Implantación de la norma ISO 27001 en varias entidades sin perder el control de la gobernanza

La implantación de la norma ISO 27001 en una sola entidad ya es una tarea exigente. Ampliarla a múltiples sedes, filiales o jurisdicciones supone un nivel de complejidad de un orden de magnitud totalmente diferente.

La exposición al riesgo varía según la ubicación. Los marcos normativos difieren de una jurisdicción a otra. La responsabilidad sobre los controles se distribuye entre equipos, zonas geográficas y estructuras organizativas. Los entornos tecnológicos divergen a medida que cada entidad desarrolla su propia infraestructura, sus servicios en la nube y sus dependencias de terceros.

Sin una alineación estructural, el SGSI se fragmenta.

Lo que comienza como un único programa de seguridad de la información regulado acaba convirtiéndose, poco a poco, en múltiples interpretaciones locales del mismo. Cada entidad cumple con los requisitos técnicos, pero, en el fondo, la gobernanza de la seguridad a nivel de toda la empresa se va deteriorando silenciosamente.

Entender por qué ocurre esto y qué se necesita para evitarlo es cada vez más importante a medida que las organizaciones crecen mediante adquisiciones, expansión internacional y mayor complejidad operativa.

El reto de la gobernanza en entornos con múltiples sedes

Muchas disciplinas de gobernanza pueden adaptarse a nivel local en un grado significativo. Los programas de gestión medioambiental, por ejemplo, pueden reflejar las condiciones operativas específicas de cada emplazamiento sin dejar de estar, en líneas generales, en consonancia con el nivel empresarial. Los programas de seguridad física pueden adaptarse a los requisitos normativos locales sin que ello genere incoherencias fundamentales en la gobernanza.

La seguridad de la información no puede gestionarse de forma eficaz de la misma manera.

La razón es de carácter estructural. Los entornos modernos de seguridad de la información se caracterizan por la interdependencia, más que por la independencia. Los servicios en la nube operan más allá de los límites de las organizaciones. La infraestructura compartida conecta a entidades que pueden ser distintas tanto desde el punto de vista geográfico como operativo. Los flujos transfronterizos de datos generan obligaciones normativas que abarcan varias jurisdicciones al mismo tiempo. Una vulnerabilidad en el entorno de una entidad puede suponer un riesgo para toda la empresa en cuestión de horas.

Esta interdependencia implica que las decisiones de gobernanza local tomadas en una entidad tienen consecuencias para la seguridad de toda la empresa. Cuando cada entidad mantiene registros de riesgos independientes, la organización no puede identificar patrones de exposición entre sedes hasta que estos se manifiestan en forma de incidentes. Cuando las bibliotecas de controles difieren entre las distintas sedes, la postura de seguridad de la empresa se vuelve inconsistente de formas que resultan invisibles para la dirección central. Cuando los ciclos de auditoría se llevan a cabo de forma independiente en las distintas entidades, la organización acumula pruebas de cumplimiento, pero pierde la capacidad de evaluar la eficacia sistémica de la seguridad en todo su ámbito operativo.

Por lo tanto, la gobernanza multisede no es simplemente un reto de coordinación. Se trata de un problema de arquitectura estructural. Las organizaciones que lo resuelven lo hacen diseñando su SGSI desde el principio con el objetivo de lograr la coherencia empresarial, en lugar de intentar armonizar a posteriori programas locales que han evolucionado de forma independiente.

Gobernanza central, ejecución local

El modelo de gestión que aborda con mayor eficacia la complejidad que plantea la norma ISO 27001 en entornos con múltiples sedes es aquel que se basa en una distinción clara entre lo que debe ser coherente en toda la empresa y lo que puede variar legítimamente entre las distintas sedes.

La gobernanza central establece los elementos no negociables. Las metodologías de evaluación de riesgos deben seguir un modelo coherente en todas las entidades, de modo que los niveles de exposición sean comparables y puedan agregarse en una visión global de toda la empresa. El seguimiento de la eficacia de los controles debe estructurarse de forma centralizada, de modo que la dirección pueda evaluar la situación de seguridad en toda la organización, en lugar de revisar resúmenes de cumplimiento elaborados a nivel local. Los flujos de trabajo de medidas correctivas gestionados a través de CAPA Management deben integrarse en procesos de gobernanza unificados, de modo que las lecciones aprendidas en una entidad sirvan de base para las decisiones operativas en el resto.

La ejecución local tiene en cuenta las diferencias legítimas. Los requisitos normativos varían de una jurisdicción a otra, y las medidas de control deben reflejar esas diferencias. Los entornos tecnológicos varían de un centro a otro, y las decisiones sobre la gestión de riesgos deben tener en cuenta las realidades operativas locales. Las estructuras de los equipos y los ritmos operativos difieren entre las distintas entidades, y los procesos de gobernanza deben diseñarse para funcionar dentro de esas realidades, en lugar de exigir un comportamiento operativo idéntico en todas partes.

El equilibrio entre la gobernanza central y la ejecución local es difícil de mantener solo mediante la coordinación. Cuando depende de la disciplina individual, de reuniones de coordinación programadas y de la consolidación manual de los informes, este equilibrio se va erosionando gradualmente a medida que aumenta la presión operativa en toda la organización. Las entidades comienzan a adaptar los procesos de gobernanza a la conveniencia local, en lugar de a los requisitos de la empresa. El centro pierde visibilidad. Los equipos locales pierden la conexión con el modelo de gobernanza de la empresa.

Para mantener este equilibrio de forma estructural, es necesario que la lógica de gobernanza central se integre en los procesos operativos que las entidades locales utilizan a diario, y no se transmita a través de mecanismos de supervisión periódicos que entren en conflicto con las prioridades operativas.

Los fallos concretos de gobernanza que se agravan a gran escala

Los entornos con múltiples sedes que cumplen la norma ISO 27001 suelen presentar fallos de gobernanza que siguen patrones predecibles. Es importante comprender estos patrones, ya que resultan difíciles de detectar desde un único punto de vista dentro de la organización.

Los registros de riesgos fragmentados constituyen el fallo más habitual y con mayores consecuencias. Cuando cada entidad lleva a cabo su propia evaluación de riesgos de forma independiente, la empresa no puede identificar los patrones de vulnerabilidad comunes a todas las sedes que representan la exposición sistémica más significativa. Es mucho más importante abordar una deficiencia de control recurrente distribuida en cinco ubicaciones que un riesgo único de alta gravedad en una sola ubicación, pero la gestión fragmentada de los riesgos hace que ese patrón distribuido pase desapercibido hasta que se produce un incidente.

Una supervisión inconsistente de los controles genera una falsa sensación de seguridad a nivel empresarial. Cuando la eficacia de los controles se evalúa a nivel local utilizando criterios, metodologías y frecuencias diferentes, la dirección central recibe resúmenes de cumplimiento que no pueden compararse ni agregarse de forma significativa. La organización cree que tiene visibilidad sobre su estado de seguridad. En la práctica, lo único que sabe es si los equipos locales han completado sus actividades de supervisión.

Los ciclos de auditoría que se llevan a cabo de forma independiente en las distintas entidades pasan por alto, por su propia naturaleza, los hallazgos sistémicos. Cuando los programas de auditoría no se coordinan a través de la Dirección de Auditoría en toda la empresa, la organización elabora una serie de evaluaciones de cumplimiento a nivel de centro, en lugar de una evaluación coherente del rendimiento del SGSI en el conjunto de la empresa.

El aislamiento de las medidas correctivas impide el aprendizaje organizativo. Cuando un incidente de seguridad en una sede da lugar a una medida correctiva que se resuelve a nivel local sin influir en la evaluación de riesgos ni en el seguimiento de los controles en otras entidades, la empresa sigue operando en todas las demás sedes en las mismas condiciones que provocaron el incidente.

Integración de la seguridad en la gestión de riesgos empresariales

La norma ISO 27001 no debe aplicarse de forma aislada respecto a la gestión global de riesgos de la empresa, y en entornos con múltiples sedes ese aislamiento tiene consecuencias especialmente graves.

Los riesgos de seguridad de la información se entrecruzan cada vez más con la continuidad operativa, el cumplimiento normativo, la resiliencia de la cadena de suministro y los riesgos estratégicos de la empresa, de formas que no pueden gestionarse de manera eficaz en el marco de un SGSI aislado. Un incidente de seguridad grave no supone únicamente un problema tecnológico, sino que genera, al mismo tiempo, una interrupción operativa, un riesgo de incumplimiento normativo, un riesgo reputacional y una posible responsabilidad contractual.

Cuando el riesgo de seguridad se vincula de forma estructural con los procesos más amplios de gestión de riesgos, los responsables obtienen una visibilidad a nivel de toda la empresa que va más allá de la seguridad de la información considerada de forma aislada. Los patrones de seguridad entre sedes se hacen visibles junto con las tendencias de los riesgos operativos y normativos. Las vulnerabilidades sistémicas pueden priorizarse estratégicamente, en lugar de abordarse de forma reactiva como incidentes aislados.

Esta integración también mejora la calidad de la toma de decisiones a nivel ejecutivo. Cuando los responsables del consejo de administración tienen acceso a información sobre riesgos interconectada que abarca la seguridad de la información, la continuidad operativa y el cumplimiento normativo, pueden tomar decisiones fundamentadas sobre la asignación de recursos basadas en la exposición actual de la empresa, en lugar de basarse en resúmenes puntuales sobre el cumplimiento procedentes de programas de gobernanza inconexos.

En entornos con múltiples sedes, esta integración de los riesgos empresariales no es opcional. Dado que los marcos normativos exigen cada vez más a los ejecutivos que respondan personalmente por los fallos en la gobernanza de la seguridad de la información, la capacidad de demostrar que los riesgos de seguridad están interrelacionados y se gestionan de forma continua a nivel empresarial se convierte en un requisito de gobernanza, más que en una buena práctica.

De las entidades fragmentadas a una gobernanza de la seguridad integrada

Pasar de múltiples implementaciones de sistemas de gestión de la seguridad de la información (SGSI) gestionadas a nivel local a un único modelo integrado de gobernanza de la seguridad empresarial requiere un cambio estructural en la forma en que la organización diseña y gestiona sus procesos de gobernanza.

La evaluación de riesgos debe llevarse a cabo siguiendo una metodología coherente en todas las entidades, de modo que los niveles de exposición sean comparables, agregables y visibles para la dirección de la empresa en tiempo real, en lugar de recopilarse mediante una consolidación periódica. El seguimiento de los controles debe estructurarse de forma centralizada, de modo que los datos sobre la eficacia se incorporen a los procesos de gobernanza, en lugar de permanecer en los registros locales de cumplimiento. Los programas de auditoría coordinados a través de [Gestión de Auditorías] deben evaluar el rendimiento del SGSI en toda la empresa, en lugar de limitarse a confirmar la conformidad con los procedimientos locales en cada centro concreto.

Cuando estos procesos se desarrollan dentro de una estructura de gobernanza conectada, el SGSI multisitio deja de funcionar como un conjunto de programas locales alineados. Se convierte en un modelo de gobernanza de seguridad empresarial coordinado, en el que la información fluye de forma continua entre entidades, capas de gobernanza y niveles de liderazgo.

Esto cambia lo que la organización puede lograr. Los patrones de vulnerabilidad de seguridad entre sedes se hacen visibles antes de que den lugar a incidentes. Las medidas correctivas gestionadas a través de CAPA Management generan un aprendizaje organizativo, en lugar de una resolución localizada. La dirección obtiene una visibilidad continua del estado de seguridad de la empresa, en lugar de tener que recopilar resúmenes fragmentados de entidades independientes.

El resultado es un SGSI que se adapta al crecimiento de la organización, en lugar de fragmentarse a medida que esta crece.

Visibilidad del liderazgo a escala empresarial

A medida que las organizaciones se expanden a nivel internacional, la visibilidad del liderazgo se convierte en una de las capacidades de gobernanza más importantes y más difíciles de mantener dentro de un programa de la norma ISO 27001 que abarca múltiples sedes.

Los directivos necesitan algo más que informes agregados sobre el cumplimiento normativo a nivel local. Necesitan una supervisión continua de los riesgos de seguridad en todas las sedes, los patrones recurrentes de vulnerabilidad, la eficacia de las medidas correctivas en todas las entidades, las tendencias de riesgo relacionadas con terceros y la cadena de suministro, así como el rendimiento de las auditorías en el conjunto de la empresa.

Cuando la gobernanza de la seguridad funciona de forma aislada entre las distintas entidades, la supervisión ejecutiva queda fragmentada de forma estructural. Los responsables reciben resúmenes de las actividades locales de cumplimiento normativo, en lugar de una visión global de la situación de seguridad de la empresa. Las decisiones estratégicas sobre la inversión en seguridad, la tolerancia al riesgo y la mejora de la gobernanza se toman a partir de información incompleta, recopilada mediante procesos de consolidación manuales que provocan retrasos, incoherencias y una visibilidad selectiva.

La gobernanza integrada cambia esta dinámica. Cuando la evaluación de riesgos, la supervisión de los controles, la gestión de incidentes y las medidas correctivas se llevan a cabo dentro de una única arquitectura de gobernanza interconectada que abarca todas las entidades, los responsables obtienen una visión fiable, actualizada y generada de forma sistemática sobre el estado de seguridad de la empresa. Los informes dirigidos al consejo de administración reflejan la realidad operativa, en lugar de ser meros resúmenes periódicos sobre el cumplimiento normativo.

En ese momento, la responsabilidad de los directivos en materia de seguridad de la información adquiere relevancia operativa. Los responsables pueden actuar ante los riesgos de seguridad en lugar de limitarse a reconocerlos. Las decisiones de gobernanza se basan en información recopilada a nivel de toda la empresa, en lugar de en datos obtenidos a nivel local.

La madurez en materia de seguridad a escala empresarial depende de la arquitectura, no de la ubicación geográfica.

Cumplimiento normativo continuo a gran escala

Mantener el cumplimiento continuo de la norma ISO 27001 en varias entidades requiere un modelo de gobernanza fundamentalmente diferente al que se aplica en una única sede.

La alineación periódica no es suficiente. Cuando las entidades sincronizan las actividades de gobernanza mediante ciclos de revisión programados, la empresa queda expuesta continuamente a la brecha que se produce entre dichos ciclos. Las amenazas evolucionan. Los entornos operativos cambian. Las obligaciones normativas varían. Una organización con múltiples sedes que depende de la coordinación periódica para mantener la coherencia en materia de gobernanza está gestionando siempre el estado de seguridad que tenía en el último punto de sincronización, en lugar del que tiene hoy en día.

El cumplimiento continuo exige que los procesos de gobernanza respondan a los acontecimientos operativos, en lugar de a los calendarios de auditoría. Cuando se identifica una nueva vulnerabilidad en una entidad, la evaluación de riesgos debe actualizarse en toda la empresa. Cuando se genera un hallazgo de auditoría a través de [Gestión de auditorías], este debe influir en la priorización de los controles en todas las entidades afectadas, en lugar de resolverse a nivel local. Cuando se completa una acción correctiva, su eficacia debe validarse a lo largo del tiempo, en lugar de darse por sentada en el momento de su cierre.

Este nivel de coherencia continua en la gobernanza entre múltiples entidades no se puede lograr únicamente mediante la coordinación. Requiere una arquitectura de gobernanza integrada en la que los procesos utilizados por las entidades locales estén conectados estructuralmente con la gobernanza empresarial en tiempo real, en lugar de comunicarse periódicamente a los niveles superiores mediante mecanismos manuales.

Cuando se cuenta con esa arquitectura, la gobernanza se adapta a la escala sin necesidad de multiplicar los sistemas. El cumplimiento normativo se mantiene de forma continua, en lugar de demostrarse periódicamente. La madurez en materia de seguridad se convierte en una propiedad estructural de la organización, en lugar de depender de cuándo se realizó la última auditoría.

La madurez en materia de seguridad depende de la arquitectura, no de la geografía.