| |
| | |
| |
LOS
BENEFICIOS DE ASEGURAR LA INFORMACIÓN
EN LA EMPRESA
|
| Por:
Ing. Roberto Puyó Valladares, CISM (*) |
|
|
|
|
|
|
|
En
el Perú, las empresas que poseen
la certificación ISO 9001-
Sistema de Gestión deCalidad
(SGC) se cuentan por cientos, quizás
sea su caso. Estas empresas, tanto
públicas como privadas, tienen
como foco principal, la mejora de
los procesos para lograr eficiencia
y eficacia en los mismos y como segundo
elemento central, ser reconocidas
internacionalmente por un organismo
certificador.
En
esa línea, una verdadera
implementación, descartando
las que quedan en el olvido de los
papeles, requiere un esfuerzo adicional
del personal y de la propia empresa
para que el SGC continúe
vigente.
|
|
|
|
En
las implementaciones de los SGC, se tienen
que revisar directa o indirectamente los
procesos operativos y determinar las mejoras
a los mismos. En esa búsqueda, siempre
se encuentran elementos que son detectados
y que generan riesgos para la organización.
Ante ello ¿se ha puesto a pensar
qué sucedería si toda, o parte
de la información que fluye en los
procesos del SGC de la empresa, es adulterada
por terceras personas?, o es modificada
intencionalmente en beneficio de otros,
es destruida sin dejar rastro para la organización,
es expuesta a la competencia sin la autorización
de los responsables o quizás extraída
fuera de los linderos de la empresa sin
autorización y peor aún, utilizada
para temas ilícitos.
La
respuesta dependerá de la valoración
que se le brinda a la información
en la empresa. Entendiendo aquella que
se encuentra por ejemplo, en los expedientes
físicos en las diversas oficinas,
en un archivo Excel almacenado en la PC
de algunos trabajadores que centralizan
la información, de aquella que
se desecha en los recipientes de basura
sin ser destruida apropiadamente, de los
sistemas de información que soportan
los procesos críticos, del CD o
DK con información confidencial
sin encriptar y enviada a través
de mensajería sin ninguna protección,
de la información que no respaldamos
en un backup histórico, entre otras.
La lista podría ser muy extensa.
|
|
|
 |
|
Por
ello, la información
que fluye en sus procesos, es
un activo vital para el éxito
y la continuidad de la empresa
en el mercado. El aseguramiento
de la información y de
los sistemas que la procesan
es, por tanto, un objetivo de
primer nivel para la organización.
No se debe confundir a un SGC,
con los controles técnicos
de seguridad informática.
La protección de la información
va más allá de
un antivirus o un Antispam o
un Firewall en su red.
¿Preocupado?,
no se angustie, le comentamos
que en el mundo normativo por
ISO, no estamos solos. Tenemos
a la familia de normas ISO/IEC
27000 que determinan un conjunto
de estándares desarrollados
por ISO (International Organization
for Standardization) e IEC (International
Electrotechnical Commission),
que proporcionan un marco de
gestión de la seguridad
de la información utilizable
por cualquier tipo de organización,
pública o privada, grande
o pequeña, para implementar
un Sistema de Gestión
de la Seguridad de la Información
(SGSI) que aborde la tarea en
forma metódica, documentada
y basada en objetivos claros
de seguridad, y en una evaluación
de los riesgos a los que está
sometida la información
en la organización.
En
la familia de normas ISO 27000
destacan dos principales: la
ISO/IEC 27001 para la implementación
de un SGSI y la ISO 27002, que
brinda una serie de controles
que deben, según el alcance
y aplicabilidad de la norma
en los procesos, implementarse
para reducir los riesgos de
la información.
|
|
|
Al
igual que el SGS, la norma ISO 27001
es certificable para el SGSI de un
o más procesos elegidos por
las empresas, teniendo en cuenta que
por ser una norma ISO, existen similitudes
con la norma ISO 9001.
Suponiendo
que a estas alturas usted ya alertó
a su gerencia sobre la premisa que
se tiene que hacer algo para proteger
la información de la empresa
y propone la implementación
de un SGSI enfocado en ISO 27001.
La primera duda es: ¿Tengo
que mantener dos sistemas de gestión?,
¿Tengo que tener comités
de calidad y comités de seguridad?,
¿Tengo que analizar por partida
doble los procesos, primero para calidad
y luego para seguridad?, ¿Tendré
normativa duplicada que atienda los
requisitos de calidad y otra para
que atienda los requisitos de seguridad
de la información?, entre otras
dudas.
|
|
|
|
|
|
|
| Busquemos
una solución |
|
 |
|
|
El
avance de la implementación
de los SGSI en el enfoque ISO 27001
no es comparable al de los dos "clásicos"
ISO 9001 e ISO 14001, conocidos estándares
de gestión de Calidad y Medio
Ambiente, respectivamente. Si bien
es frecuente encontrar sistemas de
gestión de Calidad y Medio
Ambiente conviviendo en un único
Sistema de Gestión Integrado
(SGI), no lo es tanto en Perú,
y me atrevería a decir que
son escasas las organizaciones que
tienen esta visión, ver un
SGC integrado con un SGSI.
Avanzando
aún más allá,
se podría plantear la existencias
de empresas que, disponiendo de un
Sistema de Gestión Integrado
de Calidad y Medio Ambiente, se planteen
lo que podríamos denominar
"integración total":
un Sistema de Gestión Integrado
de Calidad, Medio Ambiente y Seguridad
de la Información.
Para
nuestro caso, vamos a tratar la extensión
de un sistema existente de Gestión
de la Calidad para su cumplimiento
con ISO 27001, o en otras palabras,
la creación de un Sistema de
Gestión Integrado de Calidad
y de Seguridad de la Información
(SGCSI). |
|
|
|
|
Es
importante aclarar que la integración
de ambos sistemas viene facilitada
por el hecho de que tanto 9001 como
27001 se basan en el ciclo de Deming
o modelo PDCA (Plan, Do, Check, Act)
aplicado a los procesos del propio
Sistema. Asimismo, ambas normas regulan
los requisitos de un sistema que está
orientado a los procesos de negocio
de cada Organización.
La propia ISO/IEC 27001 nos aclara
que si una organización tiene
implantado 9001 ó 14001 "es
preferible cumplir los requisitos
de esta norma internacional dentro
del sistema de gestión existente.",
para nuestros supuestos usar el paraguas
de ISO 9001 para implementar ISO/IEC
27001.
Vamos a ver hasta que punto la recomendación
de la Norma es cierta o no. A pesar
de
que puedan existir ciertas Organizaciones
en las que por motivos específicos
se prefiera llevar la gestión
de la Calidad de forma separada a
la gestión de la Seguridad
de la Información, no hay duda
de que seguir la citada recomendación
nos puede aportar innumerables ventajas
(y ahorrarnos algo de trabajo también).
Entre esas ventajas, sin duda las
más valoradas por las empresas
son, evitar las duplicidades innecesarias
y la mejora de la eficiencia en toda
la Organización, con el consiguiente
ahorro que supone. |
|
| |
|
|
|
| Iniciemos
el cambio |
|
|
|
|
|
|
De
lo primero que nos daremos cuenta
a la hora de comenzar a integrar ambos
sistemas, es de las enormes coincidencias
en todo lo referido a lo que es el
propio Sistema de Gestión en
sí: Requisitos generales, requisitos
de documentación, responsabilidad
de la Dirección, gestión
de recursos, auditorias internas,
revisión por la Dirección
y mejora del Sistema. |
|
|
|
|
|
|
|
|
|
|
|
1)
El primer paso será,
modificar el documento de alcance
de nuestro Sistema de Calidad,
que ahora incluirá también
aquellos procesos de negocio
que queramos certificar bajo
ISO 27001 por tener especial
trascendencia en ellos la Seguridad
de la Información. El
nuevo alcance no tiene por qué
coincidir con el ya establecido
para Calidad, y lo normal es
que no coincidan.
2)
A continuación deberemos
modificar nuestra Declaración
de Política de Calidad,
haciéndola extensiva
a la Seguridad de la Información
y a los objetivos concretos
de seguridad que nos marquemos
como Organización.
3)
Lo siguiente será aprovechar
la estructura organizativa de
la que disponíamos en
nuestro Sistema de Calidad,
para que se gestione también
la Seguridad de la Información.
Es habitual que las organizaciones
nombren responsables y/o Comités
de Calidad, y con este enfoque
y por requerimiento de la norma
es requerido mantener también
responsables y/o Comités
de Seguridad de la Información.
Unifique esfuerzos.
4)
Por último, nos centraremos
en aquellos procedimientos de
Calidad cuyo objeto y alcance
vamos a ampliar para cumplir
de manera unificada con los
requisitos que comparten 9001
y 27001:
|
|
|
|
|
|
|
|
|
• |
Control
de registros y documentación.
Responsabilidad y revisión
del sistema por la dirección.
Gestión de no conformidades,
acciones preventivas y acciones
correctivas.
Auditoría interna
y mejora contínua
del sistema. |
|
• |
|
• |
|
• |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Otra
ventaja de la integración:
Gestión centralizada de los
numerosos requisitos legales y regulatorios
con los que tienen que cumplir las
organizaciones en la actualidad.
En
concreto, en el Perú algunas
empresas se someten a regulaciones
externas como Sarbanes Oxley, Basilea
II, etc., internas como las regulaciones
de la SBS en materia de seguridad
de la información; y en las
empresas públicas, la implementación
de las normas de Control Interno -
COSO, ISO 27002, reglamento de seguridad
y salud en el trabajo, entre otras. |
|
|
|
|
|
|
|
|
|
|
Ante
ello, para cumplir con esta regulación
se requiere la dotación de
recursos y la implementación
de cierta estructura organizativa
para poder llevar a buen término
el cumplimiento exigido, de manera
constante y permanente. Más
allá de las citadas normas,
el SGCSI permitiría cumplir,
y todo ello, desde un único
Sistema de Gestión Integrado. |
|
|
|
|
|
|
|
|
|
|
|
| No
lo piense mucho e inicie el camino, sea una
de las selectas organizaciones en Perú
que será reconocida como aquella que
dio el primer paso. Mucha suerte y será
hasta la próxima entrega. |
|
|
|
|
|
|
|
|
|
(*)
Ingeniero
en Computación y Sistemas, Gerente Certificado de Seguridad
de la Información - CISM (ISACA), con más de 12
años de experiencia en la Administración de Tecnologías
de Información y Auditoria de Sistemas, Seguridad de
la Información, Gestión de Riesgos, Análisis
Forense Digital, Peritaje Electrónico, Seguridad Informática,
Auditoria e Implementación de Sistemas de Gestión
de Seguridad de la Información y Calidad bajo los enfoques
de sistemas integrados de Calidad y Seguridad de la Información
- ISO 9001 e ISO/IEC 27001.
Miembro de la Infomation Systems Audit and Control Association
-ISACA, y presidente del Comité Técnico de Normalización
e Intercambio Electrónico de Datos EDI - GS1 - INDECOPI,
miembro del Colegio de Ingenieros del Perú, y consultor
senior en Sistemas de Gestión de la Seguridad de la Información
reconocido por AENOR Perú. Actualmente se desempeña
como Oficial de Seguridad de la Información en una entidad
Estatal.
Puede contactar al autor en el siguiente correo: robertopuyovalladares@gmail.com
|
|
|
|
