Resultados de auditoría de los sistemas de gestión de seguridad de la información
En esta sección se analizan los datos de 2018 sobre las auditorías de los sistemas de gestión de la seguridad de la información según la norma ISO/IEC 27001 realizadas por DNV sobre las empresas certificadas. Mediante el análisis cuantitativo y cualitativo de los datos, proporciona información sobre el desempeño global de los sistemas de gestión de las empresas.
El objetivo es proporcionar una visión específica de las áreas de proceso, subprocesos o actividades que causan más problemas en las organizaciones que tratan de lograr y/o mantener la certificación de un sistema de gestión de la seguridad de la información. Los resultados proceden del análisis de las auditorías realizadas en todo el mundo por DNV en más de 1.700 empresas certificadas según la norma ISO/IEC 27001.ISO/IEC 27001
Clasificación de los hallazgos
Las estadísticas se basan en las conclusiones de la auditoría. A los efectos del presente análisis, se hace una distinción entre los resultados "graves" y "no graves". Los hallazgos graves incluyen no conformidades mayores y menores. Los hallazgos no graves incluyen observaciones y oportunidades de mejora.
Resultados
Un total del 78% de las empresas auditadas según la ISO/IEC 27001 experimentaron al menos un hallazgo (de cualquier categoría) mientras que el 40% concluyó la auditoría con al menos un hallazgo grave, es decir, con una no conformidad mayor (Cat1) o una no conformidad menor (Cat2). Casi el 40% de las empresas tuvieron hallazgos relacionados con la sección A.12, donde encontramos la gestión del sistema de TI y, parcialmente, los requisitos de la red de TI.
Los requisitos en pocas palabras
En cuanto a los tres hallazgos graves más frecuentes (excluidos los 9.2 y 9.3 que son comunes a todos los sistemas de gestión, y por lo tanto menos pertinentes en este caso), se ha realizado un análisis cualitativo a fondo con el fin de categorizar las causas fundamentales de las faltas de conformidad y las medidas correctivas establecidas por las empresas para gestionar el problema y evitar que se repita.
ISO/IEC 27001
Las siguientes cuestiones son específicamente relevantes para las empresas certificadas ISO/IEC 27001:6.1.2 Evaluación de los riesgos para la seguridad de la información
La organización definirá y aplicará un proceso de evaluación de los riesgos para la seguridad de la información. Ello incluirá el establecimiento de un enfoque para la gestión de los riesgos para la seguridad de la información, los criterios de aceptación de los riesgos para la seguridad de la información, la identificación, el análisis y la evaluación de los riesgos. El 27% de las organizaciones no cumplen los requisitos, por lo general por dos razones: la primera es que el enfoque no garantiza la coherencia y la validez de los resultados, por ejemplo, la falta de escalas para asignar valores a la probabilidad y las consecuencias de los riesgos; la segunda es que no se identifican todos los riesgos pertinentes (por lo general, las organizaciones se centran en los riesgos de la tecnología de la información y en los riesgos de origen externo). Las medidas correctivas suelen incluir una revisión del enfoque de evaluación de riesgos y una revisión de los riesgos pertinentes.
6.1.3 Tratamiento de riesgos para la seguridad de la información
La organización formulará un plan de tratamiento de los riesgos y elaborará una declaración de aplicabilidad que tenga en cuenta los controles del Anexo A de la norma. Por lo general, las conclusiones son las siguientes: el plan de tratamiento del riesgo no incluye plazos y las responsabilidades de las acciones o algunas exclusiones de los controles del anexo A de la norma no están correctamente justificadas (por ejemplo, muchas organizaciones excluyen el uso del control A.12.1.1 porque piensan que sólo es aplicable al desarrollo de software y no a la adquisición de software). Las medidas correctivas requieren una mejor planificación de las medidas de tratamiento de los riesgos o una justificación coherente de los riesgos aceptados o requieren una mejor comprensión de los controles del anexo A de la norma, porque a veces aplican pero las organizaciones, por falta de comprensión, los consideran no aplicables.
A.9.2.5 Revisión de derechos de acceso de los usuarios
La organización revisará los derechos de acceso de los usuarios a intervalos regulares. El 3% de las organizaciones auditadas no cumplen el requisito porque la revisión no se realiza o se realiza parcialmente. La causa fundamental suele residir en la falta de conocimiento por parte de los propietarios de los sistemas pertinentes y en la complejidad de la tarea, debido a la complejidad de los sistemas informáticos actuales y a la variedad de autorizaciones otorgadas a los usuarios. Las medidas correctivas suelen requerir la planificación y realización correctas de la revisión. En algunos casos, inician un proyecto de evolución de los programas informáticos para la generación automática de informes de autorización o para el análisis automático de las autorizaciones establecidas en un sistema y las funciones enumeradas en los programas informáticos utilizados para la gestión de los recursos humanos.
A.8.1.1 Inventario de activos
Los bienes se identificarán e incluirán en un inventario de bienes. El inventario de activos se mantendrá. El 3% de las organizaciones auditadas no cumplen el requisito porque no todos los activos están en el inventario de activos. Esto se debe básicamente al número y la complejidad de los activos, al uso de herramientas inadecuadas para el inventario (por ejemplo, una lista en una hoja de cálculo o en un documento) o a una definición errónea de "activo" (esto puede dar lugar a un inventario con demasiados activos y no pertinentes, como ratones o teclados, o no suficientemente detallados para las necesidades de la organización). Por lo general, las medidas correctivas se limitan a la corrección del inventario de activos, pero deben conducir a un examen de los instrumentos utilizados para el inventario de activos (y también deben considerar la utilización de un instrumento de descubrimiento de los sistemas informáticos y la correcta designación de las funciones pertinentes en la organización) y el tipo de activos que deben inventariarse para su correcta gestión.