En tiempos de crisis, organizaciones con servicios de TI ciberresilientes y ciberseguros
Vivimos tiempos convulsos y de crisis. Desde una visión tecnológica y de las organizaciones, es necesario simplificar y ayudarlas a que sus servicios de TI sean más ciberresilientes y ciberseguros. Y más cuando una organización ha implantado varios sistemas de gestión de TIC pues necesita coordinarlos eficazmente, haciéndolos compatibles entre sí de forma que se puedan establecer objetivos alineados, se obtenga una visión global de los sistemas y se facilite la toma de decisiones. Es la reciente ISO/IEC 27013 publicada en 2021 la que facilita una integración de los Servicios de TI con Ciberseguridad conforme a ISO 20000-1 e ISO 27001, logrando una gestión integral, ahorro de costes y facilitando el día a día de los servicios TI.
Como ya sabemos, el objetivo de ISO 20000-1 es que un proveedor de servicios de TI [CPD – on-premise (interno/local) u outsourcing (externalizado/cloud) proporcione servicios de TI con una calidad adecuada, cumpliendo con los acuerdos de nivel de servicio (SLA) con sus clientes y stakeholders a un coste apropiado.
Mundialmente conocida es la ISO/IEC 27001 que establece un Sistema de Gestión de Seguridad de la Información ya considerado internacionalmente como un commodity en la seguridad para las organizaciones. Su objetivo es implantar la ciberseguridad orientada a los procesos y objetivos del negocio considerando el análisis de riesgos de TIC y la mejora continua; e implantando los controles y procedimientos más eficaces y coherentes en consonancia con la estrategia de negocio para minimizar los riesgos identificados. Esta gestión eficaz de la ciberseguridad y ciberresiliencia permite garantizar:
- La confidencialidad, asegurando que sólo quienes estén autorizados puedan acceder a la información.
- La integridad, asegurando que la información y sus métodos de proceso son exactos y completos.
- La disponibilidad, asegurando que los usuarios autorizados tienen acceso a la información y a sus activos asociados cuando lo requieran.
Además, facilita el cumplimiento legal relacionado, como es la protección de datos personales o la propiedad intelectual. Los controles que hay que aplicar se enumeran en el Anexo A. de la ISO/IEC 27001.
Una organización en los tiempos actuales necesita herramientas sencillas y pragmáticas. Es decir, cuando vaya a implantar ambos sistemas de gestión necesita coordinarlos eficazmente, haciéndolos compatibles entre sí de forma que se puedan establecer objetivos alineados, se obtenga una visión global de los sistemas y se facilite la toma de decisiones.
En esta labor de integración y coordinación, es precisamente la ISO/IEC 27013 – Information technology — Security techniques — Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1, la mejor herramienta para una implantación eficaz de ambas normas, pues en ella se encuentran orientaciones y directrices considerando los siguientes tres escenarios:
- Todavía no ha implantado un sistema de gestión basado en alguna de ellas (ISO 20000-1 y/o ISO 27001).
- Ya ha implantado un sistema de gestión basado en una de las dos (ISO 20000-1 y/o ISO 27001).
- Ya ha implantado dos sistemas de gestión no integrados, cada uno de ellos basados en una de las normas.
Así, los aspectos a tener en cuenta para los anteriores 3 escenarios son los que se recogen en el siguiente gráfico que describe de forma visual las partes más específicas de cada norma/estándar y aquellas partes que son comunes o son compartidas por ambas normas/estándares y que la organización debe tener en cuenta para una adecuada implantación:
Figura 1. Aspectos comunes, compartidos y diferenciales de ambas normas – ISO 20000-1 e ISO 27001.
Además, ambas normas/estándares cumplen con la estructura de alto nivel la (HLS de ISO). Esto hace que su integración se mucho más sencilla, al disponer del mismo índice de requisitos para ambos sistemas de gestión. Es decir, ambas normas comienzas sus requisitos en el apartado 4. Y lo completan en el apartado 10.
Adicionalmente, podemos ver en la siguiente tabla orientativa (Tabla 2) un ejemplo no exhaustivo de procesos de la ISO 20000-1 que se corresponden con controles del Anexo A. ISO 27001 (ISO 27002)
Tabla 2. Ejemplo orientativo de procesos de ISO/IEC 20000-1 con Dominios/Controles de Anexo A. ISO/IEC 27001 (ISO 27002)
Es importante indicar que para una mejor integración, los alcances de ambos sistemas de gestión deberían coincidir, si bien la integración también es posible cuando los alcances son diferentes.
En conclusión, podemos resumir las ventajas de utilizar la ISO/IEC 27013 como guía para implantación de la ISO 20000-1 e ISO 27001. Estas ventajas son aplicables tanto a la implantación como posible certificación integrada de ambos sistemas de gestión.
- Estratégicos: todos los sistemas son vistos como parte de un sistema de gestión global del negocio, contribuyendo a la mejora continua de los resultados de la organización. Objetivos y planificaciones deben ser coherentes y estar conectados con el plan de negocio general.
- Gestión: se evita la creación de sistemas de gestión “isolated” para los servicios de TIC y la seguridad de la información, al enfocarse como partes de una gestión integrada dentro de la organización. La unificación de objetivos y propósitos contribuye a un enfoque de trabajo en equipo.
- Económicos: es previsible el ahorro de costes motivado por la eliminación de tareas duplicadas para procesos como auditorías internas, control de documentación, etc.
- Operacionales: la gestión integrada ayuda a asegurar que se toman en consideración todas las consecuencias de cualquier acción. Por ejemplo, un cambio de diseño en un servicio puede afectar no solo a la calidad del mismo, sino también a la seguridad de la información relacionada. En definitiva, un planteamiento más integrado para la gestión de los riesgos empresariales.
- Logísticos: la implantación de un nuevo sistema de gestión será mucho más fácil y eficaz. Asimismo, se evitan conflictos en materia de funciones y responsabilidades, dado que el sistema integrado requiere definir de forma clara los límites de autoridad y responsabilidad.
Boris Delgado Riss
Team Leader itsm4iso20000 de itSMF España