Causas comunes de no conformidades en la norma ISO 27001

Descargue su Lista de Verificación ISO 27001 (seguridad de la información) aquí

Hay 17 cláusulas y 10 controles del Anexo A en los que se exige conservar información documentada o documentar algo.

Falta de documentación obligatoria

El auditor esperará ver pruebas de estos controles y su ausencia dará lugar, casi con toda seguridad, a una no conformidad. Además, hay algunos controles que no requieren documentación, pero la intención es la misma, como la política criptográfica, la política de escritorio limpio, los registros de eventos y las políticas de transferencia de datos.

Incumplimiento de los procedimientos propios

A veces, el SGSI revela sus deficiencias cuando el auditor realiza la visita. Los operadores de los procesos revelan que, o bien no están siguiendo un procedimiento de seguridad de la información definido, o bien no saben que existe. Puede tratarse del envío de correos electrónicos sensibles de forma insegura, de permitir que la gente se vaya a la cola, de no revisar los registros del sistema... hay muchos ejemplos.

Una de las causas puede ser que la organización no haya comunicado o integrado eficazmente el SGSI en la organización: el auditor tratará de averiguar el motivo para determinar en qué ha fallado el sistema de gestión. Algunas personas no siguen los procedimientos porque no tienen los recursos necesarios para seguirlos correctamente. Una vez más, el auditor se dará cuenta de esto porque es un requisito de liderazgo de la alta dirección para garantizar que los recursos estén disponibles.

Cláusula 4

Casi la mitad de las NC planteadas contra la cláusula 4 por NQA se debían a que el SGSI no definía adecuadamente las cuestiones externas e internas que afectaban al propósito de la organización. ¿Por qué es necesario enumerar los problemas? Bueno, a menos que conozca las cuestiones que afectan a su organización, no podrá integrar la gestión de riesgos en sus operaciones: no puede gestionar el riesgo si no entiende su organización y su contexto.

¿Qué entendemos por "cuestiones"? Las cuestiones externas son el entorno en el que opera la organización. Están determinados por lo que hace la organización y cómo afectan a sus objetivos. Por ejemplo, los problemas externos de una empresa de venta por Internet serán muy diferentes de los de una escuela. Las cuestiones internas también afectan a los objetivos de la organización, pero son autoimpuestas, como la cultura y la estructura.

El alcance es la siguiente NC más común, en la que falta por completo en el SGSI o está incompleto. La cláusula 4.3 define exactamente lo que se requiere, pero tenga en cuenta las dependencias de las cláusulas 4.1 y 4.2. El alcance es importante porque define los límites del SGSI.

A veces se hace evidente durante una auditoría, a medida que el auditor se familiariza con la organización, que falta algo en el alcance. O quizás la evaluación de riesgos enumera activos de información que están fuera del alcance. O que están claramente en el alcance pero no se han incluido.
 
La comprensión de las necesidades y expectativas de las partes interesadas a partir de la cláusula 4.2 suele sorprender a la gente. Pero la norma quiere que consideres explícitamente los requisitos de seguridad de la información de las partes interesadas. A continuación, señala que sus requisitos pueden ser legales, reglamentarios o contractuales, lo que esencialmente indica lo que se necesita.
 Nuestros experimentados auditores han detectado con frecuencia que falta alguna legislación esencial: hay muchos estatutos que tienen una implicación en la seguridad de la información, aunque no sea evidente a primera vista. Tenga en cuenta también que, durante la auditoría de la fase 2, el auditor examinará también el anexo A-18, que exige explícitamente que se documenten todos los requisitos legales, reglamentarios y contractuales pertinentes.

Cláusula 5

En común con todas las normas del Anexo SL, el liderazgo es fundamental para el funcionamiento de un sistema de gestión exitoso. Todas las normas del Anexo SL requieren que la alta dirección establezca la política y asigne los recursos. Esto no es diferente de lo que la alta dirección haría para la organización en general. A todos les interesa que la alta dirección conozca bien los requisitos de la cláusula 5.

La cláusula 5 es donde la alta dirección demuestra su compromiso con el SGSI, incluso si han delegado su gestión. Demostrar es la palabra clave aquí: el 8% de las No Conformidades (NC) de la Cláusula 5 surgen porque nuestros auditores no confiaban en que la alta dirección estuviera comprometida con el SGSI.

Esto solía deberse a que la política del SGSI no había sido aprobada por la alta dirección, a que no estaban disponibles para la entrevista o a que, cuando se les entrevistó, sabían poco sobre el SGSI.

El auditor tendrá que entrevistar a la alta dirección (o a los directivos de un nivel adecuado) y descubrirá si la alta dirección está comprometida con la seguridad de la información.

Tendrá que asegurarse de que todo está alineado para la entrevista con la alta dirección: El 14% de las NC se debieron a que la política del SGSI no era compatible con la estrategia de la organización, lo que podría sugerir una falta de implicación de la alta dirección. Merece la pena considerar lo que el auditor suele ver en esas circunstancias.

Las cláusulas 5.1a y 5.2a exigen que la política se ajuste a la organización. Habiendo revisado ya la organización según la cláusula 4, el auditor tendrá un buen conocimiento de la organización, de lo que hace y de por qué lo hace. El auditor exigirá que la alta dirección describa la dirección estratégica de la organización. Será obvio para nuestro auditor si la política de seguridad de la información no apoya el propósito general de la organización.

Los objetivos de seguridad de la información no aparecen hasta la cláusula 6.2, pero se espera que la alta dirección los conozca. Esto, a su vez, implica que su alta dirección debe conocer su evaluación y tratamiento de los riesgos. A continuación, deben ser capaces de discutir los objetivos con autoridad.

El punto 5.1d debería ser fácil de demostrar para la alta dirección: sus comunicaciones internas y con los proveedores sobre la importancia de la seguridad de la información es una forma de mostrar al auditor cómo se cumple el requisito. Sin embargo, tenemos momentos incómodos en los que la alta dirección simplemente no lo sabe, normalmente porque lo ha delegado todo en el responsable del SGSI.

5.2 Política

Hay algunas inclusiones obligatorias en la póliza que se enumeran en los apartados 5.2b, c y d. Sin embargo, el 25% de las NC de la cláusula 5 se producen porque esos requisitos no figuran en la póliza.

5.3 Funciones, responsabilidades y autoridades de la organización

La falta de asignación de funciones y responsabilidades en materia de seguridad de la información suele ser la causa de las NC. Solemos descubrirlo al revisar la documentación y entrevistar a las personas. A veces se atribuye a la falta de comunicación de la política, que también es una causa de NC.

Es importante no confundir la seguridad de la información con la gestión del SGSI. El mantra habitual es que, al igual que la salud y la seguridad, todo el mundo es responsable de la seguridad de la información. Sin embargo, no todo el mundo participa en la gestión del SGSI.

A veces, la falta de compromiso del liderazgo se manifiesta en una cláusula diferente, pero se atribuye directamente a un fallo de la cláusula 5. Un fallo en la adopción de medidas tras la revisión de la gestión de la cláusula 9 puede constituir una NC contra la cláusula 5.1c, que garantiza la disponibilidad de recursos, o contra la cláusula 5.1e, que garantiza que el sistema de gestión logra los resultados previstos.

Cláusula 6

La cláusula 6 consta de cuatro fases distintas que constituyen el núcleo de la norma. Es importante entender las diferencias y los matices de cada etapa, porque a menudo se confunden.

• 6.1.1: Identificar los riesgos y las oportunidades para el SGSI y tener planes para abordarlos. Tenga en cuenta que esto se refiere a los riesgos para el sistema de gestión, que es común en todas las normas del Anexo SL, no para la seguridad de la información, que viene a continuación. No es necesario realizar una evaluación completa de los riesgos para el 6.1.1., pero sí es necesario tener planes para tratar los riesgos.

• 6.1.2: Evaluar los riesgos de seguridad de la información

• 6.1.3: Tratar los riesgos de seguridad de la información y tener planes para tratarlos

• 6.2: Establecer objetivos de seguridad de la información y disponer de planes para alcanzarlos

Así que son dos evaluaciones de riesgo distintas y tres conjuntos de planes distintos.

A menudo vemos los riesgos del SGSI y los riesgos de la seguridad de la información en la misma tabla de evaluación de riesgos, lo cual es aceptable siempre que quede claro de qué riesgos se trata. No es aceptable decir que los riesgos identificados en 6.1.2 son los mismos que los de 6.1.1. Esta es la causa más común de no conformidad con el punto 6.1.1, seguida de la ausencia de riesgos y oportunidades identificados.

Este cuadro muestra las causas más comunes de las no conformidades en 6.1.2 y 6.1.3.

A grandes rasgos, se pueden desglosar en una falta de documentación conforme o en el incumplimiento de la norma o de los procesos de evaluación/tratamiento de riesgos definidos. Si bien muchos de ellos son evidentes, cabe destacar los cuatro más comunes. En primer lugar, el vínculo RA-RT- SoA (evaluación de riesgos-tratamiento de riesgos-declaración de aplicabilidad) está roto.

Debe haber un flujo desde los riesgos identificados, pasando por el tratamiento de esos riesgos, hasta la selección de los controles del Anexo A para la SdA. A veces no es obvio, o el cliente no puede explicarlo. Si no podemos verlo, eso sugiere que no se ha seguido el proceso.

La norma es específica sobre los pasos mínimos requeridos para la evaluación y el tratamiento de los riesgos de seguridad de la información. Las no conformidades surgen cuando la organización no ha implementado un proceso conforme. A menudo vemos algunas herramientas avanzadas de evaluación de riesgos, que son buenas siempre que se manejen correctamente.

Además, el contenido del SoA no está justificado. 114 controles del Anexo A son muchos, por lo que a menudo uno o dos pueden escaparse de la red. Pero la norma no da ningún margen de maniobra: hay que justificar por qué se incluyen o excluyen los controles y su estado de aplicación.

Por último, están los riesgos que faltan. Al haber auditado la cláusula 4, el auditor conocerá bien el contexto de la seguridad de la información, por lo que si faltan riesgos obvios, los señalará.

Estas son las causas más comunes de las no conformidades en la cláusula 6.2:

• Una completa falta de objetivos

• Son objetivos empresariales, no de seguridad de la información

• Los objetivos no son coherentes con la política de seguridad de la información

• Los objetivos no tienen en cuenta los riesgos para la seguridad de la información

• No hay recursos asignados para lograr los objetivos o no se ha asignado la propiedad

• No hay planes para alcanzar los objetivos

• No hay objetivos ni parámetros de rendimiento para supervisar los avances en la consecución de los objetivos

• No se está llevando a cabo un seguimiento del rendimiento, como por ejemplo con los indicadores clave de rendimiento o dentro de la revisión de la gestión

Cláusula 7

Las no conformidades de la cláusula 7 son bastante comunes en la mayoría de las normas del Anexo SL. 27001 tiene poco que decir sobre los recursos, aparte de que las organizaciones deben asegurarse de que el SGSI tiene todos los recursos. Esto suele entenderse durante la auditoría de la cláusula 5, por lo que se plantean muy pocas NC.

La cláusula 7.2 puede resumirse así: determine qué competencias necesita su organización para el desempeño de la seguridad de la información, asegúrese de que su personal tiene dichas competencias y guarde pruebas de su competencia. Es importante señalar que esto no significa que se necesiten expertos en seguridad de la información: el apartado a. dice "determinar la competencia necesaria de la(s) persona(s) que realice(n) trabajos bajo su [SGSI] control que afecten a su desempeño en materia de seguridad de la información".

Esto significa que las personas que están dentro del ámbito de aplicación deben ser competentes en sus puestos de trabajo cuando hay un aspecto de seguridad de la información. Por ejemplo, las personas del departamento de informática deben conocer las implicaciones de sus actividades en la seguridad de la información, mientras que un agente de un centro de llamadas debe estar debidamente formado para validar la identidad de los clientes.
 
También significa que la cláusula 7.3 Concienciación está estrechamente relacionada, porque todos los que están en el ámbito de aplicación tienen un papel en la seguridad de la información, a través del conocimiento de las políticas y procedimientos de seguridad de la información.

Para cumplir la norma, la organización debe decidir cuáles son las competencias requeridas, algunas de las cuales son simplemente que el personal conozca y siga las políticas de seguridad. Aunque la norma no exige que se documenten las competencias requeridas, es una buena práctica hacerlo.

Una constatación común es que la organización no ha determinado las competencias necesarias. Esto suele deberse a que no se ha hecho en absoluto y/o se ha confundido con el listado de las competencias existentes del personal.

Una vez más, hay que averiguar qué competencias se necesitan y si se tienen, según el apartado b. El apartado d. exige que haya pruebas documentadas de la competencia y esto es también un lugar para las no conformidades repetidas.

Los registros de formación incompletos o inadecuados, los currículos no actualizados, la falta de certificados de cualificación profesional o la no realización de la formación inicial son ejemplos típicos. Nuestros auditores encuentran estas no conformidades al buscar fuentes documentadas y al entrevistar al personal.
Es importante señalar que la experiencia es tan importante como las cualificaciones y la formación, aunque es más difícil de documentar: los currículos, las evaluaciones anuales del rendimiento y otros registros relacionados con el trabajo, como las tutorías, pueden servir como pruebas objetivas.

Cláusula 7.3 Concienciación

Casi todas las organizaciones que auditamos definen algún tipo de programa de concienciación o comunicaciones periódicas para garantizar que el personal es consciente de la política de seguridad de la información, su papel en el SGSI y las implicaciones del incumplimiento. A menudo esto se basa en los elementos de seguridad de los programas de iniciación de los nuevos empleados.

Y casi todas las no conformidades surgen durante las entrevistas con el personal. Hacemos esas tres preguntas al personal del cliente: su conocimiento de la política de seguridad, su papel en el SGSI y la importancia de la misma, y a veces el personal simplemente no lo sabe. A veces no saben dónde encontrar la política y a veces simplemente no pueden recordarla.

Esto no es un caso de suerte del auditor al encontrar no conformidades, sino que sugiere que las actividades de concienciación no son efectivas, lo que en sí mismo presenta un riesgo de seguridad para la organización.

Cláusula 7.5 Información documentada

Nos encontramos con que las organizaciones suelen tener dificultades para seguir sus propias políticas de creación y actualización de información documentada. En parte, esto se debe a los volúmenes de datos que se procesan y al ritmo al que se llevan a cabo los negocios. El apartado 7.5.2 establece los requisitos obligatorios para la creación y actualización de la información documentada y, a continuación, el apartado 7.5.3 habla de los controles de seguridad de la misma.

Los incumplimientos típicos incluyen etiquetas de clasificación incorrectas o inexistentes, incoherencias en los nombres, versiones o convenciones de fechado, referencias desfasadas a documentos superados, documentos que faltan y documentos incompletos. En algunos casos, los registros de activos y de riesgos están desfasados, o se han actualizado pero no se han actualizado los números de fecha y de versión.

 La falta de una política de conservación de la información o el incumplimiento del PIR (por ejemplo, hemos encontrado documentos antiguos abandonados en servidores de archivos o correos electrónicos que se remontan a muchos años atrás) también son causas de no conformidad.

Cláusula 8

Hay menos no conformidades planteadas con respecto a la cláusula 8 porque gran parte de la evaluación y el tratamiento de los riesgos está cubierta en la cláusula 6. No obstante, la cláusula 8.1 se refiere al funcionamiento de los controles de seguridad y a la aplicación de la gestión del cambio en la seguridad de la información. Las no conformidades surgen, por ejemplo, cuando una organización está en proceso de transformación o asimilación de una nueva adquisición, y no hay planes de gestión del cambio para la seguridad de la información.

Se pueden plantear no conformidades si la organización ha llevado a cabo una evaluación de riesgos de acuerdo con los criterios que definió en el apartado 6.1.2.a. Por ejemplo, si uno de sus criterios es llevar a cabo una evaluación de riesgos tras el anuncio de una vulnerabilidad de software crítica en un componente clave de TI, pero no lo hizo, entonces eso sería una no conformidad.

El incumplimiento del plan de tratamiento de riesgos puede dar lugar a una no conformidad.

Cláusula 9

Desde el Anexo SL (y de hecho antes), la evaluación del rendimiento ha sido común en todas las normas de sistemas de gestión. Estas conclusiones también se encuentran en otras auditorías de las normas del Anexo SL, con la única diferencia de la auditoría y la realización de los controles del Anexo A, que son exclusivos de la norma ISO 27001:2013.

La evaluación del rendimiento de la Sección 9 es el paso de "comprobación" del ciclo Planificar, Hacer, Comprobar, Actuar (PDCA). Esta infografía muestra las cláusulas de varias normas del Anexo SL alineadas con los pasos del PDCA. Es cuando la organización comprueba los dos factores más importantes:

• El rendimiento de su seguridad de la información

• La eficacia de su SGSI

Es el momento en el que la organización mira hacia dentro para revisarse a sí misma, y debe ser lo más objetiva e imparcial posible para obtener el máximo valor. Todas las organizaciones llevan a cabo comprobaciones de diversas funciones empresariales, como los objetivos de ventas y el servicio al cliente, por lo que la seguridad debería ser objeto de un escrutinio similar.

La cláusula consta de 3 partes:

9.1 Seguimiento, medición, análisis y evaluación

El Anexo SL son normas basadas en procesos y riesgos. Esto significa que la supervisión del rendimiento de la seguridad de la información debe ser:

• Sobre la base de los procesos que interactúan en el ámbito del sistema de gestión

• Se inclina por los procesos y activos de información más importantes para la organización, por ejemplo, los de mayor riesgo.

La norma exige a la organización que considere qué debe ser controlado y medido, cómo se va a controlar, cuándo y quién debe realizar el control y cuándo y quién debe realizar la evaluación de los resultados. En algunos casos se han planteado no conformidades importantes porque no hay pruebas de que se haya cumplido el punto 9.1.
 
Pero normalmente las no conformidades surgen porque hay muy pocos requisitos de medición definidos. Junto con esto, nuestros auditores suelen ver que los elementos identificados tienen métricas o KPI inapropiados. Esto también puede sugerir que los objetivos de seguridad de la información no se han definido completamente, ya que es necesario medir el progreso hacia ellos (6.3).

Dado que se basa en el riesgo, debe haber un vínculo entre los riesgos identificados en la cláusula 6 y los controles y procesos de seguridad de la información que deben supervisarse. Por ejemplo, si hay algunos controles de seguridad que son importantes para mitigar un riesgo elevado, a la organización le interesa supervisar de cerca el funcionamiento de esos controles. En cambio, es razonable que decida no supervisar de cerca los controles que abordan riesgos menores.

También vemos casos en los que se ha definido la medición del rendimiento del sistema de gestión pero nada para los controles de seguridad, y viceversa. Y, por último, a menudo vemos que se han establecido métricas exhaustivas de medición del rendimiento, pero no se realiza ninguna medición.

9.2 Auditoría interna

Se plantean más no conformidades contra la auditoría interna que contra cualquier otra cláusula de la norma ISO 27001:2013. La no realización de auditorías internas o la omisión de ubicaciones en el ámbito de aplicación genera no conformidades importantes. Esto puede deberse a que la organización no ha planificado ninguna auditoría o las ha planificado pero no las ha llevado a cabo. La falta de auditorías internas puede impedir que una organización progrese de una etapa 1 a una etapa 2 y que se conceda la certificación después de una etapa 2.

La norma establece que las auditorías internas deben realizarse a intervalos planificados, pero no sugiere una frecuencia adecuada. Sin embargo, la certificación del sistema de gestión funciona en un ciclo de tres años, por lo que se espera que se cubran todos los requisitos del sistema de gestión y se muestreen los controles de la declaración de aplicabilidad en función del riesgo.

Las no conformidades menores surgen cuando el programa de auditoría no es adecuado para los riesgos o no cubre lo suficiente el alcance. En particular, deben auditarse todos los lugares físicos del ámbito de aplicación y no es extraño que las instalaciones remotas queden fuera del programa.

A veces vemos programas de auditoría para todo el sistema de gestión pero sin los controles del Anexo A y viceversa. Omitir elementos del programa sin reprogramarlos dentro del ciclo de tres años también puede dar lugar a hallazgos.

A menudo, los registros de auditoría son inadecuados, en el sentido de que no registran adecuadamente las observaciones de la auditoría y los hallazgos que han surgido. Por último, a veces nos encontramos con que la imparcialidad del auditor es inadecuada. Encontrar un auditor imparcial en una organización pequeña puede ser difícil, pero el principio es que alguien no debe marcar sus propios deberes, por lo que puede ser necesario más de un auditor para garantizar que no haya conflicto de intereses.

9.3 Revisión por la dirección

La norma enumera todos los elementos obligatorios que deben considerarse durante la revisión por la dirección. La mayor causa de no conformidad se debe a que algunos de los puntos obligatorios no se discuten. Tenerlos como puntos permanentes del orden del día garantizará que siempre se discutan.

Las no conformidades importantes surgen cuando no se han realizado revisiones de la gestión.
 
La calidad y la precisión de las actas son muy importantes. Si nuestro auditor no puede determinar lo que se discutió y el resultado de la discusión, entonces no tiene pruebas objetivas. Por ejemplo, el simple hecho de anotar "N/A" en un punto obligatorio dará lugar a una no conformidad.

Los auditores suelen revisar el programa de auditoría interna antes de la revisión por la dirección. Esperarán que la auditoría interna se discuta en la revisión de la dirección, donde estará fresca en la memoria.

El estado de las acciones y su trazabilidad o progreso hasta el cierre es importante. Las acciones no cerradas a largo plazo pueden indicar una falta de mejora continua. Por lo tanto, es importante gestionar las acciones: algunas pueden ser proyectos a largo plazo y, por lo tanto, requerir una revisión menos frecuente o incluso salir de las acciones por completo, pero estas decisiones deben quedar registradas.

Cláusula 10

Cuando las cosas van mal, hay que abordarlas, es decir, corregirlas y tomar medidas para evitar que vuelvan a ocurrir: esto es fundamental para las normas del sistema de gestión y el ciclo PDCA. La mayoría de las organizaciones mantienen un registro de acciones correctivas y es donde los auditores buscarán primero pruebas de que existe un proceso activo de no conformidad.

Las lagunas en el registro, como la ausencia de un análisis de la causa raíz, la falta de acciones correctivas, las revisiones de la eficacia de las acciones correctivas y la falta de fechas son causas típicas de no conformidad. Del mismo modo, la ausencia total de registros puede sugerir que el proceso no está funcionando.

A menudo, durante las auditorías se discuten los incidentes de seguridad de la información con el auditor, sólo para que no se hayan registrado en el registro de acciones correctivas. Algunas organizaciones utilizan un sistema centralizado de tickets para registrar las no conformidades, lo que está bien siempre que se cumplan todos los requisitos de la norma.

Autor: Tim Pinnell, NQA Information Security Assurance Manager