21 diciembre 2009

Publicada ISO/IEC 27004:2009

Después de tanto tiempo esperándola, por fín se ha publicado la ISO 27004. Desde el día 7 de este mes está disponible esta norma sobre métricas de seguridad. No obstante, me gustaría recalcar, ya que parece que hay cierta confusión al respecto, que esta norma lo que establece principalmente es el ciclo de vida de las métricas, es decir, cómo se deben definir y articular las métricas de seguridad para lograr medir la efectividad de los controles de seguridad establecidos en un SGSI. Lo digo porque hay gente que piensa que esta norma es un catálogo de métricas de seguridad, y aunque sí incluye una sugerencia de métricas en el anexo, su objetivo es que cada organización aprenda a establecer sus propias métricas, más que proponer una lista cerrada de métricas a utilizar. Para que no haya malos entendidos...

02 diciembre 2009

El valor de una certificacion ISO 27001

Cada día es más habitual encontrarse con organizaciones certificadas en ISO 27001 o con intenciones de hacerlo. Y ya no son sólo las pequeñas o medianas empresas que quieren incrementar el valor de su marca con una certificación de este tipo, sino que inmensas organizaciones cuyo nombre prácticamente eclipsa el brillo de cualquier certificado también están empezando a ver su valor. O al menos es lo que parece al leer la noticia de que Microsoft quiere certificar su plataforma Business Productivity Online Suite bajo ISO 27001. Visto lo visto, parece que cada vez hay más organizaciones que aprecian el valor de una certificación de este tipo.

No obstante, hace unos días tenía una conversación acerca del valor de esta certificación con una persona cuya organización acaba de certificarse en ISO 27001 (en realidad, todavía ni siquiera es oficial la concesión del certificado) en la que se cuestionaba el valor real que el SGSI había aportado a su organización. No se ponía en duda el valor comercial y de negocio que aporta "el sello", pero sin embargo sí que se cuestionaba, al menos en parte, la utilidad real del SGSI en una organización madura en términos de seguridad. ¿Qué aporta un SGSI a una compañía cuyo "nivel de seguridad" es elevado?

Desde mi punto de vista, el principal argumento de un SGSI para empresas maduras tanto en gestión como en seguridad se centra en la utilidad del análisis y gestión de riesgos como herramienta para racionalizar las inversiones en materia de seguridad. No obstante, también es cierto que en muchas ocasiones si las medidas de seguridad ya están implantadas y se determina que son excesivas, como puede pasar, su eliminación puede ser más costosa que su mantenimiento, de modo que los ajustes asociados pueden no ser tan rentables a la hora de la verdad. También existe una serie de elementos clave que aporta un SGSI que pueden suponer un salto cualitativo diferencial en la gestión de la seguridad de una organización, aunque ese diferencial se verá atenuado en función de los elementos que la organización ya posea debido a su madurez.

En definitiva, creo que el valor de un certificado ISO 27001 no está sólo en su reconocimiento comercial, sino que existe una buena cantidad de factores clave de un SGSI que aportan valor a la organización por sí mismos, más allá del valor del certificado. No obstante, cuanto mayor sea el nivel de madurez de la organización en relación a la gestión de la seguridad menor valor diferencial aportará el SGSI, ya que ciertas prácticas ya estarán interiorizadas. ¿Puede ser este un argumento válido para que una organización madura en seguridad descarte una certificación de este tipo? ¿Qué prima en las organizaciones, el valor comercial aportado por un "sello" o los beneficios internos que proporciona? Y por último... ¿Se os ocurren más elementos que proporcionen valor a una certificación ISO 27001?