La gestión de los cambios en un SGSI basado en la ISO/IEC 27001:2013

ISO/IEC 27001:2013

Los cambios que se realizan en el sector de la tecnología de la información son necesarios, sobre todo porque los servidores necesitan ser actualizados cada cierto tiempo. Los riesgos surgen cuando los cambios son realizados de forma incontrolada, es decir, que la confidencialidad, la integridad y la disponibilidad de los sistemas se pongan en peligro.

Los Sistemas de Gestión de Seguridad de la Información según la norma ISO/IEC 27001:2013 deben ser mejorados de forma continua siguiendo la filosofía del ciclo PHVA (Planificar, Hacer, Verificar y Actuar), esto se realiza cuando se actualizan los software,  hardware, etc. Cuando se realiza un cambio nos preguntamos cómo se maneja, es por esto que existen los procedimientos en los que se establecen los pasos que se deben seguir.

La norma ISO/IEC 27001:2013 presenta en el Anexo A el control de “A.12.1.2 Gestión del cambio” que requiere que los cambios de la empresa, los procesos, las instalaciones y los sistemas que afectan a la seguridad de la información se encuentren controlados.

Existe un registro, pero no hay instrucciones específicas sobre cómo implantar el control, por lo que en este post vamos a sugerir las formas de manejar dichos cambios.

Los cambios se pueden iniciar con una solicitud conocida como “Solicitud de cambio”. Dicha solicitud servirá de registro y como prueba de que ha sido solicitado el cambio. El cambio puede ser iniciado de forma interna (por ejemplo por un empleado) o externa (por un cliente), y debe quedar registrado en un formulario específico. Los cambios que afectan a los activos de la empresa también pueden afectar a los procesos, los acuerdos, los servicios, etc. Es por esto que será muy importante que quede guardada la información detallada sobre el tipo de  cambio que se va a realizar.

Es muy importante anotar mucha más información, como la persona que solicita el cambio, la fecha en la que se solicita el cambio, el departamento del que proviene, los afectados, etc.

Según establece la norma ISO/IEC 27001:2013 el proceso de aprobación de la solicitud de cambio es el siguiente:

Primero la solicitud de cambio es recibida por la persona encargada de analizarla, siendo ésta el primer filtro. Dicha persona sólo es responsable de estudiar los detalles de la solicitud para identificar el impacto potencial en el negocio, incluyendo todos los impactos económicos y los impactos que se relacionan con la seguridad de la información, en base a la información que se ha generado con anterioridad, tendrán que decidir si el cambio se aprueba o se rechaza.

Al tomar la decisión es muy importante tener en cuenta todas las implicaciones que el cambio puede generar, incluyendo las internos y los externos. Si se llega a aprobar el cambio otra persona se debe hacer responsable de la planificación del cambio y su implementación. La misma persona debe planificar  pruebas que faciliten la comprobación de que los cambios se realizan de forma correcta.

Las tres personas pueden ser la misma persona, aunque es muy recomendable que sean diferentes cuando estamos hablando de organizaciones muy grandes, ya que de esta forma será posible separar los roles de las funciones.

Por último, no todos los cambios son de igual importancia, por lo que será necesario clasificarlos. En la clasificación se establecen los impactos sobre el negocio y los impactos sobre el Sistema de Gestión de Seguridad de la Información según ISO/IEC 27001:2013.

Es muy importante que la organización se mantenga en contacto con la persona que inició el cambio, o las partes interesadas que intervienen en dicho cambio, ya que se debe informar de cada decisión o acción que se realice en relación con el cambio que se está gestionando. Las comunicaciones pueden realizarse mediante teléfono, correo electrónico, reuniones, etc.

Otro aspecto muy importante que se debe considerar es cuando un error se produce durante la ejecución del cambio. Es muy importante contar con un procedimiento de retroceso para volver al antiguo estado. La persona que se encarga de llevar a cabo el procedimiento de repliegue puede ser la misma que se responsabilice de la implantación del cambio. El procedimiento de repliegue se puede definir durante la etapa de planificación para la implantación, el establecimiento de lo que hay que hacer para volver a la etapa antigua. Podemos poner el siguiente ejemplo:

El sistema operativo Windows 8 se actualiza a Windows 10, pero falla una aplicación perdiendo la disponibilidad del sistema, por lo que la solución en este caso será volver a Windows 8.

Los cambios que genera la tecnología son muy frecuentes, y también lo son los cambios que afectan al Sistema de Gestión de Seguridad de la Información ISO/IEC 27001:2013, no sólo por el bien de las mejoras, sino por el bien del negocio durante todos los días del año. Si no conseguimos que se encuentren de acuerdo a un procedimiento, puede ser que entonces tengamos sorpresas que pueden involucrarse en un incidente de seguridad de la información o en una interrupción del negocio, que también puede afectar a nuestros clientes. Si se manejan los cambios de forma eficiente podrá mejorar su empresa ya que la gestión de las actividades en cualquier tipo de negocio es la mejor forma de mejorarlo, lo que significa que el control de cambio minimiza mucho los dolores de cabeza y la inversión económica.

El Software ISOTools Excellence para ISO/IEC 27001:2013 para el Sistema de Gestión de Seguridad de la Información o SGSI se encuentra compuesta por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las empresas no pierda ninguna de sus propiedades más importantes: disponibilidad, integridad y confidencialidad.