Novedades

Deficiencias más comunes en los Sistemas de Gestión de Seguridad de la Información basados en ISO 27001

Deficiencias más comunes en los Sistemas de Gestión de Seguridad de la Información basados en ISO 27001

altComo sabrán el estándar ISO/IEC 27001:2005 es el marco de referencia asociado a la implementación de sistemas de gestión de la seguridad de la información. Además, es el documento más recomendado al momento de llevar a cabo proyectos de seguridad para el cumplimiento de las principales leyes y regulaciones en materia de seguridad de la información.

Las organizaciones al momento de encarar proyectos asociados a la implementación de un Sistema de Gestión de Seguridad de la Información (SGSI), en primer lugar suelen requerir un “Análisis de Brecha” para conocer “Cómo están” y así poder identificar el esfuerzo, tiempo y recursos que deberán invertir para lograr su implementación y posterior certificación (si es requerido). Es en esta etapa en la cual se identifican las principales debilidades que se detallan a continuación y que resumen la postura de seguridad de una importante cantidad de empresas:

  • Falta de Compromiso de la Alta Dirección
  • Ausencia de una adecuada Gestión de Riesgos.
  • Debilidades en la Gestión de Activos.
  • Falta de Recursos
  • Ausencia de Documentación
  • Ausencia de Roles y Responsabilidades
  • Resistencia al Cambio

La numeración establecida no significa el orden de importancia de los distintos tópicos, dado que todos en mayor o menor medida impactan negativamente en la implantación de un Sistema de Gestión de la Seguridad de la Información.

Principales Deficiencias

Falta de Compromiso de la Alta Dirección
El estándar ISO/IEC 27001:2005 es un documento que principalmente establece la necesidad de compromiso por parte de la Alta Dirección para la adecuada definición de Alcance, Limitaciones, definición de los Roles y Responsabilidades en materia de seguridad y la Asignación de los Recursos requeridos. La formación, toma de conciencia y competencia del personal son otras responsabilidades de la Alta Dirección, junto con la participación en la revisión de la eficacia y eficiencia del Sistema de Gestión implantado. Todos estos aspectos en muchos casos, son difíciles de encontrar en las empresas. ¿Será éste el principal problema?

Ausencia de una adecuada Gestión de Riesgos
Otro tema fundamental al momento de implementar un Sistema de Gestión de la Seguridad es conocer los riesgos a los cuales se encuentra expuesta la organización, y a través del análisis de los mismos establecer el tratamiento que se considere más adecuado. Si bien es uno de los requisitos del estándar, es poco frecuente encontrar que hayan realizado alguna vez un análisis de riesgos. En algunos se encuentra por el tipo de actividad de la organización, pero en muchos otros casos no se realiza. También se pueden encontrar casos en donde la compañía describe un “análisis de riesgos” y en realidad sólo han evaluado subjetivamente algunas pocas amenazas sobre los activos que más conocen, sin tener una idea clara de su valor y por otro lado sin conformar la totalidad de los activos o al menos del proceso evaluado.

Debilidades en la Gestión de Activos
Un aspecto que resulta clave al momento de implantar un SGSI es el referido a los Activos de Información y el tratamiento que la organización le da a los mismos. En principio el factor principal es contar con los activos de información más relevantes (o al menos los incluidos en el proceso que queramos analizar), algo que no es fácil de lograr y que en pocas ocasiones se encuentra. En algunos casos no existe tal inventario o es el resultado de varios inventarios, cada uno con distinto nivel de falta de información y actualización. En este sentido es importante contar con un único inventario, completo y actualizado.

Falta de Recursos
La provisión de recursos, aspecto fundamental para cualquier iniciativa que se quiera llevar adelante, pero en temas asociados con un SGSI resulta fundamental, y es tan importante que el estándar lo describe directamente en el punto asociado a las “Responsabilidades de la Dirección”. Esto es claramente así, si no contamos con los recursos necesarios, resultará muy difícil implantar el SGSI y luego llevar a cabo las actividades asociadas al mantenimiento y mejora del mismo. Es la Dirección la encargada de brindar los recursos necesarios. Para lograr el interés de las máximas autoridades de la compañía, las áreas involucradas en los proyectos de SGSI recurren a distintos métodos, entre los que se pueden encontrar: charlas, talleres, relevamientos de seguridad, auditorias, etc. En muchos casos el interés (y los recursos) surge una vez que la organización debe cumplir una determinada ley o regulación.

Ausencia de Documentación
Si bien el estándar específica un apartado exclusivo orientado a los requisitos de documentación es poco frecuente encontrar que la organización haya documentado en principio lo mínimo requerido por el estándar y además lo requerido para el correcto desarrollo de las actividades de negocio. En este sentido, en las empresas que se encuentra mayor documentación es en aquellas que han tenido experiencias asociadas a la implementación de otros Sistemas de Gestión, como pueden ser de la Calidad o de cuidado del Medio Ambiente, de igual modo en aquellas que deben cumplir alguna regulación que exige la existencia de procedimientos operativos documentados (en un todo de acuerdo con lo requerido también en ISO/IEC 27001).

Generalmente, la documentación se asocia con cuestiones burocráticas o de “pérdida de tiempo” y no con un estado de madurez superior al promedio, en el cual la Cía ha logrado identificar sus procesos y ha documentado las actividades principales de forma tal de lograr un mismo resultado sin que sea excluyente, en principio, el recurso humano que ejecuta la actividad. Es indiscutible que el orden y la visión en procesos en cualquier actividad, facilita la ejecución de controles que establecen un escenario con menores probabilidades de incidentes, errores y/o fallas. Pero a pesar de esto suele ser poco frecuente encontrarse con documentación asociada a cuestiones de seguridad en las organizaciones.

Ausencia de Roles y Responsabilidades
Las personas que integran una organización deben tener claro qué deben hacer para ayudar al logro de los objetivos de negocio establecidos. Esto parece ser algo muy fácil de lograr e identificar, pero en temas asociados a seguridad de la información es un aspecto difícil de encontrar con el mismo nivel de madurez que en otras posiciones. Muchas personas que trabajan en áreas de seguridad o sistemas no tienen claro qué deben hacer para ayudar al logro de los objetivos de la empresa.

Esto es una responsabilidad de la Dirección y el estándar lo identifica claramente en el requisito 5.2.2. Recursos Humanos es el área responsable de definir las descripciones de puesto en conjunto con los referentes de área que correspondan, pero es esta área la que debe documentar el puesto y describir claramente las responsabilidades en materia de seguridad tanto de este puesto como de cualquier otra posición dentro de la compañía. Esto último no se encuentra con frecuencia en las organizaciones, sino que las personas entienden que la seguridad depende de un área específica o “de sistemas”, y no es frecuente que se identifique como una responsabilidad de todos. En los casos en los cuales se encuentra un nivel de madurez superior es en aquellas industrias con fuerte regulación al respecto, como puede ser la industria financiera.

Resistencia al Cambio
Las personas se resisten a los cambios, esto no es una novedad, y obviamente no está fuera de las dificultades que se deben enfrentar al momento de implantar un Sistema de Gestión de la Seguridad de la Información. Para ello hay que identificar los agentes del cambio que servirán de facilitadores para convertir la Política de Seguridad definida en algo tangible y objetivos cumplibles y evidenciables. Frases como “esto se viene haciendo así”, “no somos un banco”, “ya sabíamos esto” y un centenar de expresiones más, son ejemplos de resistencia al cambio.

Es importante tener en cuenta que la resistencia al cambio se debe reducir desde la Dirección de la organización, es más, podríamos definirla en este artículo como una nueva «responsabilidad de la dirección», dado que es ésta la que tiene que marcar el camino, brindar los recursos y apoyar cada una de las iniciativas que permitan establecer el programa de seguridad que permita llevar a la realidad la Política de Seguridad de la Información.

alt

alt

Mariano M. del Ríos

Tiene más de 12 años de experiencia en Tecnologías de la Información, habiéndose especializado la última mitad de su carrera profesional en aspectos relacionados con la Gestión de la Seguridad de la Información. Actualmente trabaja como Consultor de Seguridad de la Información en SIClabs, asesorando a compañías del sector público y privado en temas relacionados con el Gobierno de TI y la Gestión de la Seguridad de la Información. Es Técnico en Administración de Empresas, tiene un Posgrado en Seguridad de la Información de la Universidad del Salvador (USAL).

  30/05/2012

1 Comment
  • Pingback:Inteli | Para leer
    Posted at 01:49h, 15 julio Responder

    […] Deficiencias más comunes en los Sistemas de Gestión de Seguridad de la Información basados en ISO… […]

Post A Comment

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.