miércoles, 30 de marzo de 2011

Las mayores falencias de ISO 27001

'By 'Dejan Kosutic on March 22, 2011
Si usted ha estado leyendo mi blog, probablemente piense que estoy convencido de que la norma ISO 27001 es el documento más perfecto que jamás se haya escrito. Pero, en realidad, no es así. Trabajando con mis clientes y enseñando sobre el tema, generalmente surgen las mismas debilidades de esta norma. A continuación detallo cuáles son esas debilidades y mis sugerencias sobre cómo resolverlas:



Términos ambiguos
Algunos de los requisitos de la norma no son muy claros:
  • El punto 4.3.1 c) indica que la documentación del SGSI debe incluir… “procedimientos y controles que respalden el SGSI”. ¿Esto significa que se debe redactar un documento para cada uno de los controles que se aplican (hay 133 controles in el Anexo A)? En mi opinión, no es necesario. Generalmente sugiero a mis clientes que redacten solamente las políticas y procedimientos que son necesarios desde el punto de vista operativo y para disminuir los riesgos. Todos los demás controles pueden ser detallados en la Declaración de aplicabilidad ya que esta declaración debe incluir la descripción de todos los controles que se implementan.
  • Políticas y procedimientos (no) documentados: en muchos controles del Anexo A se mencionan políticas y procedimientos sin la palabra “documentado”. En efecto, ello implica que no es necesario redactar esas políticas y procedimientos, pero esto no queda claro para el 95% de quienes leen la norma.
  • Entidades externas y terceros: se utilizan indistintamente estos términos, lo que puede generar confusión. Sería mucho mejor si se utilizara solamente un único término.

Organización de la norma
Algunos de los requisitos de la norma están dispersos o innecesariamente duplicados:
  • Algunos controles directamente están ubicados en el lugar incorrecto; por ejemplo, el punto A.11.7 Computación móvil y tele-trabajo está ubicado en la sección A.11 Control de acceso. Si bien cuando se trabaja con computación móvil es necesario tener cuidado con el control de acceso, la sección A.11 no es el lugar más natural para definir temas relacionados con computación móvil y tele-trabajo.
  • Los temas relacionados con las entidades externas están dispersos por toda la norma: se los puede encontrar en A.6.2 Entidades externas, en A.8 Seguridad relacionada con el personal y en A.10.2 Gestión de entrega de servicios de terceros. Con el avance de la “computación en la nube” y otros tipos de tercerización, es aconsejable reunir todas esas reglas en un documento, o en un conjunto de documentos, que se encargue de las entidades externas.
  • La formación y concienciación de los empleados es requerida tanto por el punto 5.2.2 de la parte principal de la norma como por el control A.8.2.2. Esta duplicación no solamente es innecesaria, sino que genera mayor confusión. En teoría, cada control del Anexo A podría ser excluido, pero usted podría terminar excluyendo un requisito que en realidad no se puede excluir porque es requerido por la parte principal de la norma. Lo mismo ocurre con la Auditoría interna (punto 6 de la parte principal de la norma) y el control A.6.1.8 Revisión independiente de la seguridad de la información.
  • Algunos de los controles del Anexo A pueden ser aplicados en forma realmente amplia y pueden incluir otros controles; por ejemplo, el control A.7.1.3 Uso aceptable de los activos es tan general que podría abarcar, por ejemplo, a los controles A.7.2.2 (Manejo de información clasificada), A.8.3.2 (Devolución de los activos después de terminar el trabajo), A.9.2.1 (Protección de los equipos), A.10.7.1 (Gestión de medios removibles), A.10.7.2 (Eliminación de medios), A.10.7.3 (Procedimientos de manejo de la información), etc. Generalmente, les aconsejo a mis clientes que redacten un único documento que comprenda a todos estos controles.
¿Problemas o no?
Estos son algunos temas que a menudo aparecen como problemáticos; sin embargo, para mí no es así:
  • La norma es muy imprecisa, no contempla el nivel de detalle suficiente. Si fuera más detallada sobre la tecnología que se utilizará, en poco tiempo quedaría desactualizada y si fuera más detallada sobre los métodos y/o soluciones organizativas, no podría aplicarse a todos los tamaños y tipos de organizaciones (un gran banco debe ser organizado de una forma bastante diferente que una pequeña agencia de mercadotecnia; sin embargo, ambas instituciones podrían implementar la norma ISO 27001).
  • La norma permite demasiada flexibilidad: con esto, los críticos apuntan al concepto de evaluación del riesgo, en el que determinados controles de seguridad pueden ser excluidos si no existen riesgos relacionados. Entonces preguntan “¿Cómo es posible excluir la creación de copias de seguridad o la protección antivirus?” En realidad, con el progreso de las tecnologías del tipo “computación en la nube”, esta clase de protección podría no ser responsabilidad de la organización que implementa la norma ISO 27001; aunque, en el caso que los riesgos de tercerización sean un poco elevados, se necesitaría otro tipo de controles de seguridad.
¿Y ahora qué?
Esta norma seguramente necesitará un cambio. La versión actual de la ISO/IEC 27001:2005 ya tiene seis años y es de esperar que la próxima revisión (para 2012 o 2013) se ocupe de la mayoría de los temas mencionados arriba.
Aunque estas falencias muchas veces pueden provocar confusiones, creo que todos los aspectos positivos de la norma valen mucho más que los negativos. Y sí, estoy realmente convencido de que esta norma es, por mucho, el mejor marco para la gestión de la seguridad de la información.



No hay comentarios: