Según estadísticas de la International Organization for Standardization (ISO), al finalizar el año 2012 en todo el mundo se habían certificado 19,577 empresas en la Norma ISO27001:2005 – Sistema de Gestión de Seguridad de la Información (SGSI)[1].

Asia oriental y Europa, con 10,373 y 6,384 empresas respectivamente, llevan una delantera significativa sobre otras regiones del mundo. Igualmente, desde 2006 hasta 2012 se observa un creciente incremento en el interés de las organizaciones por obtener su certificación en dicha norma, como se observa en la siguiente figura.

Magazcitum 5-2

Mientras que la lista de los 10  países con mayor cantidad de empresas certificadas está encabezada por Japón, seguido del Reino Unido e India:

Países certificados en ISO 27001 (Top 10)
1 Japón 7,199
2 Reino Unido 1,701
3 India 1,600
4 China 1,490
5 Rumania 866
6 Taipei 855
7 España 805
8 Italia 495
9 Alemania 488
10 Estados Unidos 415

En América Latina al finalizar 2012 sólo teníamos 278 empresas certificadas en la Norma ISO27001:2005 (1.42% del total). Aunque nos encontramos a años luz de quienes están en el top 10, encontramos un panorama interesante y creciente en países como México, Colombia y Brasil, como se observa en la tabla siguiente:

Magazcitum 5-2
En el devenir de la ejecución de estos proyectos he identificado 10 aspectos básicos para su culminación exitosa, por ello me atrevo a compartir con ustedes  estos consejos, esperando que les sean de utilidad como lo han sido para mí después de haber sufrido también alguno que otro sinsabor:He participado en los últimos cinco años en una veintena de proyectos de definición e implementación de sistemas de gestión de seguridad de la información (SGSI). Particularmente el año anterior tuve el orgullo de llevar a dos empresas en Colombia a la obtención de la certificación ISO27001:2005.

  1. Compromiso de la alta dirección. Para que la iniciativa entregue los resultados esperados es un requisito necesario el apoyo e involucramiento de la alta dirección, sin su apoyo formal real es casi imposible desarrollarlo y demostrar el logro de la conformidad en la implementación del SGSI. Aquellos proyectos que provienen de los sectores operativos o tácticos y no cuentan con el respaldo de la alta dirección tienen mayor posibilidad de fracaso.
  1. Cada organización es un mundo diferente. Aun perteneciendo al mismo sector económico o a un mismo grupo empresarial, cada empresa  tiene su ambiente de control, un apetito de riesgo y riesgos de seguridad de la información particulares. Lo que es bueno para una, puede que no lo sea para otra, por ello copiar tal cual NO es procedente. Se debe considerar un entendimiento de los requerimientos de seguridad y gestión de riesgos sui géneris de cada organización.
  1. Definición apropiada del alcance. Es importante definir un alcance del SGSI que sea viable. El esfuerzo para implementar el sistema de gestión no es el mismo cuando el alcance incluye TODOS los procesos de la organización, a uno que incluya sólo uno o dos procesos relevantes. En este sentido es mejor iniciar con pocos procesos y paulatinamente ir creciendo la cobertura del SGSI, a medida que se obtiene mayor madurez en seguridad de la información.
  1. Los controles no son todo. Es un error creer que la implementación de los controles de seguridad incluidos en el Anexo A de la norma es “el todo”. A pesar de ser muy importantes, existen otros que deben considerarse elementos clave de un SGSI, como por ejemplo los objetivos de seguridad de la información, la declaración de aplicabilidad, métricas e indicadores de seguridad, información documentada, procedimientos de auditoría interna, no conformidades, acciones correctivas, etcétera.
  1. El SGSI es de la empresa. En ocasiones, las organizaciones contratan el servicio de consultoría para apoyar la definición y puesta en marcha del sistema de gestión, cometiendo el craso error de delegar todo el trabajo al grupo consultor sin involucrarse en el desarrollo del proyecto. Por favor tengan en cuenta que el SGSI no es de la consultora, ¡es de la organización! La consultora algún día se irá, y si la organización no se compromete desde el inicio del proyecto no aprenderá a implementar y mantener adecuadamente su sistema de gestión. He visto algunos casos en los cuales la consultora entregó al cliente manuales, procedimientos, formatos, etcétera ¡Y el cliente no sabe cómo aplicarlos!
  1. Evalúe el desempeño. Una forma de saber si el SGSI está operando adecuadamente o no es a través del uso de métricas e indicadores. La vieja máxima que dice que “lo que no se puede medir no se puede controlar” es aplicable también a un sistema de gestión. Luego entonces, hay que definir métricas e indicadores relevantes. En ISO27004 – MEDICIONES PARA LA GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN se puede encontrar una guía de orientación, inclusive con algunos ejemplos.
  1. Sensibilice. En la implementación del SGSI no debemos dejar de lado el recurso humano y sus responsabilidades frente a la seguridad de la información. A la gente se puede llegar a través de diversos medios para sensibilizarla: afiches, pendones, protectores de pantalla, videos, trivias, juegos, obras de teatro, etcétera[2].
  1. Importante es llegar, pero mantenerse también. La certificación en la Norma ISO-27001 no es el fin, es apenas el inicio de un largo y sinuoso camino por la seguridad de la información. Recuerde que un SGSI debe operarse día a día, no una semana antes de la auditoría de certificación o mantenimiento. El sistema debe ser sostenible en el tiempo y eso se logra solamente con el involucramiento del personal y su operación diaria.
  1. Mejora continua. Si se hace adecuadamente, realimenta y hace que el SGSI se nutra y enriquezca. Es vital establecer acciones correctivas y preventivas para que el sistema reaccione ante eventos desfavorables y evolucione hacia una mayor eficacia.
  1. Automatice su SGSI. Tradicionalmente estas iniciativas se ejecutan con el apoyo de herramientas de ofimática. En mis últimas experiencias de contribución a la obtención de la certificación en ISO27001:2005, el uso de una herramienta automatizada que cubra todo el ciclo de vida del SGSI (planear-hacer-verificar-actuar) sin lugar a dudas ha sido factor crítico de éxito, ya que ha reducido la duración de la consultoría por lo menos 25%, especialmente en las actividades de inventario de activos, gestión de riesgos y establecimiento de métricas e indicadores. Además, ha permitido que el cliente se involucre directamente en el uso de la herramienta conservando todos los registros y documentos del SGSI en un solo repositorio de información y, sobre todo, le ha permitido dar sostenibilidad al SGSI, sin dependencia directa del equipo de consultoría.

[email protected] / [email protected]

[1] Fuente: http://www.iso.org/iso/home/standards/management-standards/iso27001.htm

[2] Mayor información se puede encontrar en “Jugando a crear cultura de seguridad de la información – De la teoría a la práctica” publicado en https://www.magazcitum.com.mx/?p=2361