La propuesta de Sistema de Gestión de la Seguridad de la Información (SGSI) enmarcado en el sistema normativo ISO27001:2013 es una evolución positiva; permite aplicarla en aspectos no considerados en la versión del 2005 e incorpora un enfoque de alto nivel.

El énfasis en la comprensión de los asuntos externos, además de los internos, es un reconocimiento a los permeables y “nubosos” límites que separan una organización de otra, y en esta misma dirección apunta la importante comprensión de las necesidades y expectativas (que no son sinónimos) de las partes interesadas. Estos aspectos se reflejan en la homologación de normas de otros sistemas de gestión actualizados como la ISO 14001 del Sistema de Gestión Ambiental y la ISO9001 del Sistema de Gestión de la Calidad.

.

Retos a las organizaciones (en su contexto)

La Norma ISO27001:2013 pone en evidencia la necesidad de establecer y negociar sobre las interdependencias entre organizaciones cuando optamos por optimizar los riesgos. La mejora continua (o la “mejora cuántica” requerida a veces) de la GSI requiere de la puesta en marcha e inducción de acciones en el entorno, con las organizaciones con las que nos relacionamos, a veces en alta escala, por ejemplo a través de regulaciones, en otras, interorganizacionales vía contratación, acuerdos y monitoreo coordinado, o al menos con algún nivel de interacción y cada vez más coordinación en lo relativo a controles, infraestructura y gestión del conocimiento. Ya es hora de articular hasta nuestras políticas de seguridad de la información con las de las principales terceras partes. Si queremos gestionar los riesgos actuales debemos dejar de ver a la seguridad de la información solo como negocio y asumirla como objetivo común, en esto se juegan la existencia o la misión muchas organizaciones, y la gobernabilidad casi todas.

.

Liderazgo y comprom-iso

 Empezando por el ISO, Directivo de la Seguridad de Información (por sus siglas en inglés), no basta que sea un eslabón de la alta dirección para delegar. La gestión de la seguridad de la información (GSI) exige el empoderamiento, la fuerza integradora, asignación de recursos, designación de canales de comunicación y seguimiento del nivel directivo. La gobernabilidad de la seguridad de la información es un área prioritaria si no queremos que el conocimiento de los riesgos, destrezas y plataforma tecnológica de seguridad se conviertan en búmeran. Desde la perspectiva de la gobernabilidad se deben crear y activar los procesos, métricas, roles y la trazabilidad para garantizar el mejor desempeño y la eficacia de la GSI.

.

Situaciones en movimiento

Aunque sabemos que no son exhaustivos, los controles incluidos en la Norma ISO27002:2013, (El Código de Buenas Prácticas) creemos que la propuesta se queda corta en cuanto a dispositivos móviles y teletrabajo. Reconocemos que es un campo de revolución tecnológica, y en consecuencia difícil de normar, pero también de mayor porcentaje de vulnerabilidades que obligan a innovar para establecer y cumplir con objetivos de control adicionales. En el ámbito de los dispositivos móviles es necesario considerar la alta propagación del “Internet de las Cosas (IoT, por sus siglas en inglés), que independiente de la posición de la organización, llega en la mano (o encima o dentro) de empleados, clientes, proveedores y otros terceros. Soslayar estas realidades en nuestra GSI es como el navegante que ignora agujeros bajo la línea de flotación de su embarcación: es solo cuestión de tiempo. Un ejemplo: ya es práctica común interactuar y tomar decisiones a partir de las notificaciones de estatus y capacidades de monitoreo continuo que ejecutamos en muchos sistemas, incluyendo SCADA, desde nuestros dispositivos móviles. Sobre estas capacidades se establecen acuerdos explícitos o implícitos que extienden el rol laboral más allá del tiempo y el espacio fijado. Estos procesos móviles “beyond the office” necesitan ser considerados e incluidos en nuestras acciones de aseguramiento y protección.

.

Guiando entre las nubes

Sabemos lo encantador de estar en las nubes, pero podemos llegar a ellas de diversas maneras: consciente o inconscientemente de forma personal, y en las organizaciones por decisión de TI o por decisión de terceros. De cualquier manera, las nubes tienen casi todas las vulnerabilidades de plataformas tecnológicas menos etéreas y, adicionalmente, presentan vulnerabilidades particulares en la configuración y en el seguimiento continuo de mejores prácticas en la administración.

Un ejemplo: el uso masivo de servicios de correo Web, que muchas veces es consecuencia de servicios y políticas de correo propio tan “seguro” que ni “los de la casa” pueden usarlo para las tareas diarias. La consecuencia: se nos puede ir a nubes extrañas más de lo que queremos y a veces sin saberlo. Más eficaz puede ser modelar nuestros servicios de correo propio como una arquitectura de anillos y, si los pasamos a la nube, habrá que asegurar la gestión de la configuración y cumplimiento de políticas del servicio.

.

Auditoría

No basta replicar experiencias de la gestión de un sistema de calidad o la pretensión de satisfacer la especificidad de la auditoría con equipos multidisciplinarios. Auditar interna o externamente la conformidad de un SGSI con la norma, demanda de todos los miembros del equipo auditor la capacidad para comprender la arquitectura y plataformas de tecnologías de información y comunicaciones de la organización. El sistema de gestión de la seguridad y la seguridad misma son entornos inseparables cuya revisión va del detalle sustantivo en la implementación del control y su pertinencia, comprensión del entorno organizacional y físico-ambiental y sus efectos, hasta una visión integral de la vocación y capacidad de la organización para gobernar la seguridad.

[email protected]