Según ISO 27001 y 27004 en ciberseguridad la clave es medir, medir y medir

El objetivo del presente artículo es sobrevolar sobre la familia ISO 27000, que contiene un amplio repertorio de normas y recomendaciones de ciberseguridad, para poder concluir con unos criterios de definición de un marco estándar y operativo para controlar los riesgos asociados a la ciberseguridad, y por extensión, también se podría aplicar a los riesgos de cualquier otra naturaleza.

Comprendo la aprensión que nos provoca al leer las siglas ISO, y por ello hemos hecho un esfuerzo para que su comprensión sea posible prácticamente para cualquier perfil de lector. Espero que lo consigamos.

El amplio mundo de las normas ISO 27000

Las normas ISO aplicables al mundo de la ciberseguridad se han diseñado para cubrir todos los aspectos que permitan enfocar adecuadamente la ciberseguridad en una organización. Se basa en una norma base, la ISO 27001, que se acompaña de otras normas y recomendaciones complementarias.

Destacaremos de entrada un aspecto relevante de la ISO 27001 y que nos va a centrar la argumentación de este artículo, y es la siguiente recomendación de la propia norma: “el carácter medible de los controles implantados”.

En general siempre podremos decir que lo que no se puede medir, no se puede mejorar. Si no detectamos un fuego, difícilmente podremos enviar a los bomberos para apagarlo.

Qué normas componen la familia ISO 27000

Para comenzar vamos a describir la familia ISO 2700 que se compone de varias normas y recomendaciones, de entre las que destacan (ver lista completa de normas ISO 27000):

• ISO 27001 describe los requisitos del sistema de gestión de seguridad de la información.
• ISO 27001 Anexo A: proporciona una lista de los controles recomendados para esta normativa, para que cada entidad decida o no su aplicación.
• ISO 27002 recoge buenas prácticas para implantar los controles de la 27001.
• ISO 27003 guía que se centra en los aspectos críticos necesarios para el diseño e implementación con éxito de un SGSI de acuerdo con ISO/IEC 27001
• ISO 27004 incluye recomendaciones para medir y monitorizar un sistema de gestión de seguridad informática (SGSI).
• ISO 27005 recoge las buenas prácticas para la gestión de riesgos de seguridad informática y para enfocarla metodológicamente.
• ISO 27006 especifica los requisitos para la acreditación de entidades de auditoría y certificación de sistemas de gestión de seguridad de la información.
• ISO 27007 y 27008 son guías de auditoría de un SGSI.
• ISO 27009 explica cómo refinar e incluir requisitos adicionales a los de la norma ISO/IEC 27001 y cómo incluir controles o conjuntos de control adicionales a los del Anexo A.
• ISO 27010 guía para la gestión de la seguridad de la información cuando se comparte entre organizaciones o sectores.
• ISO 27011 variante de la ISO 27002 específica para el sector telecomunicaciones.
• ISO 27013 guía de implementación integrada de ISO 27001 e ISO 20000 (gestión de servicios TI).
• ISO 27014 guía de gobierno corporativo de la seguridad de la información, la ciberseguridad y privacidad.
• ISO 27015 variante de la ISO 27002 aplicada al sector financiero.
• ISO 27017 variante de la ISO 27002 aplicada a servicios Cloud.
• ISO 27019 variante de la ISO 27002 aplicada al sector de la industria de la energía. 
• ISO 27030 cubre la seguridad y privacidad en principios, riesgos y controles aplicables a la Internet de las Cosas (IoT - Internet of Things).
• ISO 27701 es una extensión RGPD a la ISO 27001. La RGPD se exige a las entidades que gestionen datos de carácter personal de ciudadanos de la Unión Europea.

Estas normas y recomendaciones, inspiran nuestra herramienta CiberCumplimiento para controlar la evolución de la norma ISO 27001 en cada organización y aplicando las directrices de la ISO 27004 que inspira la parte operativa de la herramienta: la medición.

¿Cómo puede ayudar la ISO 27004 a medir y monitorizar un SGSI?

Veamos cuáles son las directrices de esta norma:

• Para empezar dice que se debe implementar el ciclo de Deming de mejora continua, más conocido por PDCA (acrónimo de plan, do, check, act).
• Y ello soportado en mediciones cuyos objetivos, entre otros, deben ser:
  • Evaluar la efectividad de la implementación de los controles de seguridad.
  • Evaluar la eficiencia del SGSI, incluyendo continuas mejoras y correcciones a los problemas detectados.
  • Servir como información para revisar el plan de análisis y tratamiento de riesgos.
• También menciona que debe desarrollarse un modelo de cómo implementar la medición de la seguridad que aporte información para adoptar decisiones en base a la eficiencia de los controles de seguridad. Para ello se debe identificar los atributos necesarios y el método de evaluación que los convierta en indicadores.
• Se debe determinar con qué frecuencia se deben realizar esas mediciones para tener una información actualizada según las necesidades y circunstancias del cliente.
• Como nada es gratis, no se debe perder de vista el ratio coste/beneficio para establecer la frecuencia más adecuada para no incurrir en dispendios poco justificados.
• Revisar de forma periódica la validez del modelo de medición.
• Identificar claramente a los participantes en todo el proceso y sus responsabilidades.

Pero además esta norma impone unas condiciones para que una medición sea válida, y son las siguientes:

• Estratégica: Alineada con la estrategia y misión de seguridad de la información.
• Cuantitativa: Utilizar prioritariamente datos numéricos o empíricos, en lugar de opiniones.
• Eficiente: El “valor” del dato recolectado debe ser mayor al coste de recolectarlo.
• Verificable: Cualquier revisión por parte de un tercero, deberá ser capaz de llegar a las mismas conclusiones con los datos recogidos.
• Tendencia: Los datos deberán ser representativos del impacto, cada vez que se realicen cambios.
• Usable: Los resultados deberán apoyar la toma de decisiones.
• Indivisible: Los datos deberían ser recolectados al más bajo nivel de desagregación posible (y yo añado “y recibirlos directamente desde sus fuentes sin intermediación”).
• Bien definida: Sus características deben estar bien documentadas.

Ahora que ya conocemos estas recomendaciones que tienen el objetivo de proporcionar criterios para elegir adecuadamente cómo se va a realizar la medición, ahora vamos a aportar algunos detalles de su implementación en la solución CiberCumplimiento, inspirados como decíamos en la ISO 27004.

¿Cómo se realiza la medición de los Controles en CiberCumplimiento?

En primer lugar consiste en determinar para cada Control cómo se realizará la evaluación de su eficacia. Para ellos vamos a tener que declarar:

• Qué datos vamos a necesitar
• Qué fórmula de cálculo vamos a emplear
• Qué valor determinará la separación entre eficacia e ineficacia (baremo)

En la configuración más versátil, con indicadores de eficacia de tipo numérico (1), en cada Evaluación (medición) se obtienen dos valores por cada Control, que son los que nos informan de su estado en cada momento:

• Valor de la Eficacia del Control: Toda evaluación obtendrá un valor SI o NO a partir del valor calculado para el indicador y contrastado con el baremo de interpretación establecido. La consecuencia de obtener un NO indicará ineficacia y el sistema corregirá su mitigación a la baja.
• Valor de Madurez del Control: Aunque la eficacia de un indicador, según nuestra solución, sólo puede tener los valores eficacia SI o eficacia NO, es relevante conocer qué valor del indicador se ha obtenido, porque incluso cuando no se consiga la eficacia exigida, es relevante saber su evolución, en el sentido de si vamos mejorando y acercándonos al objetivo deseado o no.

Configurado así, ¿qué aporta CiberCumplimiento al CISO?

Nuestra solución aporta cuatro grandes características funcionales al responsable de ciberseguridad:

• Normas preconfiguradas: se aportan precargadas varias normas de ciberseguridad para su rápida implantación y seguimiento que al compartir muchos elementos comunes entre ellas disminuye el trabajo de configuración y evaluación posterior.
• Medida continua del riesgo: La eficacia de los controles de mitigación de riesgos se miden de forma objetiva, y con la frecuencia que la organización determine.
• Completa trazabilidad: Gran parte de la solidez de esta solución se basa en una identificación clara de los participantes en las fases de definición del esquema de control de riesgos y determinación de los niveles de apetito al riesgo, de los valores de eficacia obtenidos a partir de datos/evidencias, de los problemas detectados y de las acciones de corrección realizadas y sus evidencias.
• Colaboración y reparto de responsabilidades: En cada momento se conoce el estado de las tareas y cuáles no han sido finalizadas y así poder realizar un correcto seguimiento. La participación y colaboración se guía por los perfiles al que cada usuario está adscrito. Así siempre conoceremos quién ha solicitado qué; quién ha introducido qué dato/evidencia, quién ha realizado acciones de corrección y qué evidencias ha incorporado.

Conclusiones

La seguridad bien enfocada debe ser preventiva, y eso requiere disponer de un sistema que facilite la identificación temprana de los controles ineficaces para realizar el lanzamiento de las acciones correctoras correspondientes.

Si tu objetivo es cumplir con los requerimientos de la ISO 27001, pero no como una foto puntual, sino de forma continua y siempre contando con la medición de la eficacia de los controles como la mejor forma de comprobar el estado real de los riesgos, sin duda la solución CiberCumplimiento es la herramienta que necesitas. Con ella, aparte de poder controlar los riegos de cualquier norma de ciberseguridad (2), incluyendo la ISO 27001, cuenta además con el sistema de medición en sintonía con la ISO 27004.

¿Necesitas más detalles? Llámanos y te los contamos.

1. Los indicadores también se puedes parametrizar como de tipo lógico, pero de esta forma no aportan el valor “madurez”.
2. La lista inicial de normas de CiberCumplimiento (ago 21) se compone de ENS, RD 43/21, ISO 27001 e ISO 27701.