jueves, 21 de febrero de 2013

ISO27001 vs ISO27002


Es muy frecuente que todo aquel que se interesa por primera vez en la serie ISO 27000, se encuentre con algún problema al delimitar y entender las fronteras y los ámbitos de las dos principales normas que la componen.

El primer concepto que debemos tener claro para aclarar nuestras dudas, es el de SGSI. Un Sistema de Gestión de la seguridad de la Información (SGSI) consiste en un conjunto de políticas y procedimientos que normalizan la gestión de la seguridad de la información, bien de toda una organización, bien de uno o varios de sus procesos de negocio. Es importante tener siempre en mente que por seguridad de la información se entiende el triple vector de confidencialidad, integridad y disponibilidad de la misma. Un SGSI debe abordar de forma integral estas tres vertientes de la seguridad de la información.

Existen diversos estándares, marcos de trabajo o metodologías para implantar y mantener un SGSI, pero sin duda la más socorrida es la serie ISO 27000. Este estándar internacional comprende todo un conjunto de normas relacionadas con la seguridad de la información, de entre las que destacan la ISO 27001 y la ISO 27002.

Y según mi experiencia, aquí es donde empieza el lío para aquellos que se enfrentan por primera vez a este estándar. ¿Qué diferencias hay entre ambas o cómo se relacionan entre sí?

En primer lugar, la ISO 27001 establece el marco de trabajo para definir un SGSI centrándose en la visión de la gestión de la seguridad como un proceso continuo en el tiempo. Para certificar un proceso u organización es necesario analizar y gestionar los riesgos fundamentales a los que están expuestos.

Una vez se han identificado estos riesgos, se hará necesario establecer la estrategia a seguir para cada uno de ellos. En este sentido, las diferentes alternativas que tenemos para cada riesgo son:
  • Evitar el riesgo, abandonando el proceso o actividad que lo genera cuando el riesgo excede a los beneficios que nos aporta.
  • Traspasar el riesgo a terceros, por ejemplo, mediante cláusulas contractuales o pólizas de seguros.
  • Gestionar el riesgo, estableciendo contra-medidas que mitiguen o limiten el riesgo, reduciendo la probabilidad de que se materialice y/o las consecuencias que de este se puedan derivar.
  • Asumir el riesgo, aceptándolo cuando el establecimiento de las contra-medidas supere en coste al que pueda suponer la materialización del propio riesgo.

Otro aspecto básico de la ISO 27001 es la gestión de la Seguridad de la Información mediante procesos basados en el método de mejora continua PDCA (Plan, Do, Check, Act), también conocido como círculo de Deming.

Este método establece un procedimiento cíclico mediante el cual se definen las medidas y controles de seguridad a implantar (Plan), se procede a su implantación (Do), se verifica y evalúa el éxito de los controles implantados para detectar errores o áreas de mejora (Check) y finalmente se modifican dichas medidas y controles en base a las desviaciones detectadas en el paso anterior (Act).

Por otro lado, la ISO 27002 consiste en una guía de buenas prácticas que permite a las organizaciones mejorar la seguridad de su información. Con este objetivo, define una serie de objetivos de seguridad que deberían ser perseguidos por las organizaciones distribuidos en diferentes dominios que abarcan de una forma integral todos los aspectos que han de ser tenidos en cuenta por las organizaciones.

Estos dominios que estructura la ISO 27002 son:
  • La política de seguridad
  • Los aspectos organizativos de la seguridad de la información
  • La gestión de activos
  • La seguridad ligada a los recursos humanos
  • La seguridad física y ambiental
  • La gestión de las comunicaciones y las operaciones
  • Los controles de acceso a la información
  • La adquisición, desarrollo y mantenimiento de los sistemas de información
  • La gestión de incidentes en la seguridad de la información
  • La gestión de la continuidad del negocio
  • Los aspectos de cumplimiento legal y normativo
Se debe señalar que la única norma a certificar de la serie es la ISO 27001. No así la ISO 27002 que como hemos comentado tan sólo establece una serie de recomendaciones y buenas prácticas.

También hay que tener presente que para lograr la certificación en ISO 27001 no es necesario implantar todos los controles recomendados por la ISO 27002, si no que la organización debe priorizar y seleccionar aquellos controles que se alineen con su estrategia de riesgo, teniendo en cuenta la capacidad presupuestaria de la organización y sus necesidades de negocio.

Por último, creo importante el recordar las principales ventajas que una certificación como la ISO 27001 puede aportar a las organizaciones que decidan abordarla:
  • Establece un marco de gestión de la seguridad consistente e internacionalmente reconocido.
  • Se garantizan los controles internos, los controles de requisitos de gestión corporativa y de continuidad de la actividad de negocio.
  • Se demuestra el cumplimiento de leyes y normativas que apliquen a la organización.
  • Ofrece interesantes ventajas competitivas al mostrar a los clientes que la seguridad de su información es primordial, promoviendo a su vez la confianza en las relaciones con terceros.
  • Reduce los riesgos de seguridad de la información estableciendo un marco de gestión de la seguridad y sus riesgos.
  • Demuestra el compromiso de la cúpula directiva de la organización con la seguridad de la información.

No hay comentarios: