Integración: ISO 27001 e ISO 9001

LOS BENEFICIOS DE ASEGURAR LA INFORMACIÓN EN LA EMPRESA

Por: Ing. Roberto Puyó Valladares, CISM (*)
En el Perú, las empresas que poseen la certificación ISO 9001- Sistema de Gestión deCalidad (SGC) se cuentan por cientos, quizás sea su caso. Estas empresas, tanto públicas como privadas, tienen como foco principal, la mejora de los procesos para lograr eficiencia y eficacia en los mismos y como segundo elemento central, ser reconocidas internacionalmente por un organismo certificador. En esa línea, una verdadera implementación, descartando las que quedan en el olvido de los papeles, requiere un esfuerzo adicional del personal y de la propia empresa para que el SGC continúe vigente.

En las implementaciones de los SGC, se tienen que revisar directa o indirectamente los procesos operativos y determinar las mejoras a los mismos. En esa búsqueda, siempre se encuentran elementos que son detectados y que generan riesgos para la organización. Ante ello ¿se ha puesto a pensar qué sucedería si toda, o parte de la información que fluye en los procesos del SGC de la empresa, es adulterada por terceras personas?, o es modificada intencionalmente en beneficio de otros, es destruida sin dejar rastro para la organización, es expuesta a la competencia sin la autorización de los responsables o quizás extraída fuera de los linderos de la empresa sin autorización y peor aún, utilizada para temas ilícitos. La respuesta dependerá de la valoración que se le brinda a la información en la empresa. Entendiendo aquella que se encuentra por ejemplo, en los expedientes físicos en las diversas oficinas, en un archivo Excel almacenado en la PC de algunos trabajadores que centralizan la información, de aquella que se desecha en los recipientes de basura sin ser destruida apropiadamente, de los sistemas de información que soportan los procesos críticos, del CD o DK con información confidencial sin encriptar y enviada a través de mensajería sin ninguna protección, de la información que no respaldamos en un backup histórico, entre otras. La lista podría ser muy extensa.

Por ello, la información que fluye en sus procesos, es un activo vital para el éxito y la continuidad de la empresa en el mercado. El aseguramiento de la información y de los sistemas que la procesan es, por tanto, un objetivo de primer nivel para la organización. No se debe confundir a un SGC, con los controles técnicos de seguridad informática. La protección de la información va más allá de un antivirus o un Antispam o un Firewall en su red.

¿Preocupado?, no se angustie, le comentamos que en el mundo normativo por ISO, no estamos solos. Tenemos a la familia de normas ISO/IEC 27000 que determinan un conjunto de estándares desarrollados por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña, para implementar un Sistema de Gestión de la Seguridad de la Información (SGSI) que aborde la tarea en forma metódica, documentada y basada en objetivos claros de seguridad, y en una evaluación de los riesgos a los que está sometida la información en la organización.

En la familia de normas ISO 27000 destacan dos principales: la ISO/IEC 27001 para la implementación de un SGSI y la ISO 27002, que brinda una serie de controles que deben, según el alcance y aplicabilidad de la norma en los procesos, implementarse para reducir los riesgos de la información.

Al igual que el SGS, la norma ISO 27001 es certificable para el SGSI de un o más procesos elegidos por las empresas, teniendo en cuenta que por ser una norma ISO, existen similitudes con la norma ISO 9001.

Suponiendo que a estas alturas usted ya alertó a su gerencia sobre la premisa que se tiene que hacer algo para proteger la información de la empresa y propone la implementación de un SGSI enfocado en ISO 27001. La primera duda es: ¿Tengo que mantener dos sistemas de gestión?, ¿Tengo que tener comités de calidad y comités de seguridad?, ¿Tengo que analizar por partida doble los procesos, primero para calidad y luego para seguridad?, ¿Tendré normativa duplicada que atienda los requisitos de calidad y otra para que atienda los requisitos de seguridad de la información?, entre otras dudas.

Busquemos una solución
El avance de la implementación de los SGSI en el enfoque ISO 27001 no es comparable al de los dos “clásicos” ISO 9001 e ISO 14001, conocidos estándares de gestión de Calidad y Medio Ambiente, respectivamente. Si bien es frecuente encontrar sistemas de gestión de Calidad y Medio Ambiente conviviendo en un único Sistema de Gestión Integrado (SGI), no lo es tanto en Perú, y me atrevería a decir que son escasas las organizaciones que tienen esta visión, ver un SGC integrado con un SGSI.

Avanzando aún más allá, se podría plantear la existencias de empresas que, disponiendo de un Sistema de Gestión Integrado de Calidad y Medio Ambiente, se planteen lo que podríamos denominar “integración total”: un Sistema de Gestión Integrado de Calidad, Medio Ambiente y Seguridad de la Información.

Para nuestro caso, vamos a tratar la extensión de un sistema existente de Gestión de la Calidad para su cumplimiento con ISO 27001, o en otras palabras, la creación de un Sistema de Gestión Integrado de Calidad y de Seguridad de la Información (SGCSI).

Es importante aclarar que la integración de ambos sistemas viene facilitada por el hecho de que tanto 9001 como 27001 se basan en el ciclo de Deming o modelo PDCA (Plan, Do, Check, Act) aplicado a los procesos del propio Sistema. Asimismo, ambas normas regulan los requisitos de un sistema que está orientado a los procesos de negocio de cada Organización.

La propia ISO/IEC 27001 nos aclara que si una organización tiene implantado 9001 ó 14001 “es preferible cumplir los requisitos de esta norma internacional dentro del sistema de gestión existente.”, para nuestros supuestos usar el paraguas de ISO 9001 para implementar ISO/IEC 27001.

Vamos a ver hasta que punto la recomendación de la Norma es cierta o no. A pesar de
que puedan existir ciertas Organizaciones en las que por motivos específicos se prefiera llevar la gestión de la Calidad de forma separada a la gestión de la Seguridad de la Información, no hay duda de que seguir la citada recomendación nos puede aportar innumerables ventajas (y ahorrarnos algo de trabajo también). Entre esas ventajas, sin duda las más valoradas por las empresas son, evitar las duplicidades innecesarias y la mejora de la eficiencia en toda la Organización, con el consiguiente ahorro que supone.

Iniciemos el cambio
De lo primero que nos daremos cuenta a la hora de comenzar a integrar ambos sistemas, es de las enormes coincidencias en todo lo referido a lo que es el propio Sistema de Gestión en sí: Requisitos generales, requisitos de documentación, responsabilidad de la Dirección, gestión de recursos, auditorias internas, revisión por la Dirección y mejora del Sistema.

1) El primer paso será, modificar el documento de alcance de nuestro Sistema de Calidad, que ahora incluirá también aquellos procesos de negocio que queramos certificar bajo ISO 27001 por tener especial trascendencia en ellos la Seguridad de la Información. El nuevo alcance no tiene por qué coincidir con el ya establecido para Calidad, y lo normal es que no coincidan.

2) A continuación deberemos modificar nuestra Declaración de Política de Calidad, haciéndola extensiva a la Seguridad de la Información y a los objetivos concretos de seguridad que nos marquemos como Organización.

3) Lo siguiente será aprovechar la estructura organizativa de la que disponíamos en nuestro Sistema de Calidad, para que se gestione también la Seguridad de la Información. Es habitual que las organizaciones nombren responsables y/o Comités de Calidad, y con este enfoque y por requerimiento de la norma es requerido mantener también responsables y/o Comités de Seguridad de la Información. Unifique esfuerzos.

4) Por último, nos centraremos en aquellos procedimientos de Calidad cuyo objeto y alcance vamos a ampliar para cumplir de manera unificada con los requisitos que comparten 9001 y 27001:

Control de registros y documentación.

Responsabilidad y revisión del sistema por la dirección.

Gestión de no conformidades, acciones preventivas y acciones correctivas.

Auditoría interna y mejora contínua del sistema.

Otra ventaja de la integración: Gestión centralizada de los numerosos requisitos legales y regulatorios con los que tienen que cumplir las organizaciones en la actualidad.

En concreto, en el Perú algunas empresas se someten a regulaciones externas como Sarbanes Oxley, Basilea II, etc., internas como las regulaciones de la SBS en materia de seguridad de la información; y en las empresas públicas, la implementación de las normas de Control Interno – COSO, ISO 27002, reglamento de seguridad y salud en el trabajo, entre otras.

Ante ello, para cumplir con esta regulación se requiere la dotación de recursos y la implementación de cierta estructura organizativa para poder llevar a buen término el cumplimiento exigido, de manera constante y permanente. Más allá de las citadas normas, el SGCSI permitiría cumplir, y todo ello, desde un único Sistema de Gestión Integrado.
No lo piense mucho e inicie el camino, sea una de las selectas organizaciones en Perú que será reconocida como aquella que dio el primer paso. Mucha suerte y será hasta la próxima entrega.
(*) Ingeniero en Computación y Sistemas, Gerente Certificado de Seguridad de la Información – CISM (ISACA), con más de 12 años de experiencia en la Administración de Tecnologías de Información y Auditoria de Sistemas, Seguridad de la Información, Gestión de Riesgos, Análisis Forense Digital, Peritaje Electrónico, Seguridad Informática, Auditoria e Implementación de Sistemas de Gestión de Seguridad de la Información y Calidad bajo los enfoques de sistemas integrados de Calidad y Seguridad de la Información – ISO 9001 e ISO/IEC 27001.
Miembro de la Infomation Systems Audit and Control Association -ISACA, y presidente del Comité Técnico de Normalización e Intercambio Electrónico de Datos EDI – GS1 – INDECOPI, miembro del Colegio de Ingenieros del Perú,

mar 18, 2011SGSI en el Perú
No hay comentarios aún

Deja un comentario

XHTML: Usted puede utilizar estas etiquetas: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Facebook

Twitter