24 agosto 2009

Cuestion de confianza

Con el paso del tiempo, cada vez son más las organizaciones certificadas en ISO 27001. Ahora ya no es extraño encontrar empresas que luzcan un certificado de seguridad, y poco a poco comienza a verse cómo algunas de ellas incluso están comenzando a valorar que sus proveedores también estén certificados.

Ante este panorama, la pregunta clave en torno al mercado de las certificaciones comienza a hacerse cada vez más patente. ¿Hasta qué punto una organización está dispuesta a confiar en el certificado de la otra? ¿Es requisito suficiente el hecho de estar certificado para que todo el mundo pueda confiar en tu gestión de la seguridad?

La pregunta tiene más miga de lo que parece. Por un lado, todo el que conozca cómo funcionan los esquemas de certificación sabe que no es suficiente con tener un certificado, sino que el alcance de dicha certificación debe cubrir el ámbito que nos interesa. Pero una vez verificado este aspecto (algo sencillo, ya que figura en el propio certificado), qué más aspectos hay que tener en cuenta?

Como ya he comentado en alguna ocasión, un SGSI tiene varias dimensiones. La primera viene dada por el alcance, pero no es la única. También deberíamos tener en cuenta la Declaración de Aplicabilidad (es decir, qué controles de seguridad tiene aplicados la organización y cuáles no), y además sería muy útil conocer cuál es el nivel de riesgo asumido por la organización, ya que ese parámetro nos va a dar la clave para conocer el grado de "intensidad" con el que se están aplicando los controles. Por tanto, para poder estimar el "nivel de seguridad" de una organización sin necesidad de conocer el detalle de su SGSI sería necesario conocer estos 3 parámetros.

Teniendo esto en mente, podemos darnos cuenta de que la clave de la confianza en el SGSI de otra organización no radica en el certificado en sí mismo, sino en el "nivel de seguridad" que dicha organización presenta en relación al que nuestra organización exige. De este modo, podría existir una organización para la que la simple posesión del certificado por parte del proveedor fuese suficiente garantía de seguridad, ya que esta organización no tiene requisitos particularmente exigentes en materia de seguridad para el servicio o producto de este proveedor, mientras que otra organización opte por definir exigencias mucho mayores en este ámbito debido a que las necesidades de seguridad que tiene para el mismo servicio o producto son mucho mayores.

El "problema" de los certificados en ISO 27001 es que los criterios de auditoría, las exigencias contra las que se contrastan los SGSIs en las auditorías de certificación, son sencillamente (que no es poco) la propia norma y la normativa interna de la organización, pero nunca se tendrán en cuenta las exigencias de los clientes (a no ser que se establezca expresamente o que la organización asuma explícitamente como propias dichas exigencias). Por lo tanto, si dichas exigencias exceden las de la propia organización, el diferencial existente nunca será auditado en las auditorías de certificación, y por tanto debería ser auditado expresamente en auditorías de segunda parte (realizadas por el cliente al proveedor), en las que se incluyan dichas exigencias como criterios de auditoría.

En definitiva, la cadena de confianza establecida por los certificados (presuponiendo que son certificados acreditados, y por tanto de reconocimiento mutuo independientemente de la entidad de certificación) es suficiente si las exigencias en materia de seguridad son las "normales", si consideramos que el cumplimiento de la ISO 27001 es suficiente garantía, mientras que si las exigencias en esta materia son superiores tendremos que recabar más información acerca del SGSI de nuestro proveedor o recurrir a las auditorías de segunda parte para poder verificar el cumplimiento de nuestras exigencias en seguridad.

3 comentarios:

Javier Cao Avellaneda dijo...

Efectivamente la pregunta tiene miga. Lo más relevante en relación a la confianza entre cliente y proveedor es el alcance de los procesos de la empresa que se han certificado en gestión de la seguridad.
Yo añadiría también que "gestión" no implica necesariamente "seguridad de la información". Se puede tener un "escaparate precioso" (El sello) y luego la trastienda ser un desastre (no lograr los objetivos de seguridad planteados).

Un SGSI es una herramienta pero la confianza viene de garantizar el cumplimiento de objetivos. Podemos tener los mecanismos de gestión perfectamente definidos y operativos y a pesar de ello, no lograr satisfacer los objetivos de seguridad aunque ello por el propio sistema suponga la necesidad de seguir realizando ajustes.

En relación a tu duda, comparto plenamente tus reticencias respecto a si es suficiente con acreditar estar certificado para ser un buen proveedor que garantice la seguridad. ¿Y si en el análisis de riesgos de la empresa certificada no se han considerado amenazas contra la información de sus clientes?

Las auditorias de segunda parte son quizás una muy buena solución.

Otra cosa que también ayudará a evaluar la fiabilidad de un tercero serán los resultados obtenidos por las métricas que éste se haya planteado aunque lo ideal sería un acuerdo de nivel de servicio basado en unos requisitos mínimos en relacióna ciertas métricas pactadas entre cliente y proveedor que luego pudieran ser revisadas en esas auditorías de segunda parte.

Antonio Ramos dijo...

Estoy completamente de acuerdo en que la certificación es una herramienta totalmente insuficiente para lo que estás planteando. Supongo que se debe a que las certificaciones carecen de los matices necesarios para ser utiles para un tercero: ¿qué dimensión me preocupa más: la confidencialidad, la integridad, la disponibilidad? La evaluación SI/NO no es suficiente para saber el grado de seguridad de una organización: Hace falta más niveles, no es suficiente el blanco o negro, nos hacen falta toda la escala de grises...

En definitiva, creo que el kit de la cuestión es que la certificación no habla "en absoluto" del nivel de seguridad, "solo" se refiere al sistema de gestión.

Si lo que necesitamos es un sistema que nos permita evaluar el nivel de seguridad de una compañía, tenemos que empezar a pensar en algo distinto a las certificaciones.

Joseba Enjuto dijo...

Veo que para vosotros los sellos no son suficientes... No obstante, las propuestas que planteáis (incluso las que planteo yo) puede que no sean sencillas de llevar a la práctica. ¿Qué empresa está dispuesta a enseñar su análisis de riesgos? Si está bien hecho, no deja de ser el lugar en el que se retratan las "vergüenzas" de una organización en materia de seguridad. ¿Cuál está dispuesta a mostrar a sus clientes su cuadro de mando de seguridad? Si las organizaciones en general no son muy partidarias de difundir sus estrategias, menos lo serán de sus cuadros de mando... La clave es determinar cómo es posible ver "desde fuera" el "nivel de seguridad" de una organización, sin necesidad de conocer sus tripas (eso es lo que haría la auditoría de segunda parte). ¿Qué mínimo de información consideramos suficiente para hacernos una idea de dicho nivel?