Señores luego de muchos meses en
donde no agregue entradas a mi blog, retomo con el tema de la ISO 27001 versión
2013, a raíz de un proyecto en el cual estoy participando estuve buscando en
internet algunas plantillas que me permitieran registrar realizar la declaración de aplicabilidad o el Statement Of Applicability de la ISO 27001, y claro que encontré algunas
hojas que me sirvieron mucho, sin embargo decide usarlas de base y crear una
que permitiera registrar la existencia o no de algunos de los controles
dentro de esta evaluación inicial y que me permitiera generar de manera automática un par de graficas (con
dos versiones de presentación cada una) a suerte de dashboard para mostrar a
nivel gerencial y que fueran fáciles de interpretar y entender.
La evolución natural de este tipo
de herramientas en una organización que de manera seria y comprometida se lanza
a implementar este estándar con todas sus implicaciones es avanzar y usar algún
software que permita esta misma tarea de manera más sencilla, llevando histórico
mensual o bimensual de la evolución y quizás con algún repositorio de datos que
permita almacenar por control las evidencias del cumplimiento de los mismos, políticas,
procedimientos e instructivos y facilitar la generación de reportes o
entregables cuando la auditoria interna o la de certificación decida
solicitarlos, este tipo de solución debería ser en web (a título personal me
pregunto porque aún existen en las compañías soluciones cliente servidor…?), debería
ser una solución integrada con un sistema de autenticación centralizada como un
LDAP o para ser un poco más exacto que cumpla con los RFC 2251, RFC 2256, RFC 2829
y un par de otros RFC (solo para que los usuarios de Windows no crean que esto
lo invento Microsoft cuando en realidad el Active Directory de Microsoft es
solo una “popular” de las muchas implementaciones de este protocolo) y tener un
módulo de administración en donde se puedan definir con los permisos
correspondientes los usuarios de las partes interesadas incluyendo alta
gerencia y Auditoria, y por supuesto debería ser una solución de software libre,
¿ no es mucho pedir o sí..?
Algunas aplicaciones de software libre en esta linea son "ERAMBA" www.eramba.org/tag/isms y "VERINICE" https://verinice.com/en/product/
Algunas aplicaciones de software libre en esta linea son "ERAMBA" www.eramba.org/tag/isms y "VERINICE" https://verinice.com/en/product/
No he tenido la oportunidad de trabajar con ninguna de ellas, pero sus caracteristicas y documentación dejan ver que son soluciones que cubrirían las necesidades de cualquier compañia, como siempre habría que prestar un poco de atención el tema de soporte, pero incialmente son de alcance muy difrenete a un simple assessment.
El archivo, esta
entonces sin ningún tipo de protección y por supuesto son libres de usarlo y distribuirlo,
pero también quedan con la obligación moral de si lo mejoran, compartirlo,
recuerden el conocimiento debe ser libre y es para compartirlo. Hay algunas
oportunidades de mejora para ser una solución tan “simple” como agregar una
columna en donde quede registrada el área encargada de implementar el control y
generar una gráfica de este cumplimiento por responsable, o generar reportes
más detallados por dominio, etc, sin embargo más allá de esto tampoco la hoja
de cálculo nos facilita mayores controles, así que les dejo algunas imagenes del archivo y sus graficas y si a alguien le interesa me puede escribir y con gusto se los envio por correo.
Figura 1: Entrada de datos validado por lista
Figura 2: Grafia de Implementación de Controles
Figura 3: Cumplimiento ISO 27001 por Dominio
Archivo disponible aqui: SOA 27001:2013
