Como sabrán el estándar ISO/IEC 27001:2005 es el marco de referencia asociado a la implementación de sistemas de gestión de la seguridad de la información. Además, es el documento más recomendado al momento de llevar a cabo proyectos de seguridad para el cumplimiento de las principales leyes y regulaciones en materia de seguridad de la información.
Las Organizaciones al momento de encarar proyectos asociados a la implementación de un SGSI, en primer lugar suelen requerir un “Análisis de Brecha” para conocer “Cómo están” y así poder identificar el esfuerzo, tiempo y recursos que deberán invertir para lograr su implementación y posterior certificación (si es requerido). Es en esta etapa en la cual se identifican las principales debilidades que se detallan a continuación y que resumen la postura de seguridad de una importante cantidad de empresas:
- Falta de Compromiso de la Alta Dirección
- Ausencia de una adecuada Gestión de Riesgos.
- Debilidades en la Gestión de Activos.
- Falta de Recursos
- Ausencia de Documentación
- Ausencia de Roles y Responsabilidades
- Resistencia al Cambio
La numeración establecida no significa el orden de importancia de los distintos tópicos, dado que todos en mayor o menor medida impactan negativamente en la implantación de un Sistema de Gestión de la Seguridad de la Información.
Falta de Compromiso de la Alta Dirección (Req. 5)
El estándar ISO/IEC 27001:2005 es un documento que principalmente establece la necesidad de compromiso por parte de la Alta Dirección para la adecuada definición de Alcance, Limitaciones, definición de los Roles y Responsabilidades en materia de seguridad y la Asignación de los Recursos requeridos. La formación, toma de conciencia y competencia del personal son otras responsabilidades de la Alta Dirección, junto con la participación en la revisión de la eficacia y eficiencia del Sistema de Gestión implantado. Todos estos aspectos en muchos casos, son difíciles de encontrar en las empresas. ¿Será éste el principal problema?
“Cuando el proyecto lo impulsa únicamente TI o Seguridad, podríamos estar ante una Organización donde es muy probable que la Alta Dirección no esté comprometida”
Ausencia de una adecuada Gestión de Riesgos (Req. 4.2.1)
Otro tema fundamental al momento de implementar un Sistema de Gestión de la Seguridad es conocer los riesgos a los cuales se encuentra expuesta la Organización, y a través del análisis de los mismos establecer el tratamiento que se considere el más adecuado. Si bien es uno de los requisitos del estándar, es poco frecuente encontrar que hayan realizado alguna vez un análisis de riesgos. En algunos se encuentra por el tipo de actividad de la Organización, pero en muchos otros casos no se realiza. También se pueden encontrar casos en donde la Organización describe un “análisis de riesgos” y en realidad sólo han evaluado subjetivamente algunas pocas amenazas sobre los activos que más conocen, sin tener una idea clara de su valor y por otro lado sin conformar la totalidad de los activos de la Organización o al menos del proceso evaluado.
“Saber qué nos podría pasar y el impacto que nos generaría es un elemento clave al momento de definir la estrategia de seguridad”
Debilidades en la Gestión de Activos (A. 7.1.1)
Un aspecto que resulta clave al momento de implantar un SGSI es el referido a los Activos de Información y el tratamiento que la Organización le da a los mismos. En principio el factor principal es contar con los activos de información más relevantes (o al menos los incluidos en el proceso que queramos analizar), algo que no es fácil de lograr y que en pocas ocasiones se encuentra. En algunos casos no existe tal inventario o es el resultado de varios inventarios, cada uno con distinto nivel de falta de información y actualización. En este sentido es importante contar con un único inventario, completo y actualizado. Algunos de los controles que se deberían realizar sobre la gestión tienen que ver con: A.7.1.2 Propiedad de los Activos, A.7.1.3 Uso Aceptable de los Activos.
“Saber qué tenemos, para conocer qué nos podría pasar y en base al impacto que esto podría ocasionar, tomar las acciones que sean adecuadas”.
Falta de Recursos (Req. 5.2.1)
La provisión de recursos, aspecto fundamental para cualquier iniciativa que se quiera llevar adelante, pero en temas asociados con un SGSI resulta fundamental, y es tan importante que el estándar lo describe directamente en el punto asociado a las “Responsabilidades de la Dirección”. Esto es claramente así, si no contamos con los recursos necesarios, resultará muy difícil implantar el SGSI y luego llevar a cabo las actividades asociadas al mantenimiento y mejora del mismo. Es la Dirección la encargada de brindar los recursos necesarios. Para lograr el interés de la Dirección las áreas involucradas en los proyectos de SGSI recurren a distintos métodos, entre los que se pueden encontrar: charlas, talleres, relevamientos de seguridad, auditorias, etc. En muchos casos el interés (y los recursos) surge una vez que la Organización debe cumplir una determinada ley o regulación, como puede ser Sarbanes Oxley (SOX), PCI-DSS o lo referido con el cuidado de los Datos de Carácter Personal (Ley 25326 en Argentina o LOPD en España).
“En Organizaciones donde la Dirección no está comprometida con la Seguridad de la Información, es frecuente encontrar muchas dificultades para la obtención de los recursos necesarios para el SGSI”.
Ausencia de Documentación (Req 4.3.1)
Si bien el estándar específica un apartado exclusivo orientado a los requisitos de documentación es poco frecuente encontrar que la Organización haya documentado en principio lo mínimo requerido por el estándar y además lo requerido para el correcto desarrollo de las actividades de negocio. En este sentido, en las Organizaciones que se encuentra mayor documentación es en aquellas que han tenido experiencias asociadas a la implementación de otros Sistemas de Gestión, como pueden ser de la Calidad o de cuidado del Medio Ambiente o también en aquellas que deben cumplir alguna regulación que exige la existencia de procedimientos operativos documentados (en un todo de acuerdo con lo requerido también en ISO/IEC 27001), por ej: PCI-DSS.
Generalmente, la documentación se asocia con cuestiones burocráticas o de “pérdida de tiempo” y no con un estado de madurez superior al promedio, en el cual la Cía ha logrado identificar sus procesos y ha documentado las actividades principales de forma tal de lograr un mismo resultado sin que sea excluyente, en principio, el recurso humano que ejecuta la actividad. Es indiscutible que el orden y la visión en procesos en cualquier actividad, facilita la ejecución de controles que establecen un escenario con menor probabilidades de incidentes, errores y/o fallas. Pero a pesar de esto suele ser poco frecuente encontrarse con documentación asociada a cuestiones de seguridad en las Organizaciones.
“La documentación de actividades o procesos clave genera la independencia requerida para no depender de quién realiza la actividad y a su vez es una herramienta que facilita la mejora”
Ausencia de Roles y Responsabilidades (Req 5.2.2)
Las personas que integran una Organización deben tener claro qué deben hacer para ayudar al logro de los objetivos de negocio establecidos. Esto parece ser algo muy fácil de lograr e identificar, pero en temas asociados a seguridad de la información es un aspecto difícil de encontrar con el mismo nivel de madurez que en otras posiciones. Muchas personas que trabajan en áreas de seguridad o sistemas no tienen claro que deben hacer para ayudar al logro de los objetivos de la Organización. Esto es una responsabilidad de la Dirección y el estándar lo identifica claramente en el requisito 5.2.2. Recursos Humanos es el área responsable de definir las descripciones de puesto en conjunto con los referentes de área que correspondan, pero es esta área la que debe documentar el puesto y describir claramente las responsabilidades en materia de seguridad tanto de este puesto como de cualquier otro puesto en la Organización. Esto último no se encuentra con frecuencia en las Organizaciones, sino que las personas entienden que la seguridad depende de un área específica o “de sistemas”, y no es frecuente que se identifique como una responsabilidad de todos los miembros de la Organización. En los casos en los cuales se encuentra un nivel de madurez superior es en aquellas industrias con fuerte regulación al respecto, como puede ser la industria financiera.
“Las personas tienen que saber claramente cuáles son sus responsabilidades para el logro de los objetivos en materia de seguridad de la información”.
Resistencia al Cambio
Las personas se resisten a los cambios, esto no es una novedad, y obviamente no está fuera de las dificultades que vamos a enfrentar al momento de implantar un Sistema de Gestión de la Seguridad de la Información. Para ello debemos identificar los agentes del cambio que servirán de facilitadores para convertir la Política de Seguridad definida en algo tangible y objetivos cumplibles y evidenciables. Frases como “esto se viene haciendo así”, “no somos un banco”, “ya sabíamos esto” y un centenar de frases más, no son más que ejemplos de resistencia al cambio. Es importante tener en cuenta que la resistencia al cambio se debe reducir desde la Dirección de la Organización, es más, podríamos definirla en este artículo como una nueva "responsabilidad de la dirección", dado que es ésta la que tiene que marcar el camino, brindar los recursos y apoyar cada una de las iniciativas que permitan establecer el programa de seguridad que permita llevar a la realidad la Política de Seguridad de la Información.
VIA
http://www.securitybydefault.com/2011/08/deficiencias-mas-comunes-en-los-sgsi.html