El curioso caso del SGSI dentro del SGSI

Estimados lectores, esta mañana me encontraba en la máquina de café de la oficina hablando con varios compañeros sobre la filmografía del bueno de Christopher Nolan (por si no lo conocen, es el director de películas como Memento o la más reciente Interstellar). Pues bien, dentro de su filmografía podemos encontrar una que juega con el concepto de la recursividad. Se llama Origen y en mi humilde opinión es una gran película, con un reparto de lujo (Leonardo Dicaprio, Marion Cotillard, Ellen Page, etc.)

Y ustedes se preguntarán ¿y todo esto a qué viene? Algo tan sencillo como que la recursividad me ha sugerido la idea de escribir un post sobre un reciente proyecto en el que he participado y que finalmente ha terminado con la obtención de un certificado ISO 27001.

Este proyecto tenía numerosas particularidades que lo hacían especialmente complejo. Por ponerles en contexto, el proyecto consistía en la implantación de un SGSI para ciertos procesos de una plataforma online de una importante multinacional.

La primera particularidad era su reducido alcance. La segunda era que la sede española ya disponía de un SGSI certificado. La tercera era que se trataba de un proyecto que pertenecía a la matriz internacional, con un equipo de personal dedicado, y no a la sede española. La cuarta era que los servicios que prestaban departamentos transversales de la sede española (TI, RRHH, etc.) para nosotros eran parcialmente opacos. La quinta era que los sistemas de información estaban ubicados en un proveedor certificado por la ISO 27001. La sexta era que el SGSI debía ser en inglés (pero bueno esto no es especialmente relevante)…

Así pues, voy a tratar de exponerles ciertas situaciones que se me plantearon como cuestiones durante el proyecto. Espero que mi experiencia les pueda ser útil.

¿Se puede certificar por la ISO 27001 un proyecto y no una empresa? Sí, la norma no necesariamente requiere certificar una empresa es más, por norma general se certifican procesos de negocio de la misma. Pero también se puede certificar, por ejemplo, proyectos realizados en una UTE (Unión Temporal de Empresas). No obstante, siempre deberá haber un CIF detrás.

Si quiero certificar un proyecto dentro de mi empresa, la cual ya está certificada, ¿es necesario definir otro SGSI? No, tan solo bastará con ampliar el alcance del mismo. Siempre y cuando lo hagamos con la misma entidad de certificación. Si quieren hacerlo con otra entidad entonces deberán definir un SGSI nuevo o ampliar el alcance y someter el SGSI a otra auditoría. En este caso, por requerimiento de la matriz, la entidad certificadora debía ser otra distinta y partir de un SGSI nuevo.

¿Existe algún problema en seleccionar un alcance muy limitado? No, siempre y cuando tenga sentido. No obstante, un alcance limitado no nos eximirá de implantar gran parte de controles, como podemos pensar en un primer momento. Por ejemplo los controles relacionados con Recursos Humanos o con la seguridad física, casi al 100% nos serán de aplicación.

¿Puedo utilizar el comodín del SGSI existente para alegar que un control está implantado en el nuevo SGSI? Sí, pero ojo que el auditor puede auditar ese control, es decir por estar certificado no hará un dogma de fe y lo dará por válido. Puede darse el caso de que un proceso que sea idéntico para los dos SGSIs, por ejemplo el CV Screening, un auditor lo de por válido y otro no. Por eso, podemos referenciar en nuestra declaración de aplicabilidad cómo está implantado el control en el otro SGSI, pero siempre debemos revisar que en efecto se está cumpliendo.

¿Cómo tratamos a los servicios transversales (TI, RRHH, etc.) que nos prestan desde una sede concreta, pero sobre los que no tenemos control directo? Mi recomendación, y dada la casuística en este caso, es la definición y suscripción de OLAs (Operation Level Agreements) que reflejen: Los servicios prestados, los niveles de servicio asociados y aspectos de seguridad requeridos por el proyecto. Sin embargo, aquí deberemos tener cuidado en las formas de proceder y en las “exigencias que impondremos”, puesto que podemos encontrarnos con reticencias por parte de nuestros proveedores internos.

Si mis sistemas de información están en un proveedor de housing/hosting certificado por la ISO 27001, ¿el auditor verificará las medidas de seguridad de mi proveedor in situ? Pues depende, pero en más de una ocasión puedo confirmarles que durante la auditoría el auditor ha solicitado visitar las instalaciones del proveedor y revisar las medidas de seguridad existentes. A pesar de que el proveedor esté certificado por la ISO 27001, la ISO 20000, o este acreditado como Tier III.

Finalmente, otra de las lecciones aprendidas de este proyecto, es que no siempre un alcance acotado o la existencia de un SGSI previo puede disminuir la complejidad del proyecto de implantación de ISO 27001. Así que como siempre les decía a mis alumnos de taekwondo nunca subestimes a tu rival.

En cualquier caso, le doy mi más sincera enhorabuena a este proyecto por la obtención de la certificación ISO 27001.

P.D. Y por si se lo estaban preguntando, Dicaprio tampoco consiguió el Oscar con esta película.

Comments

  1. Tengo otra pregunta. ¿SE PUEDE CERTIFICAR, UNA ISO 27001 PARA UN ORGANISMO, QUE EN PRINCIPIO ES AUTONOMO, PERO LOS SERVICIOS DE TI, ESTAN DELEGADOS EN OTRO DEPARTAMENTO DE LA ORGANIZACIÓN, Y ADEMAS, EL ORGANISMO DELEGA EN OTROS DEPARTAMENTOS, PARTE DE LA GESTIÓN DE LOS TRAMITES QUE RELIZA? (este organismo en realidad, sólo hace en sus instalaciones un 5% del trabajo que se le encomendo, el resto esta delegado). ¿SE TENDRIAN QUE CERTIFICAR TODOS LOS DEPARTAMENTOS DE LA ORGANIZACIÓN IMPLICADOS?

    Gracias.

  2. Un comentario acerca de la frase “¿Se puede certificar por la ISO 27001 un proyecto y no una empresa? Sí, la norma no necesariamente requiere certificar una empresa es más, por norma general se certifican procesos de negocio de la misma. […]”

    Aclarar que los certificados frente a normas de sistemas de gestión son emitidos a favor de las organizaciones, ya sean públicas o privadas, más que a proyectos.
    Los proyectos como tales no son, en general, certificables (salvo excepciones de normas dirigidas, precisamente, a la certificación de proyectos, como la 166001).
    Otra cosa es que una organización pueda definir un alcance de certificación que se corresponda, precisamente, con un área, actividad, plataforma o proyecto concretos.
    Pero insisto en que las que se certifican frente a normas de sistemas de gestión son las organizaciones.

    Saludos.

  3. Antonio Huerta says:

    En relación a la pregunta de si se puede certificar dicho organismo. Entiendo que aunque los servicios de TI estén delegados en otro departamento, no habría problema alguno en certificar este organismo. No obstante, todos los controles que sean de aplicación, deberán de llevarse a cabo por el departamento TI o al menos recabar un compromiso contractual. Es decir, el “accountable” siempre será el organismo a pesar de que el “responsible” sea otro departamento.

    A pesar de que “unicamente” certifiquemos el organismo, los departamentos que de alguna manera presten servicios y este relacionados con la seguridad de la información estarán implicados en el SGSI.

    En relación a la aclaración de Alberto, en efecto, todo certificado se emite respecto a un CIF. El enfoque que pretendía dar con esa pregunta es que no es necesario que pensemos en certificar una organización entera, ni tan si quiera una proceso de negocio. También podemos certificar algo tan concreto como un proyecto. En cualquier caso, muchas gracias por la aclaración Alberto.

  4. El Tio Tonet says:

    Gracias maestro por la aclaracion, y disculpa las mayúsculas, cosas del móvil.

  5. Antonio Huerta says:

    De nada Tio Tonet, cualquier duda al respecto estaré encantado de resolverla o al menos intentarlo ;)