13 Jun Ponencia realizada para el CPIIEX sobre Auditoría de Seguridad, LOPD e ISO 27001.
He tenido la suerte de poder participar como ponente en el congreso de seguridad y auditoria 27001 y LOPD que ha celebrado el CPIIEX (Colegio de Ingenieros en Informática de Extremadura) los días 10 y 11 de Junio de 2011.
Pulsa aquí para ver el contenido de la ponencia de Auditoría LOPD
Mi ponencia, orientada a la relación que existe entre la ISO 27001 pero sobre todo centrado en el contenido, metodología, motivaciones y procedimientos para la realización de una auditoría externa de LOPD considero que ha satisfecho las expectativas de los asistentes.
El enfoque de un tema tan denso como lo es la seguridad informática ha sido realizar una exposición práctica, incidiendo en ciertos aspectos de mi experiencia y mostrando ejemplos de auditoría LOPD realizados anteriormente.
La sensación ha sido buena, Cáceres es una ciudad muy acogedora, difícil de llegar, 4 horas de tren desde Atocha, pero su casco antiguo incita a pasear y a disfrutar de las murallas y palacios, así como de fachadas medievales e iglesia gótica.
Más allá de eso, llegamos a la presentación sobre las 10:00 de hoy sábado día 11 de Junio para exponer mi ponencia. Comenzamos con unas breves notas de la relación entre la ISO 27001 de seguridad y la LOPD. No hay que perder de vista los siguientes aspectos que se encuentran en ambos tipos de auditoría:
- Obligaciones generales o comunes.
- Documento de seguridad.
- Funciones y obligaciones del personal.
- Registro de incidencias.
- Control de acceso.
- Gestión de soportes.
- Identificación y autenticación.
- Copias seguridad y restauración.
- Responsable de seguridad.
- Limitar intentos de acceso no autorizados.
- Registros de entrada y salida de soportes.
- Llevar un registro de las recuperaciones de datos efectuadas.
- Control de acceso físico.
- Auditoría.
- Procedimiento de etiquetado y cifrado de soportes.
- Telecomunicaciones. Transmisión cifrada.
- Registro de acceso.
- Copia de seguridad ubicación alternativa.
Por otro lado no es casualidad relacionarlos cuando al principio de ambas normas se puede encontrar los tres objetivos comunes:
- Integridad. Alteración indebida.
- Disponibilidad. Previene la perdida.
- Confidencialidad. Accesos no autorizados.
Tras un breve repaso por la LOPD y las últimas novedades, incidimos en las motivaciones para que una organización quiera poner en práctica una auditoria LOPD o porque no una en seguridad informática ISO 27001. Básicamente intentamos responder a la pregunta ¿Cómo puedo concienciar a mi gerente de que mi empresa necesita una auditoria de este tipo?
Básicamente hay varias razones. Entre las destacadas no subrayaría el ahorro de coste o el retorno a corto plazo como he podido leer en diferentes publicaciones. Demostrar que la auditoria de seguridad o de LOPD puede hacer que gane más dinero u obtener un ROI a corto plazo se sustenta difícilmente en la práctica. Por ello parece lógico remarcar que los aspectos que pueden interesar al gerente de mi organización para realizar una auditoría de este tipo, desde mi punto de vista, son:
- Cumplir el marco legal. Tenga o no una adecuación a la LOPD, los cambios que mis sistemas han podido sufrir o bien la necesidad de cumplir con la norma legal LOPD es suficiente razón para evitar sanciones.
- Hacer entender al gerente de mi organización que algunas de las siguientes cuestiones no tienen respuesta positiva en mi empresa sin una auditoria de este tipo:
- ¿Podrías demostrar quien ha accedido la última semana a información confidencial o a cualquier otro fichero en mi organización?
- ¿Tengo capacidad para, ante la baja de un empleado, estar seguro que me ha devuelto todos los soportes informáticos y dados de baja en todas las conexiones remotas? Es decir ¿existe un procedimiento adecuado de baja de un empleado?
- Ante un problema con un trabajador, tengo la seguridad de haber puesto las medidas de control adecuadas para demostrar cómo estaba utilizando la informática en su día a día (¿Qué webs visitaba?, ¿Qué documentos accedía?,…)
- Ante un problema legal, ¿tengo las medidas de seguridad informáticas actualizadas? ¿tengo un protocolo de concienciación en materia de seguridad de la información con mis empleados?
- ¿Tengo la seguridad que las copias de seguridad cubren el grado de perdida adecuado para mi organización, así como estamos seguros que los procedimientos de restauración funcionan adecuadamente? ¿Si pierdo la información de mi empresa, tengo copias fuera de ella?
- ¿Dispongo de un protocolo de contingencia ante la caída/perdida/robo de un servidor crítico para la empresa?
- ¿Podríamos decir en este momento quién ha accedido remotamente a los sistemas durante los últimos días?
Como ampliación a una auditoría LOPD, en muchas ocasiones en la realización de auditorías de situación o rendimiento* incluyo un repaso general a las 5 clausulas principales de la ISO 27001 y a los 133 puntos de control. Este repaso me permite acelerar el conocimiento de la empresa que me ha solicitado la auditoria, al interrogar al director de TI por muchas cuestiones que cruzan la organización, desde cómo se gestiona la autenticación, gestión de incidencias, accesos remotos y concienciación al usuario, a como se recibe el apoyo desde dirección, como se gestionan las relaciones con los proveedores o si existe un listado del inventario de activos de la organización…
Entre medias de la ponencia quise explicar en qué consiste un plan director TI y como se lleva a cabo, por tener una relación o contener (en parte), rasgos de una auditoria de seguridad. Por resumir, la orientación que doy a un plan director es alinear la estrategia de la empresa a 3-5 años con las TI. Para ello, mediante reuniones con el departamento TI y con todos los Key Users (Usuarios clave de los sistemas, incluyendo siempre al equipo directivo) realizamos las siguientes fases del trabajo:
- Revisión con dirección de la estrategia global de la organización a 3-5 años.
- Revisión del área de TI, en su situación actual respecto de ITIl e ISO 27001.
- Revisión de cada área con documentos que los usuarios preparan para explicar los procesos (o por aplicación) desde un punto de vista DAFO (debilidades, amenazas, fortalezas y oportunidades) de los sistemas informáticos que ellos utilizan actualmente.
- Si es necesario, recopilación de los KPI o capacidades de Repoting y análisis de la información que cada área necesitará.
- Recopilación de funcionalidades y procesos que o no poseen actualmente o necesitaran en los próximos 3-5 años.
- Planteamiento de mejoras y proyectos, con estimación de costes para cubrir las debilidades y necesidades detectadas.
- Priorización por parte de dirección.
- Propuesta en formato diagrama de Gantt de la realización de dichos proyectos.
La jornada acabo con una serie de preguntas relacionadas con los ejemplos comentados de auditorías, siendo bastante práctico la puesta en común de inquietudes y la necesidad de conocer como poder “vender” este tipo de iniciativas a los gerentes con responsabilidad de toma de decisión.
Espero volver a colaborar con el cpiiex. Ya salieron otros temas de ponencias y artículos que seguro tendrán su fruto. Ha sido una buena experiencia.
* Las auditorías de rendimiento o de situación es un servicio que realizo en aquellas empresas que quieren mejorar la forma de trabajo del departamento TI. Para ello, mediante reuniones con todos los integrantes del departamento TI, hago un repaso de los estándares de mejora de la organización de los Sistemas de la Información, revisando la organización TI desde los estándares ITIL e ISO 27001 los siguientes puntos de vista:
- Infraestructuras, servidores y telefonía.
- Organización RRHH del departamento.
- Como se entrega el servicio informático al resto de la organización.
- Revisión de la capacidad y buenas prácticas en almacenamiento y bases de datos.
- Estudio de posibilidades de ahorro de costes por costes asumidos no necesarios, licencias innecesarias, cambios en proveedores,…
En algunos de estos trabajos se plantea la posibilidad de que los proyectos que surgen para cubrir las carencias o aplicar las mejoras resultado de estas auditorías, las lidere personalmente.