Libros de Seguridad de la Información

jueves, 24 de mayo de 2007

ISO 27001: Antes de iniciar

Un Sistema de Gestión de Seguridad de la información (SGSI) es un Sistema de Gestión que comprende la política, la estructura organizativa, los procedimientos, los procesos y los recursos necesarios para implantar la Gestión de la Seguridad de la Información. El ISO 27001 es una norma certificable que establece los requisitos para el establecimiento, implantación, monitoreo y la mejora continua de un SGSI.
Inicialmente el establecimiento de un SGSI según ISO27001 requiere de una fase de planificación y diseño el cual debe definir la política de seguridad, el alcance, análisis de riesgo, selección de controles de la ISO17799:2005 relacionados con su respectivo riesgo residual. Todos estos requisitos deben estar revisados y aprobados por la Dirección.
Esto nos lleva a la necesidad de una fase de preparación de los requisitos anteriores la cual es aconsejable que cubra los siguientes puntos:

  1. Seleccione a la persona adecuada para llevar a cabo este proyecto, esta debe conocer el estándar ISO27001, debe poseer experiencia en análisis y gestión de Riesgo, experiencia en continuidad del negocio, y conocimientos técnicos de seguridad. Debe ser un buen comunicador de ideas, analítico, tener buena redacción y experiencia en la gestión de proyectos.
  2. un asunto crítico es buscar un patrocinante en la Dirección que apoye las iniciativas para mejorar la Seguridad de la Información. Esto puede llegar a ser extremadamente difícil si la propuesta es desde una simple gerencia hacia toda la organización (Bottom-Up). Esta es una labor de venta que debería concluir en un esquema de gobernabilidad de Seguridad de la información que se busque una alineación con las estrategias y objetivos del negocio. La meta de este punto es establecer un canal de comunicación directo de forma de abiertamente hacer propuestas, de establecer un mandato directivo y de buscar fondos o recursos (Top-Down). Este canal de comunicación va a ser importante a la hora de requerir la aprobación de las políticas de seguridad o de clasificar la información.
  3. Documentar las Políticas de Seguridad, inicie con la revisión de los documentos existentes e indique cual está aprobada y cual no. También se requiere de establecer un proceso de revisión y aprobación. La recomendación es hacer la Política de Seguridad basada en los riesgos, pero inicie con aquellos temas que son comunes a todas las organizaciones.
  4. Establezca la estrategia de Gestión de riesgo, defina la metodología e inicie con la clasificación de la información. Simplifique todo lo que pueda, de esta forma tendrá los resultados a tiempo. En caso de no tener nada acerca de la gestión de riesgo, Mehari es un excelente método para comenzar.
  5. Revise los procesos de Seguridad de la información. El ISO13335: Guía para la Administración de Seguridad TI, es una buena guía de lo que se tiene que hacer para lograr una buena Seguridad de la Información. A nivel de los procesos puede hacer un Análisis Diferencial (GAP Analisys) con respecto a los procesos descritos en el estándar de ISM3: Information Security Management Maturity Model y valorarlo de forma apreciativa según su escala de madures.
  6. Pregúntese cuales son las mayores preocupaciones en cuanto a Seguridad de la Información, esta misma pregunta hágala a diferentes gerentes y algún directivo. Recuerde incluir las mayores de estas preocupaciones como alcance del SGSI. Pero tenga en cuenta comenzar en pequeño, de forma que luego de esta primera experiencia pueda escalar rápidamente a otras metas, así obtendrá resultados rápidos y puede ganar confianza en el proceso.

Adicionalmente en caso de querer certificarse es bueno contratar un consultor que ayude con la definición de los pasos a seguir y valide los requisitos fundamentales.

Lecturas recomendadas:

  • ISO 27001 Specifications for information Security Management Systems (ISMS)
  • ISO 13335 Guía para la Administración de Seguridad TI
  • ISM3 Information Security Management Maturity Model
Google