La historia de éxito de esta ocasión corresponde al apoyo que le dimos a uno de nuestros clientes: una empresa mexicana del sector público con operaciones en todo el mundo. Por razones de competitividad a nivel mundial dicha empresa decidió que era imprescindible adoptar las mejores prácticas en lo que tiene que ver con la seguridad de la información, embarcándose por ello en la obtención de la certificación en la norma ISO/IEC 27001:2005, considerando en el alcance sus procesos sustantivos y de soporte, certificación que finalmente se logró.
Un buen antecedente es que la empresa ya había obtenido la certificación en la norma ISO/IEC 9001:2000, que mantenía vigente desde hacía dos años y, como toda empresa que ya tiene este tipo de sistemas de gestión, ya tenía establecido un buen trabajo en algunos de los puntos requeridos de las normas ISO como son el control documental, las auditorías internas, las revisiones gerenciales y la mejora del sistema con la generación de acciones correctivas y preventivas. Así mismo, el personal ya estaba acostumbrado a pasar por auditorías internas y le era familiar el apego a políticas, procesos y procedimientos, la nomenclatura de la documentación, la generación de evidencias, y el registro de acciones correctivas y preventivas. Fue sobre esta plataforma de documentación y práctica establecida que la organización desarrolló lo que se requería entonces por la norma ISO/IEC 27001:2005.
.
¿Por qué una auditoría independiente?
Como parte del apoyo en la obtención de la certificación ISO 27001 se llevan a cabo auditorías independientes por consultores que no participan en la implantación del SGSI con el objetivo de reforzar la evaluación del mismo y encontrar áreas de oportunidad antes de la auditoría del organismo certificador. Una auditoría independiente es similar a una auditoría interna y tiene el mismo protocolo: se reúne el equipo directivo o comité, se plantea el objetivo, alcance, los criterios de calificación y un calendario con las áreas a auditar con fechas y horarios. El auditor realiza, entre otras cosas, todas las actividades de planeación de la auditoría y define las técnicas de recolección de evidencias, las evalúa y realiza el reporte. Al final de la auditoría se presentan los resultados para que la empresa aplique las acciones necesarias para corregir las no conformidades.
En este caso la mecánica de las auditorías independientes fue la siguiente: para que el auditor tuviera el contexto del sistema de gestión de seguridad fue necesario llevar a cabo una entrevista con los representantes de los sistemas de gestión de calidad y de seguridad. Así mismo, el auditor realizó la planeación y revisó toda la documentación del sistema de gestión de seguridad. Seleccionó además las técnicas para la recolección de evidencias: la observación del personal, la revisión de la documentación y la aplicación de entrevistas:
- La observación del personal consiste en analizar el desarrollo de sus funciones en el día a día. La observación arroja mucha información sobre lo que el personal hace o no hace comúnmente y refleja el nivel cultural adquirido en temas de seguridad de la información. Por ejemplo, se estableció una política de escritorio limpio y al realizar un recorrido por las instalaciones en diferentes horarios, se observaron escritorios desordenados con un claro riesgo de acceso no autorizado a la información.
- La revisión de la documentación consistió inicialmente en la revisión de los documentos propios del sistema de gestión:
- El manual del sistema de gestión de seguridad de la información.
- La metodología de análisis de riesgos.
- La selección de objetivos de control para el tratamiento de riesgos.
- La declaración de aplicabilidad de objetivos de control (Statement of Applicability, SOA por sus siglas en inglés).
- La aprobación de la Alta Dirección de los riesgos residuales.
- El plan de tratamiento de riesgos (comúnmente llamado PTR) y su implantación.
- Los lineamientos de seguridad de la información.
- Además de los documentos arriba listados, también se revisó la implantación de controles seleccionados, el tablero de control para la medición de la efectividad del sistema, la estrategia para la implantación de programas de concienciación y entrenamiento, así como los documentos de revisiones periódicas para detectar oportunamente errores en la operación del sistema de gestión, y los lineamientos de mantenimiento y mejora. Finalmente, también se revisaron los procedimientos que soportan al sistema de gestión, como por ejemplo:
- El control de documentos, que establece en los procedimientos las actividades necesarias para la aprobación, emisión, difusión, revisión y actualización de los respectivos documentos, asegurando que los cambios y las revisiones son identificados, así como la disponibilidad, integridad y distribución controlada de los mismos cuando es requerida.
- El control de registros, que marca que los registros son establecidos y mantenidos para brindar evidencia de conformidad con los requerimientos y la efectiva operación del sistema de gestión, tomando en cuenta todo requerimiento legal o regulatorio u obligación contractual a la que esté sujeto. Este control permite resguardarlos, mantenerlos legibles, identificables, disponibles y recuperables. El almacenamiento, protección, recuperación, retención y disposición de registros se lleva a cabo de acuerdo a los procedimientos.
Adicionalmente, al momento de la auditoría, es posible solicitar a los auditados más documentación de acuerdo al control auditado. Por ejemplo, varios documentos solicitados fueron: la lista del personal que ya no pertenecía a la empresa desde hace tres meses y la documentación de salida de alguno de ellos. Con esta información se realizó un cruce validando en los sistemas que dicho usuario no siguiera dado de alta y no tuviera acceso a los sistemas ni a las áreas seguras.
Por último se revisaron los reportes de las auditorías internas anteriores y las acciones correctivas y preventivas que se desprendieron de dichos ejercicios.
- Para la recolección de información por medio de entrevistas se aplicó un cuestionario a una muestra de 10% del personal. Se estructuraron las preguntas asegurándonos que fueran consistentes y se determinó el tiempo que tomaría responderlas. También se consideró tiempo extra para discutir algún punto interesante que surgiera y para hacer preguntas adicionales de acuerdo a las respuestas del auditado.
.
¿Qué encontramos?
A continuación comento tres de los hallazgos más importantes al realizar este ejercicio de auditoría independiente, junto con la estrategia a seguir para resolver cada uno de los temas.
.
1) Revisión de información por parte de los auditores.
Dado que la empresa estaba utilizando el sistema existente de gestión de calidad certificado en ISO/IEC 9000:2000 para el cumplimiento de algunos puntos de la norma ISO/IEC 27001:2005, es importante que lo establecido esté funcionando y bien documentado. Pues bien, al momento de hacer la auditoría, el auditor solicitó evidencia de ciertos controles y tanto los auditados como los representantes de ambos sistemas mostraban y afanosamente entregaban todo documento impreso.
El auditor preguntó al administrador del sistema de gestión de calidad cuál era el mecanismo para compartir las evidencias con los auditores. También hizo la misma pregunta para el administrador del sistema de gestión de seguridad. Ambos administradores no tenían claro el mecanismo, por lo que se hizo la observación al objetivo de control A.15.3 Consideraciones para auditorías de sistemas de información. En sus procedimientos no habían establecido la forma en que un auditor puede revisar la información con lo cual cumpliría con la protección de la información requerida por la empresa, y esto es independiente al acuerdo de confidencialidad que dicha compañía había firmado previamente con nosotros.
Evidentemente este hallazgo hizo que se revisara también la documentación del sistema de gestión de calidad y se hicieran los ajustes necesarios tanto para las revisiones por parte de los auditores como para el control documental.
Adicionalmente, en este punto se hizo la recomendación de que el administrador del sistema de seguridad primero debería tener conocimiento de toda la documentación que abarca dicho sistema, y segundo, identificar y conocer toda la documentación del sistema de gestión de calidad que lo apoya, para tener la autonomía suficiente y atender las auditorías sin depender del administrador del sistema de calidad.
.
2) El papel de la gerencia y los programas de concienciación.
Es un hecho que se debe predicar con el ejemplo, pero esta regla no fue la excepción y sobre todo con los miembros del Comité de Seguridad. Vimos casos en que algunos de los miembros del comité no aplicaban evidentemente la política de escritorio limpio. La organización tampoco se escapó de confiar en el eslabón más débil de la cadena en la seguridad de la información: el personal. Si desde los mandos medios no se permea la nueva cultura, ¿cómo se puede exigir que el personal lo haga?
Se hicieron varias observaciones correspondientes al dominio 5. Responsabilidad de la gerencia, en los objetivos de control 5.2.2 Entrenamiento, concienciación y competencias, y en el dominio A.11 Control de acceso, en los controles A.11.3.2 Equipo de usuario desatendido y A.11.3.3 Política de escritorio limpio. Aunque el personal ya había recibido la capacitación prevista en el programa de concienciación, la importancia de la seguridad de la información no se había integrado a su cultura de trabajo y las prácticas no eran atendidas por los usuarios de acuerdo a lo que se pudo observar en los recorridos y durante la estancia en las instalaciones. Esto fue en gran medida porque no se hizo una evaluación después de los cursos y, obviamente, al momento de hacer la auditoría, no mostraron los conocimientos.
La necesidad de un nuevo programa de concienciación fue indiscutible: para la protección eficaz de la información se necesita la cooperación de los usuarios. Se planteó realizar una estrategia dirigida a los niveles gerenciales y, por otro lado, para todos los usuarios en general.
El equipo de Scitum realizó una sesión con el único fin de hablar sobre el cambio cultural, y como consecuencia, de la importancia del papel y empuje del Comité de Seguridad y cada uno de sus miembros para el éxito de este proyecto.
Fue necesario, así mismo, armar un calendario de sesiones de concienciación para todos los usuarios y la evaluación inmediata reforzando el espíritu de la política de seguridad, los lineamientos de seguridad de la información de la empresa, la protección de la información (tomando en cuenta la información que la gente maneja y la documentación en papel y en electrónico), y temas generales de la seguridad de la información. También se consideró calendarizar y aplicar otra evaluación en corto tiempo para evaluar su comprensión y aplicación del contenido.
.
3) “Darle la vuelta completa al ciclo PDCA”.
En la implantación de los sistemas de gestión, las organizaciones van avanzando en concretar todas las fases PDCA, sin embargo, hemos visto que al momento de hacer este tipo de auditorías “no le han dado la vuelta completa” pero ya tienen la fecha encima para la auditoría con el organismo certificador. La implantación y término forzoso del ciclo PDCA es un requerimiento para poder aplicar una auditoría de certificación. En el caso específico de esta organización, podría decirse que iban en la fase de revisión o “Check”, porque no se habían realizado las revisiones gerenciales, que es uno de los dominios requeridos por cualquier sistema de gestión de seguridad de la información. En otras partes, estaban en la fase de mejora o “Act” ya que muchas acciones correctivas estaban en vías de aplicarse y se estaban haciendo ajustes a la documentación e incluso liberando documentos vitales del sistema.
Por último, fue necesario llevar a cabo la finalización de las etapas de revisión y mejora (Check y Act respectivamente) del ciclo PDCA, donde se requería establecer las acciones correctivas y preventivas, el seguimiento de su ejecución, así como la medición de efectividad y mejora del sistema.
En fin, este ejercicio le permitió a la organización identificar los esfuerzos requeridos que representaban un reto para adoptar una cultura de seguridad de la información y lograr la certificación.
Deja tu comentario