ISO 27001

Los cambios que se llevan  a cabo en el sector de la tecnología de la información son muy necesarios, sobre todo porque los servidores deben ser actualizados cada cierto tiempo. Los riesgos surgen cuando los cambios son realizados de forma incontrolada, es decir, que la confidencialidad, la integridad y la disponibilidad de los sistemas se pongan en peligro.

Los Sistemas de Gestión de Seguridad de la Información basados en la norma ISO 27001 tienen que ser mejorados de forma continua por lo que sigue la filosofía del ciclo PHVA (planificar, hacer, verificar y actuar), esto se realiza cuando se actualizan los software, hardware, etc. Cuando se lleva a cabo un cambio necesitamos conocer cómo se maneja, por lo que deben existir procedimientos en los que se establecen los pasos a seguir.

El estándar internacional ISO 27001 presenta en el Anexo A “A.12.1.2 Gestión del cambio” que requiere que los cambios de la organización, los procesos, las instalaciones y los sistemas que afectan a la seguridad de la información se encuentren controlados.

Existe un registro, pero no hay instrucciones específicas sobre cómo implementar el control, por lo que en este artículos vamos a sugerir las formas de manejar dichos cambios.

Solicitud de cambio

Los cambios se pueden iniciar con una solicitud conocida como “Solicitud de cambio”. Dicha solicitud servirá de registro y como prueba de que ha sido solicitado el cambio. El cambio puede iniciarse de forma interna o externa, y se debe registrar en un formulario diseñado para tal efecto.

Los cambios que pueden afectar a los activos de la organización también pueden afectar a los procesos de ésta. Por lo que es muy importante que quede guardada la información detallada sobre el tipo de cambio que se quiere realizar.

Es muy importante anotar toda la información posible, como puede ser:

• La persona que solicita el cambio
• El departamento del que proviene
• Los afectados

Proceso de aprobación

Según establece la norma ISO 27001 el proceso de aprobación de la solicitud de cambio es el siguiente:

Primero la solicitud de cambio se realiza por la persona encargada de analizarla, siendo esto el primer filtro. Dicha persona sólo es responsable de estudiar los detalles de la solicitud para identificar el impacto que genera en el negocio, se deben incluir todos los impactos económicos y los impactos que se relacionan con la seguridad de la información, en base de la información que ha sido generado con anterioridad, tendrán que decidir si el cambio se aprueba o se rechaza.

Cuando se toma la decisión es muy importante tener en cuenta todas las implicaciones que el cambio puede generar, incluyendo todos los intentos.  Si se aprueba el cambio otra persona tiene que hacerse responsable de la planificación del cambio y su implantación. La misma persona que tiene que planificar las pruebas que faciliten la comprobación de que los cambios se han realizado de forma correcta.

Las tres personas puede tener todas esas funciones, aunque se recomienda que sean diferentes. Cuando hablamos de organizaciones muy grandes, es más recomendable todavía ya que de esta forma será posible separar los roles de las funciones.

Por último, no todos los cambios tienen la misma importancia, por lo que será necesario realizar una clasificación. En la clasificación se establecen los impactos que se ejerce sobre el negocio y los impactos sobre el Sistema de Gestión de Seguridad de la Información según ISO 27001.

Comunicación

Es importante que la empresa se mantenga en contacto con la persona que inició el cambio, o las partes interesadas que intervienen en el cambio, bien sea porque tienen que informar de cada decisión tomada o de las acciones que se realizaron para llevar a cabo el cambio que se está gestionando. Las comunicaciones se tienen que realizar mediante teléfono, correo electrónico, reuniones, etc.

Cambios de repliegue y de emergencia

Otro de los aspectos fundamentales se debe considerar cuando un error se produce durante la ejecución del cambio. Es muy importante contar con un procedimiento de retroceso para volver al antiguo estado. La persona que se encarga de realizar el procedimiento de repliegue puede ser la misma que se responsabilice de la implementación del cambio. El procedimiento de replique puede ser definido durante la etapa de planificación para la implementación, establecer lo que se debe hacer para volver a una antigua etapa. Se puede poner el siguiente ejemplo:

El sistema operativo Windows 8 se actualizó a Windows 10, si se observa algún fallo en la aplicación que hace que el sistema operativo tenga problemas, la solución será volver a Windows 8.

La mejora de su negocio mediante la gestión de cambios

Los cambios que establece la tecnología son muy frecuentes, y también los cambios que afectan al Sistema de Gestión de Seguridad de la Información según la norma ISO 27001, no sólo por el bien de las mejoras, sino por el bien de la empresa durante todos los días del año. Si no se consigue que esté de acuerdo de un procedimiento, puede que entonces se encuentren sorpresas que pueden involucrarse en un incidente relacionado con la seguridad de la información o que se produzca una interrupción del negocio, lo que puede afectar a los clientes. Si se realiza cambios de forma continua esto puede mejorar a tu empresa ya que la gestión de las actividades en cualquier tipo de negocio es la mejor manera de mejorarlo, esto significa que el control de cambio minimiza mucho la inversión económica que se realiza.

Software para SGSI

El Software ISOTools Excellence para NTC ISO 27001 para el Sistema de Gestión de Seguridad de la Información o SGSI se encuentra compuesta por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las empresas no pierda ninguna de sus propiedades más importantes: disponibilidad, integridad y confidencialidad.