MÉTODO DE TRABAJO

Se planteó un plan de proyecto estructurado en nueve fases:

• Definición del alcance. Donde se establece el objetivo de la certificación y el ámbito de ésta.
• Análisis de riesgos. Fase donde se identifican y tasan los riesgos existentes para los procesos incluidos en el alcance.
• Documento de aplicabilidad. Labor donde se decide y justifica que objetivos y controles de la norma ISO/IEC 27002 son aplicables a los procesos del alcance.
• Construcción del SGSI. Conjunto de tareas cuyo fin es definir la estructura documental del sistema de gestión, sus flujos de autorización y sus procedimientos de evolución.
• Documentación del SGSI. Tarea de redactar las normas, procedimientos, guías y cuadros de indicadores que componen el sistema de gestión.
• Difusión documentos SGSI. Gran parte del modelo de gestión debe ser conocido y entendido por el conjunto de usuarios finales.
• Recogida de evidencias e indicadores. Fase en la que se recopilan y analizan las pruebas de que el sistema de gestión está efectivamente implantado y actúa con eficacia.
• Auditoría documental. Análisis de la documentación general del SGSI por parte de la entidad externa certificadora.
• Auditoría de certificación. Comprobación, por parte de la entidad externa certificadora, de que el grado de implantación el SGSI documentado es efectivo y adecuado.

La realización de las tareas se llevó a cabo por las unidades de Sistemas Internos, Consultoría de Gestión de Riesgos y Seguridad y la entidad externa auditora, que en este caso fue AENOR.

Además, Indra contó con la colaboración de otras áreas, tales como Recursos Humanos, Seguridad Física, Asesoría Jurídica, Auditoría Interna y Calidad.

PUNTO DE PARTIDA

El proyecto de definición y desarrollo del SGSI debe tener como referencia los siguientes aspectos:

• La aplicación de un conjunto de medidas de salvaguarda acorde con el riesgo existente en el ámbito seleccionado.
• La existencia de una organización que establezca los objetivos de seguridad, diseñe los controles, defina los indicadores, supervise su evolución y tenga voluntad y capacidad para actuar en caso de desviación de los objetivos. Es decir, una organización que de forma natural responda a la rueda de Dennin para la mejora continua (ciclo PDCA).
• Un mecanismo eficaz de comunicación y difusión desde la dirección o los encargados de gestionar la seguridad hacia el resto de la entidad.
• Un modelo para gestionar la documentación, con procedimientos para generarla, aprobarla, actualizarla, codificarla, almacenarla y difundirla.

Aunque suele decirse que en “en casa del herrero, cuchillo de palo”, en este caso no resultó ser cierto. Se partía del hecho de que Indra Sistemas poseía los cuatro aspectos, con lo cual el proyecto partía con una base firme.

CLAVES DE ÉXITO

Planteamiento como proyecto externo. Desde el principio se planteó una relación cliente-proveedor. La unidad de negocio encargada de ejecutar la parte técnica del proyecto realizó una propuesta de colaboración que incluía un plan de trabajo, hitos, fechas y profesionales dedicados.

Difusión granular y por capas. La difusión de los documentos del SGSI se realizó en tres capas:

• Correos-e notificando la aplicación de un nuevo control, o familia de controles, incluyendo una amplia explicación sobre su necesidad y consecuencias.

• Incorporación en la Intranet de las noticias relacionadas con el SGSI y su proceso de certificación.

• Incorporación en un Portal Temático de las normas, procedimientos y guías.

Compromiso real de la Dirección. El espaldarazo definitivo al proyecto fue cuando su realización formó parte del orden del día de uno de los Comités de Dirección de la compañía, y desde ese órgano se le puso fecha máxima de finalización.
Realización de preauditorías. Resultó acertada la realización de preauditorías, para las cuales se contó con la colaboración de auditores informáticos internos (CISA) que no habían tenido relación con el proceso de consultoría e implantación.

Motivación. Se convocaron reuniones informativas a todos los gestores de SSII afectados. Aprovechamiento de lo existente. Una vez revisada la documentación de seguridad ya existente, se consideró adecuado no rehacerla, sino adaptarla al nuevo contexto y crear una capa documental superior que la referenciase.

Análisis de Riesgos ad-hoc. Dado el estrecho calendario que se manejaba y el tiempo que supone realizar un análisis de riesgos adecuado, se empezó aplicando una técnica de “análisis inferido del riesgo”. Esta tarea, que es de duración mucho más corta, permitió empezar a trabajar en el diseño y documentación de controles antes de tener finalizado el análisis de riesgos completo y formal. Para éste último se utilizó una metodología propia, que combina conceptos y técnicas procedentes de MAGERIT, NIST y el enfoque Octave.

Recogida de evidencias. Son necesarias para la auditoría de certificación y no pueden improvisarse.