Usar la ISO 9001 para implementar la ISO 27001

'By 'Dejan Kosutic on April 02, 2010

Ya ha implementado la norma ISO 9001? Ha escuchado que la ISO 27001 podra ser una buena idea? Pero, cmo algo que tiene que ver con la calidad le puede ayudar a implementar la seguridad de la informacin? Puede, ms de lo que usted piensa La norma ISO 9001 especifica cmo deben ser los sistemas de gestin de calidad (SGC), mientras que la ISO/IEC 27001 especifica los sistemas de gestin de seguridad de la informacin (SGSI). Por lo tanto, la parte de sistemas de gestin es la misma. Entonces, de qu se trata realmente? La filosofa de los sistemas de gestin ha crecido a partir de la teora desarrollada por W. Edwards Deming durante la segunda mitad del siglo XX, y se basa en el ciclo de Planificacin, Implementacin, Revisin y Actuacin (PDCA, por sus siglas en ingls). Bsicamente, este ciclo consiste en lo siguiente: en la fase de Planificacin usted debe planificar lo que desea lograr con el sistema de gestin; en la fase de Implementacin, lo implementa; en la fase de Revisin, controla permanentemente si ha logrado lo que planific y en la fase de Actuacin, debe hacer las mejoras; es decir, llenar el vaco entre lo que planific y lo que consigui. Aunque este ciclo fue inventado pensando en la gestin de calidad, se tom como base para todos los otros sistemas de gestin: seguridad de la informacin (ISO/IEC 27001), medio ambiente (ISO 14001), continuidad del negocio (BS 25999-2), etc. Quiere decir que algunos de los elementos que ha implementado para el sistema de gestin de calidad conforme a la ISO 9001, los podr utilizar tambin para el sistema de gestin de seguridad de la informacin. Esta es la lista:

Gestin de documentacin: el procedimiento utilizado para la gestin de documentacin en el SGC puede ser usado con el mismo objetivo en el SGSI, slo con algunas pequeas adaptaciones. Auditora interna: se puede utilizar el mismo procedimiento para el SGC y para el SGSI; aunque la auditora interna concreta generalmente sera realizada por personas diferentes, ya que no es muy probable que una misma persona conozca en profundidad tanto sobre seguridad de la informacin como sobre calidad. Medidas correctivas y preventivas: el procedimiento utilizado para el SGC puede ser usado con el mismo objetivo en el SGSI, aunque es probable que sean personas diferentes quienes resuelvan los temas relacionados con SGC o SGSI. Gestin de recursos humanos: el mismo ciclo de planificacin, capacitacin y evaluacin de RR.HH. se utiliza para ambos sistemas de gestin; naturalmente, la diferencia radica en el perfil de capacidades y conocimientos requeridos. Revisin por parte de la gerencia: los principios de la revisin por parte de la gerencia son los mismos para ambos sistemas de gestin; aunque no sera recomendable realizar ambas revisiones en paralelo, la gerencia ya estar acostumbrada a tomar decisiones sobre el SGC; por lo tanto comprendern mejor cmo tomar decisiones en el contexto del SGSI.

Establecimiento de objetivos comerciales y seguimiento de su cumplimiento: se fija el mismo mecanismo en ambas normas; por eso, la gerencia estar acostumbrada a una planificacin sistemtica de este tipo.

Por lo tanto, si ya ha implementado la norma ISO 9001, se le facilitar el trabajo de implementar la ISO 27001 (y viceversa): podra ahorrar hasta un 30% del tiempo. Adems, tendr auditoras de certificacin ms econmicas ya que las entidades certificadoras ofrecen las denominadas auditoras integradas, que significa que auditarn las normas ISO 9001 e ISO 27001 en la misma auditora, cobrndole una tarifa menor en relacin a auditoras separadas. Si su SGC funciona correctamente, ver que el proyecto de SGSI se desarrollar sin inconvenientes; la gerencia comprender mejor los potenciales beneficios comerciales, al tiempo que todas las unidades de la organizacin estarn acostumbradas a la necesidad de definir procedimientos, responsabilidades y documentacin precisos. De hecho, contar con un SGC proporciona una muy buena base para la seguridad de la informacin: si usted ya tiene la ISO 9001, piense seriamente en la ISO 27001.

Qu tan minuciosas deben ser las polticas?

Estimado/a Vladimir, Una discusin muy frecuente es si usted debe intentar acomodar todas sus normativas en un nico documento o si debe detallarlas en varias polticas. Tambin si las polticas deben ser cortas o bien detalladas.

La norma ISO 27001 es bastante flexible en este aspecto, pero distingue al menos dos niveles de polticas: la primera es la Poltica del SGSI de alto nivel y la segunda incluye polticas detalladas que cubren determinadas reas como control de acceso, clasificacin, seguridad fsica, etc. Yo prefiero evitar un nico documento que intente abarcar todo porque no solamente a todo el mundo le resultar demasiado extenso para leer, sino que ser muy difcil mantenerlo actualizado. Es mucho mejor tener unos pocos documentos especficos que sean cortos y claros. Para avanzar sobre estos conceptos, lea el siguiente artculo: Poltica de Seguridad de la Informacin: qu nivel de detalle debera tener? En unos das le enviar el prximo consejo. Por favor, est atento a un correo electrnico con el siguiente ttulo: "Usar los documentos de ISO 9001 para ISO 27001". Cordialmente, Dejan

Poltica de Seguridad de la Informacin: qu nivel de detalle debera tener?

'By 'Dejan Kosutic on May 26, 2010

inShare

Muy a menudo observo polticas de seguridad de la informacin redactadas en forma muy detallada y que intentan abarcar absolutamente todo, desde los objetivos estratgicos hasta cuntos dgitos numricos debera contener una contrasea. El nico problema con este tipo de polticas es que cuentan con 50 o ms pginas y, en realidad, nadie las toma seriamente. Generalmente terminan siendo documentos artificiales cuyo nico objetivo es satisfacer al auditor. Pero, por qu son tan difciles de implementar ese tipo de polticas? Porque son demasiado ambiciosas; tratan de cubrir demasiados temas y estn dirigidas a un amplio crculo de gente. Por eso mismo es que la ISO 27001, la norma lder en seguridad de la informacin, define diferentes niveles de polticas de seguridad de la informacin:

Polticas de alto nivel (como la Poltica del sistema de gestin de seguridad de la informacin): estas polticas generalmente definen la intencin, los objetivos y dems aspectos estratgicos. Polticas detalladas: este tipo de polticas generalmente describe detalladamente un rea especfica de la seguridad de la informacin, con responsabilidades definidas, etc.

La norma ISO 27001 requiere que la Poltica de gestin de la seguridad de la informacin (SGSI), al ser el documento ms importante, contenga lo siguiente: el marco para establecer objetivos, tomando en cuenta los diferentes requisitos y obligaciones, la alineacin con la realidad de la organizacin respecto de la gestin estratgica del riesgo y el establecimiento de criterios de evaluacin. Una poltica de estas caractersticas, en realidad, debera ser muy corta (tal vez una o dos pginas) porque tiene como objetivo principal que la alta gerencia puede controlar su SGSI. Por otro lado, las polticas detalladas deben estar orientadas al uso operativo y enfocadas en un campo ms acotado de actividades de seguridad. Algunos ejemplos de este tipo de polticas son: Poltica de clasificacin, Poltica sobre el uso aceptado de los activos de informacin, Poltica de creacin de copias de seguridad, Poltica de control de acceso, Poltica de contraseas, Poltica de escritorio y pantalla despejados, Poltica de uso de redes, Poltica sobre equipos mviles, Poltica sobre el uso de controles criptogrficos, etc. Nota: la norma ISO 27001 no requiere la implementacin ni la documentacin de todas estas polticas porque la decisin de si corresponden dichos controles, y con qu alcance, depende de los resultados de la evaluacin de riesgos. Como estas polticas deben incluir ms detalles, generalmente son ms largas; de hasta 10 pginas. Si fueran mucho ms largas, sera muy difcil implementarlas y mantenerlas. En otras palabras, la seguridad de la informacin es un tema muy complejo para poder definirlo en una nica poltica: debera haber diferentes polticas sobre los diferentes aspectos del SGSI y para los diferentes destinatarios. Las organizaciones medianas, normalmente elaboran hasta quince polticas sobre para su SGSI.

Se podra discutir que esta cantidad de polticas no significa ms que gastos operativos para una empresa. Seguramente estara de acuerdo si tales polticas son redactadas slo pensando en la auditora de certificacin; de esta forma slo produciran ms burocracia. Sin embargo, si una poltica es redactada con la intencin de disminuir los riesgos, ms que seguro demostrar su valor, tal vez no de inmediato sino probablemente en dos o tres aos, disminuyendo la cantidad de incidentes. Tambin puede dar un vistazo a nuestro tutorial en vdeo Cmo redactar la Poltica del SGSI segn ISO 27001 (es un vdeo comercial disponible para la venta).