Los marcos normativos, normas y estándares contienen requerimientos y guías de implementación para los Sistemas de Gestión de Seguridad de la Información (SGSI), pero no llegan a un alto nivel de detalle. En este artículo exponemos fuentes de conocimiento y criterio relevantes para materializar el SGSI.
DI LO QUE HACES + HAZ LO QUE DICES + DEMUÉSTRALO
Simplificando el proceso de implementación del SGSI, podemos establecer una fase documental (políticas, normativas, procedimientos, instrucciones técnicas) que constituyen el concepto “di lo que haces”, una fase de implementación de las medidas multidisciplinares que aporta el concepto “haz lo que dices” (obviamente alineada con “di lo que haces”) y una fase de obtención de evidencias (registros, métricas, indicadores) que aporta el concepto “demuestra que haces lo que dices”. Podemos añadir una cuarta fase, asociada al requerimiento de mejora continua que toda norma certificable contiene, denominada “mejora todo lo anterior y dime cómo lo vas a hacer”.
¿HASTA DÓNDE LLEGAN LAS NORMAS?
Prisma documental
Desde el prisma documental no se plantea un problema significativo dado que todas las normas y marcos normativos disponen de un catálogo de documentos nucleares obligatorios y descripción de su contenido mínimo, así como directrices para su aprobación, mantenimiento y divulgación.
Prisma organizativo
Desde el prisma organizativo también se dispone de requerimientos y criterios para definir una estructura organizativa alrededor del SGSI, siendo especialmente relevante en este sentido el Esquema Nacional de Seguridad (Real Decreto 311/2022 de 3 de mayo), marco normativo que especifica una estructura concreta con sus funciones y competencias (órgano competente, responsable de servicio, responsable de la información, responsable de seguridad y responsable de sistema) y posibles comités.
La norma ISO/IEC 27001:2022 no contiene especificaciones con este nivel de detalle, asignando a la “alta dirección” (top management) la tarea de asignar roles, responsabilidades y competencias relevantes para la seguridad de la información, dejando altos grados de libertad para definir la estructura organizativa.
Prisma técnico
El problema relacionado con posibles carencias de fuentes de información y criterio sobre “cómo hacerlo” se suscita, principalmente, en la implementación de las medidas técnicas.
INFORMACIÓN Y CRITERIO SOBRE “CÓMO HACERLO”
Documentación y soporte de fabricantes
Todos los fabricantes de componentes securizables disponen de documentación respecto de la securización de los mismos, y es una fuente prioritaria dado que asumen una alta responsabilización (“accountability”) y potencial indemnización (“liability”) ante incidentes achacables a problemas de seguridad, pero también por carencia de información sobre su securización que pudiera inhibir la activación de las medidas disponibles.
En este sentido, es muy recomendable (obligatorio en el ENS para categoría MEDIA y ALTA) la contratación de los denominados en el ENS “componentes certificados”, concepto que engloba los componentes incluidos en la Guía de Seguridad de las TIC CCN STIC 105 – Catálogo de Productos y Servicios de Seguridad de las Tecnologías de la Información y la Comunicación y también los productos certificados bajo Common Criteria, ya que, dentro del proceso de certificación, se evalúa también la disponibilidad y calidad de la documentación aportada con el componente.
Licenciado en Informática por la Universitat Politécnica de Catalunya. E.U. en Protección de Datos y Privacidad por la Facultad de Derecho de la Universidad de Murcia. CISA, CISM, CGEIT, COBIT 5 Implementer, Lead Auditor ISO 27001-TC y Auditor del Esquema Nacional de Seguridad. Carrera profesional desarrollada en Ingeniería de sistemas, DBA y, principalmente, consultoría y auditoría sobre marcos y normas asociadas a la seguridad de la información, tanto en sector público como privado. Colaborador de ISACA HQ desde 2004, autor de numerosas publicaciones, cursos y ponencias sobre estas materias, miembro del COIICV, ISACA, itSMF España, APEP e ISMS Forum.
Debe estar conectado para enviar un comentario.