Gerencia de Tecnologías de Información

Proyecto SGSI alineado a ISO 27001

Implantación de un Sistema de Gestión de Seguridad de la Información

(SGSI) alineado al estándar ISO/IEC 27001

1. Introducción

La información se ha convertido en un activo valioso para las organizaciones, por lo

que requiere de una adecuada protección. Una buena forma de hacerlo es
implantando un SGSI alineado al estándar ISO/IEC 27001, es decir, un proceso
sistemático, documentado y conocido por toda la organización, que procure garantizar
la gestión correcta de la seguridad de la información, para lo cual sigue el modelo de
mejora continua, ilustrado en la Figura 1.

Figura 1. Modelo de mejora continua (PHVA / PDCA).

El presente documento, elaborado con base en una experiencia piloto, pretende servir
de guía para los interesados en implantar un SGSI alineado al estándar ISO 27001.

2. Etapas

Llevar a cabo la implantación de un SGSI comprende las siguientes etapas:

1. Identificar los objetivos del negocio
2. Obtener el patrocinio de la alta dirección
3. Establecer el alcance (algunos procesos del negocio)
4. Diagnóstico / Análisis de brecha (Gap Analysis)
5. Asignar recursos y capacitar al equipo
6. Análisis y evaluación de riesgos de activos de información
 Definir método de análisis y evaluación
 Preparar un inventario de los activos de información a proteger,
 Análisis
 Evaluación y ranking
7. Gestionar el riesgo y elaborar un plan de tratamiento de riesgos
8. Establecer la normativa para controlar el riesgo
9. Monitorizar la implantación del SGSI
10. Prepararse para la auditoria de certificación
11. Llevar a cabo auditorías internas periódicas.
Gerencia de Tecnologías de Información
Proyecto SGSI alineado a ISO 27001

3. Objetivo

El objetivo del proyecto es diseñar e implantar un SGSI alineado al estándar ISO/IEC

27001, con base en un proceso, para luego hacerlo extensivo a los demás procesos
de la institución.

4. Alcance
El alcance definido es el proceso Gestión de Servicios TI, integrante del macro
proceso Gestión de Tecnologías de Información, ilustrado en la Figura 2. El cual se
focaliza en la fase de operación (producción) de tres (3) Servicios TI: LBTR, SIMC y
Trade Thru, ilustrados en la Figura 3.

Figura 2. Procesos de Gestión de Tecnologías de Información.

Figura 3. Procesos, Servicios y Activos TI

Gerencia de Tecnologías de Información
Proyecto SGSI alineado a ISO 27001

5. Diagnóstico o Análisis de Brecha (Gap analysis)

En esta etapa se determina la brecha con respecto al nivel de madurez de los

requerimientos del estándar ISO/IEC 27001:2005, el cual dispone de unas cláusulas
cuya finalidad es establecer, implementar, operar, monitorear, revisar, mantener y
mejorar un SGSI, en el contexto de los requerimientos de la institución.

El estándar comprende dos (2) secciones: En la primera se especifican cinco (5)

cláusulas, de cumplimiento obligatorio para obtener la certificación, enfocadas a
características metodológicas del SGSI. En la segunda, denominada Anexo A, se
definen los controles mínimos para gestionar la seguridad de la información de manera
adecuada. Desde el punto de vista de la certificación, cualquier exclusión de controles
necesita justificarse y debe suministrarse evidencia de que los riesgos asociados han
sido aceptados apropiadamente por las personas responsables.

Las cláusulas metodológicas definidas en el estándar son:

4. Sistema de Gestión de Seguridad de la Información
5. Responsabilidad de la Dirección
6. Auditorías Internas
7. Revisión de la Dirección
8. Mejora continua del SGSI.

Los controles del Anexo A están organizados en once (11) dominios, denominados A5
hasta A15:
A.5 Política de Seguridad
A.6 Organización de la Seguridad de la Información
A.7 Gestión de Recursos
A.8 Seguridad de los Recursos Humanos
A.9 Seguridad Física y del Entorno
A.10 Gestión de las Comunicaciones y Operaciones
A.11 Control de Acceso
A.12 Adquisición, Desarrollo y Mantenimiento de Sistemas de Información
A.13 Gestión de los Incidentes de Seguridad
A.14 Gestión de la Continuidad del Negocio
A.15 Cumplimiento

El diagnóstico se realizó por medio de una serie de entrevistas a los responsables de

los temas contemplados en el estándar, las cuales fueron complementadas con una
revisión documental de los procedimientos y políticas asociadas a la seguridad de la
información.

Una vez relevada la información, se procedió a analizar los controles y asignar un

valor de acuerdo con su nivel de madurez, utilizando para este propósito la escala
definida por el estándar CobIT1, consignada en la Tabla 1.

Tabla 1. Escala de valoración del nivel de madurez

Escala % Descripción
No Aplica N/A No aplica.
Falta de un proceso reconocible. La Organización no ha reconocido que hay un problema a
Inexistente 0
tratar. No se aplican controles.

1
Tomado de Information Security Governance. Guidance for Boards of Directors and Executive
Management, 2nd Edition. ISACA
Gerencia de Tecnologías de Información
Proyecto SGSI alineado a ISO 27001

Escala % Descripción
Se evidencia de que la Organización ha reconocido que existe un problema y que hay que tratarlo.
Inicial 20 Sin embargo, no hay procesos estandarizados. La implementación de un control depende de
cada individuo y es muchas veces es reactiva.
Los procesos y los controles siguen un patrón regular. Los procesos se han desarrollado hasta
el punto en que diferentes procedimientos son seguidos por diferentes personas. Pero no están
Repetible 40
formalizados, ni hay comunicación formal sobre los procedimientos desarrollados. Hay un alto
grado de confianza en los conocimientos de cada persona.
Los procesos y los controles se documentan y se comunican. No se han establecido
Definido 60
mecanismos de monitoreo, para una detección de desviaciones efectiva.
Los controles se monitorean y se miden. Es posible monitorear y medir el cumplimiento de los
Gestionado 80 procedimientos y tomar medidas de acción donde los procesos no estén funcionando
eficientemente.
Las buenas prácticas se siguen y automatizan. Los procesos han sido redefinidos hasta el nivel de
Optimizado 100
mejores prácticas, basándose en los resultados de una mejora continua.

Para los cálculos totales, se determinó el promedio de los valores asignados a cada
control para obtener la calificación del objetivo de control al cual pertenecen, los
cuales, a su vez, se promediaron para calcular el nivel de madurez de cada dominio.

Como resultado del análisis se encontró que frente a los requerimientos de la norma el
SGSI de la institución se encuentra en un nivel de madurez Repetible. Esto quiere
decir, que se han adelantado actividades para la implementación de controles y
buenas prácticas, que en su mayoría siguen un patrón regular, pero que no en todos
los casos se han formalizado y por ende su ejecución depende de cada persona.
Como resultado, no es posible detectar adecuadamente las desviaciones de la
aplicación de los mismos ni gestionar su eficacia.

Figura 1. Nivel de madurez por dominios de seguridad

Gerencia de Tecnologías de Información
Proyecto SGSI alineado a ISO 27001

Desde esta perspectiva, es imperativo formalizar aquellos procedimientos que lo

requieren, definir los faltantes, implementar los controles tecnológicos que se
identifiquen como necesarios en el análisis de riesgos y establecer métricas y
mecanismos que permitan llevar a cabo actividades de gestión sistemáticas enfocadas
a la mejora de la seguridad de la información del Banco.

Por otro lado, teniendo en cuenta que el objetivo final de la institución es el

establecimiento de un SGSI, las actividades a realizar deberían estar encaminadas a
alcanzar un nivel de madurez Gestionado, es decir, que todos los procesos y
controles de la seguridad de la información se encuentren documentados y divulgados,
y sea posible monitorear y medir su cumplimiento y eficacia.