Este es un primer artículo de una serie que pretende explicar, desde un punto de vista pragmático, qué es el ISO-27001 y para qué puede ser usado. En esta entrega se cubren algunos temas preliminares y se revisa un poco de la historia del estándar.

ISO-27001 es otro de los temas recurrentes en el ambiente de la seguridad informática y, al igual que con otros conceptos, hay muchas confusiones e interpretaciones erróneas o incompletas de lo que es y, sobre todo, para qué sirve. De manera análoga a la serie de artículos que escribí sobre ITIL, en esta nueva serie trataré de dar respuesta a las preguntas anteriores, de tal manera que los lectores hagan un mejor uso de ISO-27001 en sus organizaciones, sacándole el mejor provecho y sin expectativas falsas sobre lo que se puede hacer con él.

Empecemos entonces por el principio, con la definición formal: El estándar para la seguridad de la información ISO/IEC-27001 (Information technology – Security techniques – Information security management systems – Requirements) fue aprobado y publicado en 2005 por la International Organization for Standardization y por la International Electrotechnical Commission, especificando los requisitos necesarios para establecer, implantar, mantener y mejorar un sistema de gestión de la seguridad de la información (SGSI).

.

Pero ¿Qué es un SGSI?

A diferencia de estándares anteriores que, desde un punto de vista simplificado, fueron conceptualizados como una simple lista de requisitos a cumplir, ISO-27001 se creó teniendo en cuenta un proceso de seguridad de la información basado en el famoso ciclo de Deming ciclo de mejora continua o ciclo PDCA (por las iniciales de Plan, Do, Check y Act), creando con ello lo que se llamó el Sistema de Gestión de la Seguridad de la Información (conocido en inglés como el ISMS, Information Security Management System).

Antes de revisar qué es un sistema de gestión de seguridad de la información, creo importante definir qué se entiende por “seguridad de la información”. Aunque para muchos pareciera un concepto demasiado básico, lo cierto es que no todo mundo lo tiene claro y por lo mismo prefiero ser reiterativo antes que dejar fuera a aquellos que se inician en esto de la seguridad informática. Los clásicos definen la seguridad de la información como el logro, gestión y mantenimiento de tres características elementales:

  1. Confidencialidad. La información sólo debe ser vista por aquellos que tienen permiso para ello, no debe poder ser accedida por alguien sin el permiso correspondiente.
  2. Integridad. La información podrá ser modificada solo por aquellos con derecho a cambiarla.
  3. Disponibilidad. La información deberá estar disponible en el momento en que los usuarios autorizados requieren acceder a ella.

Estas tres características forman la famosa “CIA”, por las siglas en inglés de confidencialidad, integridad y disponibilidad: Confidentiality, Integrity y Availability. Aunque hay quienes piensan que la seguridad de la información debe incluir una cuarta característica llamada “no repudiación”, que asegura que un cambio a la información no sea negado (o repudiado) por quien realizó dicho cambio, en este artículo me apegaré a la definición clásica.

Así pues, de acuerdo al espíritu de la norma, la idea es preservar la CIA de la información estableciendo un sistema, formado por un conjunto de procesos, gente y tecnología, que analice los riesgos de la información y establezca medidas para eliminarlos o minimizarlos de manera recurrente mediante un ciclo de mejora continua, manteniendo siempre el control de los riesgos para saber en todo momento la postura de seguridad de la organización. Es precisamente este sistema el que recibe el nombre de Sistema de Gestión de Seguridad de la Información, que es el punto central de la norma pues básicamente nos exige que cada organización que cumpla con ISO-27001 lleve a cabo cuatro grandes actividades:

  1. Establecer el sistema.
  2. Implementar y operar el sistema.
  3. Mantener y mejorar el sistema.
  4. Monitorear y revisar el sistema.

.

Como puede verse, y a diferencia de lo que muchos piensan al principio, el espíritu de la norma no habla de una lista de medidas, llamadas controles, para preservar la CIA. De lo que habla es de cómo crear y operar el sistema. Es por eso que antes de terminar esta entrega, me detendré un momento para reiterar que una de las características fundamentales de ISO-27001, al igual que de otras normas y mejores prácticas, es la exigencia de crear el SGSI y dejar bajo su tutela el análisis, definición y aplicación de las medidas para preservar la seguridad de la información.

En otras palabras, la idea es crear y mantener el sistema que, por su propio diseño, nos llevará a seleccionar y mejorar constantemente los controles a implantar. Como me decía un auditor hace tiempo, “en realidad certificarse en ISO-27001 es mucho más fácil que recertificarse. En la primera auditoría se puede permitir que no haya muchos controles implantados y que incluso la operación de los que ya están listos no sea muy buena. Como auditor lo que busco es evidencia de que el SGSI está correctamente implantado pues, si eso es cierto, de manera natural se irán desarrollando más y mejores controles conforme se avance en el ciclo de mejora continua, y es por ello que la revisión de recertificación será más exigente con los controles, pues si no veo avance interpretaré que el sistema de gestión no está trabajando bien”.

Entender lo anterior es, creo yo, una de las cosas fundamentales para cualquiera que quiera saber qué es y para qué sirve ISO-27001

Continuará…

[email protected]

————————————————————————————————————————————————————————-

Recuadro 1. Un poco de historia

El origen de ISO-27001 se puede rastrear hasta una publicación del Departamento de Comercio e Industria (DTI, Department of Trade and Industry) en el Reino Unido, documento que dio origen en 1995 a la norma BS7799-1, que establecía un código de mejores prácticas para la administración de la seguridad de la información. Como su nombre lo indica, sólo proporcionaba una serie de recomendaciones pero no definía certificación alguna ni los mecanismos para lograrla. Posteriormente la norma fue evolucionando de la siguiente manera:

  • En 1998 se liberó la segunda parte, BS7799-2, que estableció la especificación para implantar un sistema de gestión de seguridad de la información (SGSI).
  • En el año 2000, la Organización Internacional para la Estandarización (ISO, Internacional Organization for Standarization) tomó la norma británica BS7799-1 y la convirtió en el estándar ISO17799/BS7799-1.
  • Por su parte en el Reino Unido, la BSI (British Standards Institution) publicó la norma BS7799-2:2002, que prepara a las organizaciones para que reciban la acreditación de seguridad a través de una auditoría realizada por una entidad certificadora. Fue bajo esta norma que las empresas pioneras se certificaron, no sólo en el Reino Unido sino incluso en otros países.
  • En 2005 la ISO publicó, con base en la norma británica BS7799-2:2002, el estándar internacional ISO/IEC 27001:2005, que es el que nos ocupa en el presente artículo. Ese mismo año hubo una ligera actualización de la ISO-17799.
  • Finalmente, en 2007, la ISO-17799 se renombró para convertirse en ISO-27002:2005.

Como puede verse, la historia arriba contada es en realidad la historia mezclada de lo que terminó convirtiéndose en dos cosas distintas que dieron origen a la familia ISO-27000, ISO-27001 e ISO-27002. Esto queda más claro si se pone de manera gráfica:

a) Cronología mezclada:

 

b) Cronología de ISO-27002:

c) Cronología de ISO-27001:

En entregas posteriores revisaremos con más detalle el contenido de la familia ISO-27000, que además del ISO-27001 incluye otros documentos y normas relacionados con la seguridad de la información.

————————————————————————————————————————————————————————-

Recuadro 2. Ciclo PDCA

El ciclo PDCA, ciclo de Deming o ciclo de mejora continua es uno de los temas que con más frecuencia aparece en el mundo moderno de TI, tanto así que se ha ido incorporando a la definición de estándares y mejores prácticas como ISO-27001 o ITIL.

Se trata de una estrategia de mejora continua difundida por Edwards Deming en la década de 1950, con base en las definiciones hechas por Walter A. Shewart en los años 30, y que describe cuatro pasos básicos para lograr la mejora: Plan, Do, Check y Act. La idea subyacente es que, más que lograr cambios radicales en el corto plazo, lo cual resulta costoso y poco efectivo casi siempre, debiera aplicarse un ciclo infinito de mejora continua en la que se realizan una y otra vez los cuatro pasos. Si esto se hace así, dice la teoría, se conseguirá una maduración gradual, eficiente y bien sustentada de los mecanismos – el sistema – para establecer las metas y definir las actividades que llevarán a las mismas.

  • Plan (planear o planificar).- En este primer paso se identifica aquello que se quiere mejorar, se recopilan los datos iniciales, se establecen los objetivos esperados y se planifican las actividades a realizar.
  • Do (hacer o ejecutar).- Lo siguiente es ejecutar las actividades del plan hecho en el primer paso y documentar los resultados.
  • Check (verificar).- Se comparan los resultados obtenidos versus los resultados esperados, que se definieron en el “Plan”.
  • Act (actuar).- El ciclo “termina” haciendo los ajustes necesarios para que se logren, en la medida de lo posible, los objetivos planeados; se revisan las lecciones aprendidas y se reinicia el ciclo completo.

.