users técnico pc - jpr504 - 15
Users   técnico pc - jpr504 - 15Users   técnico pc - jpr504 - 15
Users técnico pc - jpr504 - 15
 
Users técnico pc - jpr504 - 14
Users   técnico pc - jpr504 - 14Users   técnico pc - jpr504 - 14
Users técnico pc - jpr504 - 14
 
Users técnico pc - jpr504 - 13
Users   técnico pc - jpr504 - 13Users   técnico pc - jpr504 - 13
Users técnico pc - jpr504 - 13
 
Users técnico pc - jpr504 - 12
Users   técnico pc - jpr504 - 12Users   técnico pc - jpr504 - 12
Users técnico pc - jpr504 - 12
 
Users técnico pc - jpr504 - 11
Users   técnico pc - jpr504 - 11Users   técnico pc - jpr504 - 11
Users técnico pc - jpr504 - 11
 
Users técnico pc - jpr504 - 10
Users   técnico pc - jpr504 - 10Users   técnico pc - jpr504 - 10
Users técnico pc - jpr504 - 10
 
Users técnico pc - jpr504 - 09
Users   técnico pc - jpr504 - 09Users   técnico pc - jpr504 - 09
Users técnico pc - jpr504 - 09
 
Users técnico pc - jpr504 - 08
Users   técnico pc - jpr504 - 08Users   técnico pc - jpr504 - 08
Users técnico pc - jpr504 - 08
 
Users técnico pc - jpr504 - 07
Users   técnico pc - jpr504 - 07Users   técnico pc - jpr504 - 07
Users técnico pc - jpr504 - 07
 
Users técnico pc - jpr504 - 06
Users   técnico pc - jpr504 - 06Users   técnico pc - jpr504 - 06
Users técnico pc - jpr504 - 06
 
Users técnico pc - jpr504 - 05
Users   técnico pc - jpr504 - 05Users   técnico pc - jpr504 - 05
Users técnico pc - jpr504 - 05
 

207719100-iso-27001-y-las-py m-es

  • 1. ISO-27001 y las PyMEs (por Alejandro Corletti: acorletti@ncs-spain.com) ASPECTOS TRATADOS EN ESTAS LÍNEAS 1. Claves para una PyME. 2. El nicho de mercado principal de ISO-27001 son las PyMEs. 3. Metodología de implantación y certificación en las PyMEs. Este artículo va a presentar una visión concreta y realista de la situación de las PyMEs Españolas en cuanto a ISO-27001. Se trata de “vislumbrar lo que se viene” para anticipar un poco lo que a las PyMEs casi les vendrá impuesto. Esto no es una novedad, con ISO 9000 ya sucedió, la diferencia tal vez sea que este nuevo estándar está creciendo más vertiginosamente y a su vez toda PyMEs que desee seguir compitiendo en este “Cybermercado” necesitará cada vez más abrir/compartir sus SSII, deberá acceder y ser accedido a su información de Stock, facturación, pedidos, clientes, productos, precios, listados, nómina, etc..... y para ello le exigirán un cierto nivel de seguridad de los mismos. Este nivel, la mejor forma de demostrarlo es a través de una certificación reconocida mundialmente, y en esto, la calve la tiene ISO-27001. Desde NCS, hemos querido vivir esta realidad en carne propia, para poder conocer en detalle todos sus aspectos, por eso empezamos a analizar este nuevo estándar desde hace casi dos años (acompañando a esta revista desde que nació, con las primeras publicaciones en ISO 27001) y en julio de este año obtuvimos la certificación. Nuestro ámbito a certificar fue el más amplio que se puede proponer una PyME: “La totalidad de los Sistemas de Información”, este era el último eslabón que nos faltaba para poder ser verdaderos referentes en ISO-27001 orientado claramente dentro del marco de las PyMEs, conociendo el detalle de todo el proceso, su problemática, sus beneficios, ventajas y desventajas (de lo que hablaremos en otra ocasión). Hoy podemos decir que sabemos del tema, y en este artículo trataremos de reflejar nuestra experiencia. 1. Claves para una PyME. Vamos a empezar un poco al revés de la estrategia común de un artículo. Más allá del desarrollo teórico, deseo dejar claro que a nuestro juicio, existen cuarto CLAVES para una PyME que se plantea ISO-27001 (primera cuestión que tal vez no sea así en una gran empresa): - Orientar la Seguridad con sus procesos de negocio. - Gestionar su seguridad (no solo medidas técnicas) - Obtener una validación sólida sobre su situación en LOPD y LSSI. - Entrar en el proceso de “Lobby” que se está gestando. Desarrollemos brevemente cada uno de ellos: a. Orientar la Seguridad con sus procesos de negocio: El primer paso para la implementación de ISO-27001, es el análisis de riesgo (AR) (hasta podríamos discutir si es previo o no a la determinación del “Ámbito a certificar”, pero no vale la pena hacerlo ahora....). Esta actividad que está muy de moda hoy, puede hacerse siguiendo cualquier metodología, siempre y cuando demuestre coherencia. El resultado
  • 2. final de la misma, será a través del análisis de activos, impacto, salvaguardas, etc, llegar a determinar los niveles de riesgo (fundamentalmente residuales) al que cada activo quedará expuesto, con la intención de “trabajar” de aquí en más sobre los mismos, en un ciclo continuo (Plan-Do-Check-Act). Hemos visto mucho de esto en la viña del Señor y estamos convencidos, que para una PyMEs lo fundamental, es que en el resultado final del mismo se vea claramente que lo principal para esta PyME es comenzar todo el trabajo por aquellos activos que “dan de comer a la empresa”, es decir los procesos primarios de negocio. Sinceramente, no nos sirve de mucho reconocer que la página web posee un alto riesgo, si esta empresa no opera a través de ella, es importante, pero no fundamental. Si se han asociado eficientemente los procesos de Negocio con los activos fundamentales, entonces ahora se puede pensar la seguridad de los mismos como una cuestión ya no de gasto, sino de beneficio para esta PyME. Cada una de las acciones estará orientada a optimizar y garantizar el correcto funcionamiento de cada uno de ellos. Desde la contratación de personal, los cacuerdos con terceros, la adquisición de hardware y software, la segmentación de redes, las medidas de seguridad física, hasta la preparación/prevención y tratamiento de incidentes, las conformidades legales, etc. Cada uno de estos temas estará centrado en su eficiente adecuación para el proceso de negocio. Conclusión: el resultado final del AR, debe ser un claro reflejo de lo prioritario que es, para esta empresa en particular, cada activo relacionado con sus procesos de negocio (sino, ya empezamos mal....). Luego se optimizará cada uno de ellos. b. Gestionar su seguridad (no solo medidas técnicas): Si se han asociado eficientemente los procesos de Negocio con los activos fundamentales, entonces ahora se puede pensar la seguridad de los mismos como una cuestión ya no de gasto, sino de beneficio para esta PyME. El holismo enfatiza la importancia del todo, el cual, es más grande que la suma de las partes y da importancia a la interdependencia de estas. Holismo, eso es gestionar la seguridad. Nuestra experiencia, es que la seguridad hasta ahora no deja de ser un conjunto de partes, conformadas por mayor o menor cantidad de medidas técnicas, según la empresa. ISO-27001, reúne la totalidad de ellas y al integrarlas a través de un Sistema de Gestión de la Seguridad de la Información (SGSI) y llevado como un ciclo continuo (PDCA) genera holismo, un resultado superior a la suma de sus partes. Esto no es una mera hipótesis, es el resultado que ofrecen los puntos 4 al 8 de ISO-27001. Hasta ISO-17799 (Actual ISO-27002), la seguridad era solamente una serie de 133 controles técnicos y nada más. La diferencia (Fundamental), entre su predecesora 17799 y la actual 27001, es que a través de esos Se está demostrando que nuevos apartados, se genera un verdadero Sistema de la única forma de Gestión consensuado y llevado a la práctica mundialmente, interpretar la seguridad, es pues se está demostrando que es la única forma de “como un todo”: Holismo interpretar la seguridad, “como un todo” = Holismo. Lo importante de esto para una PyME es que, es más grande que la suma de sus partes, y a través de estos puntos (4 al 8), no deja nada librado al azar, garantizando y homogeneizando el propio sistema con el de otras empresas, independientemente de la magnitud de las mismas. c. Obtener una validación sólida sobre su situación en LOPD y LSSI:
  • 3. Para todas las PyMEs que tengan la incertidumbre de “Qué hacer con estos aspectos legales”: Por fin llegó ISO-27001..... Es interesante analizar este aspecto. Tanto en Europa como en EEUU, se están dando elementos de juicio que avalan este hecho. A mediados del pasado mes de julio, se publicó en la revista “Computer Weekly” un artículo muy interesante de directivos de Microsoft, expresaban textualmente que ISO-27001, puede ser el puente de unión entre las orillas de la seguridad y las regulaciones legales. En el caso de este País, se refiere más a Sarbanes-Oxley e HIPAA. Pero en el caso concreto de España, ya hubo también algunos antecedentes concretos de inspecciones de la Agencia Protectora de Datos a empresas certificadas en ISO-27001 en los cuales, al tomar conocimiento de la certificación, los responsables de esta agencia la consideraron como un trabajo superior aún al solo hecho de la legalidad con la LOPD, pues evidentemente habían encarado un desafío mucho más grande, que incluía como parte de él, los aspectos relacionados con la protección de datos, y no hicieron ningún tipo de observaciones. Estas consideraciones no pueden dejar dudas, pues el último grupo de controles de ISO- 27001, se refiere a “Marco legal y buenas prácticas”, y su no cumplimiento es motivo de No Conformidad Mayor, lo que ocasiona la no certificación. Es decir, el recibir la certificación ISO-27001, implica y avala, que los auditores correspondientes, han realizado una evaluación de las conformidades legales de la empresa y dieron el visto bueno.......Se podría presentar una hipotética situación, en la cual una inspección de la Agencia de Protección de Datos o cualquier organismo oficial, ponga en duda lo controlado por la Autoridad Certificadora..... humm... que incertidumbre..... ¿Quién se animará a bombardear este puente primero? d. Entrar en el proceso de “Lobby” que se está gestando: Uno de los principales motores que están llevando al incremento de certificaciones ISO 27001 está siendo la aparición en contratos, de sugerencias al proveedor respecto a estar certificado en esta norma. Cada vez más contratos, estipulan ya que el proveedor apropiado debería tener la certificación en ISO-27001. Nuevamente no es de extrañarse, pues ya sucedió con otros estándares y es lógico que así suceda, pues estamos hablando de empresas que han decidido invertir en mejorar y garantizar sus SSII y otras que no. Para no pecar de inocente, en este ámbito tan “sanamente” competitivo, es muy lógico pensar que algunas empresas que ya tienen la certificación ISO 27001 harán “lobby” a favor de incluirlo como requisito en las ofertas de los clientes, obstaculizando a cualquier rival que no la tenga (no se porqué, me suena conocido este discurso......). Por tanto y como nueva motivación, la certificación de la seguridad puede ser una oportunidad de negocio más que un coste. Lo que no se puede pensar es obtener la certificación, por este sólo hecho, y muchísimo menos, hacerlo contra reloj pues sería inabordable. 2. El nicho de mercado principal de ISO-27001 son las PyMEs. “ISO-27001, puede ser el puente de unión entre las orillas de la seguridad y las regulaciones legales” La certificación de la seguridad puede ser una oportunidad de negocio más que un coste.
  • 4. Como la mayoría de los estándares, este también nace como una respuesta del mercado ante requerimientos concretos de seguridad. En definitiva, cualquiera de estas normas, lo que busca es homogeneizar las buenas prácticas que se comienzan a poner en marcha. Por eso todo proceso de estandarización de ISO, nace recolectando la opinión de las empresas del mercado que desean formar parte, proponiendo un primer borrador, y en base a las objeciones, comentarios técnicos, editoriales, etc. el borrador va madurando hasta llegar al nivel de estándar. El tema venía fácil para las grandes empresas mientras fue ISO-17799. En definitiva solo era cuestión de implementar muchas medidas técnicas que se ajusten a los controles, pero al producirse el cambio a ISO 27001 (la parte certificable de la familia 27000) cuya diferencia de fondo no es trivial, podríamos afirmar categóricamente que el nicho de mercado de esta norma cambió radicalmente. La magnitud e implicaciones de un verdadero SGSI y un PDCA es tan considerable, que una gran empresa lo tiene muy cuesta arriba, y a los hechos me remito: No existe ninguna gran empresa que haya podido certificar el 100% de sus sistemas de información. Todas han empezado por acotar su ámbito de certificación, para avanzar paso a paso e ir creciendo hasta ver a dónde llegan. Es natural, pues desde la línea de partida es difícil ponerse de acuerdo, pues un análisis de riesgo que pueda identificar TODOS los SSII que afectan sus procesos de negocio, para una gran empresa es imposible (insisto, me refiero a TODOS Comentario: al solicitar la certificación ISO- llegando al máximo nivel de detalle que 27001, se debe especificar un ámbito para la permita concatenarse con la medición de misma, este ámbito deja fuera todo lo que uno impacto, las salvaguardas, y cuantificando el no desee cubrir por el certificado. Por riesgo con valores concretos). Si no se puede ejemplo, se puede solicitar la certificación partir de una base sólida, las inconsistencias para el CPD central de la empresa, para el se suman y se propagan, llegando a presentar proceso de control de stock, de ventas, para la serias brechas, para lo cual el mejor camino plataforma de transmisión de datos WAN, es “acotar la tarea”, con un buen cimiento, es para la infraestructura informática de tal decir un ámbito reducido, y luego seguir provincia, etc. Es decir, el certificado ISO- avanzando ladrillo a ladrillo. 27001, solo aplica al ámbito en el cual se acotó la certificación, cosa que en el Logo que Esta realidad, podemos afirmarla pues exhibe la empresa no figura, pero sí en el justamente para corroborar este hecho, fue certificado (recomendamos especialmente, que en NCS nos propusimos la meta de prestar atención a este hecho) certificar el 100% de nuestros sistemas y comprobar que esto es factible para una PyME, viviendo muy de cerca la dificultad que esto presenta a grandes empresas. Una PyME hoy, tiene el camino mucho más fácil, pues hasta la totalidad de su ámbito puede quedar bajo el control de un SGSI por la magnitud y sencillez que representa frente a una grande. Como acabamos de expresar entonces, esta norma no pretende llegar únicamente a grandes empresas, sino que casi lo contrario, deberá necesariamente ser aplicado en las PyMEs que deseen trabajar como socias de negocio de cualquier otra grande o pequeña empresa. Todo indica que desde varios organismos oficiales están apuntando a este hecho, a través de proyectos, subvenciones, gestiones, etc. 3. Metodología de implantación y certificación en las PyMEs. El principal objetivo de este artículo es ofrecer un claro curso de acción para las PyMEs. No está orientado a las grandes empresas, pues cualquiera de ellas está en condiciones de contratar una consultoría externa y desentenderse del tema (....grave error), asumiendo también los grandes costes que ello implica. Por esta razón, es que toda PyME debe hacer una fuerte diferencia entre la “Necesidad de certificar” y el “Negocio de la Certificación”, que es la
  • 5. finalidad última de todo este texto pues, bien entendidas estas posturas es lo que les permitirá implementar a las PyMEs la mayoría de los puntos de este estándar, con gran independencia del “Negocio de la Certificación” que se gesta alrededor de todo estándar certificable. Para serles sinceros, si se poseen los conocimientos y capacidades necesarias, afirmaría que se puede “Dibujar” una certificación ISO 27001 (y lo que acabo de afirmar, es muy, pero muy atrevido….). Lo que también afirmo y con mucha más contundencia, es que será imposible de mantener esta mentira. Lo que se trata de reflejar en el cuadro anterior es la decisión que deberá adoptar todo responsable de sistemas en los próximos años, es decir: ¿Busco sólo el sello? Evidentemente, necesito certificar ISO 27001 en el corto plazo: ¿Lo hago como se debe? Tal vez parezca cruel, o poco serio, pero es la cruda realidad (a veces la realidad supera ampliamente a la ficción, y en este tipo de determinaciones puedo asegurarlo con mucha certeza) . Se puede encarar esta ardua tarea, con la intención de aprovechar el esfuerzo o simplemente, para cumplir con un requisito que permita a la empresa seguir fielmente las exigencias del mercado y hacer el mínimo esfuerzo posible, tratando de (fría y crudamente) engañar al auditor…..(Lo que recuerden que, también afirmo y con mucha más contundencia, es que será imposible de mantener esta mentira). Puedo garantizar que será humanamente imposible volver a demostrar, año tras año, que el SGSI sigue rodando (la mentira tiene patas cortas). Es decir, no merece la pena tratar de encarar una futura certificación ISO 27001 si no se tiene como objetivo fundamental y sincero: “Implementar un VERDADERO SGSI” Esto se desmorona muy rápidamente si se partió de pilares débiles, engañosos o falsos, tratando meramente de obtener el sello de “ISO 27001” como única meta. Por lo tanto, primer “consejo” (si se puede llamar así): No se autoengañen, encaren esta tarea con la sana intención de aprovechar al máximo cada esfuerzo que esta les requiera. Una vez comprendido esto, creo necesario avanzar un poco más aún, pues esto afecta de lleno a las PyMEs y tal vez no tanto a una gran empresa. Todo responsable de implementar ISO 27001 en una PyME, en mayor o menor medida, “SÍ o SÍ” ¡¡ debe MOJARSE !! Una gran empresa, tal vez pueda darse el lujo de externalizar todo el proceso, el mantenimiento y las acciones a futuro……….una PyME seguro que no. A lo sumo, deberá contratar una consultora que le analice, diseñe, planifique e implemente inicialmente desde el vamos, todo el SGSI, pero es casi seguro que no podrá subcontratar el mantenimiento que un SGSI requiere, esta tarea implica poseer un claro entendimiento de lo que se hizo y el funcionamiento de todo el
  • 6. SGSI, por lo tanto, en cualquier caso alguien, responsable de la PyME deberá intervenir en profundidad. Esto no quiere decir que le implicará abandonar el resto de sus tareas, pero se debe ser consciente, que algo de su tiempo le deberá dadicar. El responsable de seguridad de la PyME deberá “Mojarse” desde el inicio. Puede hacerlo, embebiéndose del Estándar, e ir preparando poco a poco su empresa con un mínimo apoyo de algún especialista. Este curso de acción, requiere un mayor esfuerzo de los administradores de informática de la empresa (y de su responsable), pero es el que mayor experiencia les aportará y, los resultados, si se ponen ganas, serán muy buenos y dejarán claros los pasos a futuro para mantener el SGSI funcionando perfectamente. La segunda opción que puede tener el responsable de seguridad de una PyME, es contratar una consultoría para que lo guíe paso a paso en todo el proceso, ¡¡ ojo !!, no estoy diciendo que haga todo el trabajo, sino que vaya guiando a la empresa en cómo hacerlo, pues si lo hace la consultora, se cae en la mentira anteriormente mencionada, pues una vez que se retire el consultor, el SGSI será muy duro de mantener. Por lo tanto lo más importante a reflexionar sobre esta segunda opción es que no es “lavarse las manos”, sino trabajar codo a codo con el consultor, para aprovechar al máximo la experiencia de éste en cada paso, y ser capaz de tener un claro conocimiento de todo lo realizado, para mantenerlo en funcionamiento, se reitera que de esto se trata: “un ciclo de vida continuo”. En cualquiera de los dos casos, es perfectamente posible preparar una PyME para luego solicitar a los auditores acreditados la certificación ISO 27001.