Normas de Seguridad de la Informacion

12 May

Posted by Ing. Carlos Ormella Meyer In Preguntas y Respuestas, Security

Preguntas y respuestas:
P: ¿Cuáles son las Normas de Seguridad?
R: Básicamente son dos: la ISO 27002 (anteriormente ISO 17799) y la ISO 27001.

P: ¿Qué es la ISO 27002?
R: La ISO 27002 es una guía de buenas prácticas de seguridad de la información que presenta una extensa serie de controles de seguridad. Es la única norma que no sólo cubre la problemática de la seguridad IT sino que hace una aproximación holística a la seguridad de la información corporativa, abarcando todas las funcionalidades de una organización en cuanto a la seguridad de la información que maneja. Este concepto marca la diferencia con el de seguridad informática que, en la práctica, se vino convirtiendo en equivalente de seguridad de sistemas IT, mientras que la norma considera también los riesgos organizacionales, operacionales y físicos de una empresa, con todo lo que esto implica.

P: ¿Es certificable la ISO 27002?
R: Definitivamente no. La ISO 27002 sólo hace recomendaciones sobre el uso de 133 controles de seguridad diferentes aplicados en 11 áreas de control. No establece requisitos cuyo cumplimiento pudiere certificarse.

P: ¿Por qué ha habido cierta confusión en el tema de la certificación?
R: En gran parte se debe a los errores de algunas traducciones. El original en inglés de la ISO 27002 usa la expresión verbal “should”, un término presente en otras normas ISO y también del IETF y del IEEE, que por convención expresa una forma condicional a modo de recomendación y no de imposición, lo que hace precisamente que no sea certificable.

P: Si la ISO 27002 no es certificable, ¿cuál es su utilidad?
R: La ISO 27002 ofrece el detalle de los controles de seguridad recomendados y que en la práctica se seleccionan en base a una valuación de riesgos. La ISO 17799:2000 original era prácticamente igual a la Primera Parte de la norma BS 7799, o sea la BS 7799-1. Esta norma británica tiene una Segunda Parte, BS 7799-2, que usa la expresión verbal “shall”, otro término habitual en normas como las mencionadas antes, en este caso para expresar mandato u obligación, lo que permite su auditoría y certificación. Y en 2005 se liberó la ISO 27001 tomada en su mayor parte de la BS 7799-2 pero con las modificaciones introducidas en la 27002:2005.

P: ¿Pero entonces, hay que trabajar con las dos normas al mismo tiempo?
R: Efectivamente. La ISO 27001 muestra cómo aplicar los controles seleccionados de la ISO 27002, estableciendo los requisitos para construir un Sistema de Gestión de Seguridad de la Información (SGSI, o ISMS por sus siglas en inglés) que efectivamente se puede auditar y certificar.
Mientras varios miles de empresas en todo el mundo están en proceso de certificación actualmente bajo la ISO 27001, para principios de Abril de 2009 se habían emitido más de 5.300 certificaciones correspondientes a organizaciones de 76 países diferentes.

P: ¿Además de su capacidad de ser certificable, qué otras características tiene la ISO 27001?
R: El SGSI de la ISO 27001 responde a la aplicación del ciclo Deming o modelo PDCA (Plan-Do-Check-Act) de mejora continua también presente en otras normas. La aplicación del proceso PDCA en el SGSI conforma el paradigma de gestión de riesgos que guía la estrategia del Corporate Governance, incluyendo la gestión de riesgos de negocios.
De hecho, bajo el esquema común del modelo PDCA, la ISO 27001 ofrece un interesante alineamiento con otras normas también de sistemas de gestión como la ISO 9001 de Calidad y la ISO 14001 de Medio Ambiente, con el consiguiente beneficio de reducción de esfuerzos y costos en una implementación semiintegrada.

Así las cosas, el cumplimiento de esta norma constituye el aseguramiento idóneo para:

Las empresas que buscan una posición con ventaja competitiva en el mercado y/o realizan operaciones de e-commerce B2B.
Los bancos que necesitan reducir el peso de los riesgos operacionales que introduce el Nuevo Acuerdo de Capitales Basilea II, limitando así las mayores exigencias de capital para sus operaciones.
Las empresas que cotizan en la bolsa de New York al proporcionarles el soporte adecuado que requiere la aplicación de la ley Sarbanes-Oxley en cuanto a seguridad.

P: ¿Cuál es el proceso de implementación de la norma ISO 27001?
R: A muy grandes rasgos se arranca con la determinación del Alcance del proyecto (si es completo, o un servicio, o un área, etc.) y una Política General. Una valuación de riesgos –cuya metodología no establece la ISO 27001 sino la ISO 27005- y una auditoría basada en un análisis gap contra los controles de la norma ISO 27002, permiten establecer los controles que deben implementarse. En algunos casos el cumplimiento de dichos controles, y la correspondiente reducción de los respectivos riesgos, se logra por medio de normas de uso, controles de seguridad y procedimientos. Los puntos más críticos, en cambio, requieren mitigantes de mayor fortaleza bajo la forma de contramedidas o salvaguardas especiales. El tratamiento dado a los controles queda estipulado en una Declaración de Aplicabilidad, SoA, que se anexa junto con el Alcance de la implementación para la certificación posterior.

P: ¿Y cómo es el tema de la nueva serie ISO 27000?
R: Con la nueva serie ISO 27000 se busca dar un carácter autoconsistente e integral al conjunto de normas de seguridad de la información. Esta serie se puede decir que está encabezada por la ISO 27001 que, como se dijo, es la que estipula los requisitos del sistema de gestión de seguridad de la información. Algunas normas de esta serie ya han sido publicadas, además de las básicas ISO 27002 y 27001. Otras están en camino a serlo. Entre todas ellas a continuación se mencionan las principales.

La ISO 27004, por publicarse, estipula las métricas y mediciones para la gestión de seguridad.
La ISO 27005, publicada a mediados de 2008, se refiere a la valuación y gestión de riesgos. En parte se basa en la ISO 13335. Igualmente ha tomado varios temas relacionados con el ciclo de vida de la gestión de riesgos conforme la nueva norma británica BS 7799-3. También reconoce el formato y diagrama de flujo de la norma australiana de riesgos AS/NZS 4360.
La ISO 27011, también en terminación, trata como extensión de la ISO 27002 la gestión de seguridad en telecomunicaciones.
La ISO 27034, en el último draft, trata de la seguridad en las aplicaciones.
La ISO 27799, publicada a mediados de 2008, es la extensión de la ISO 27002 para cubrir los aspectos referidos a la información personal de salud.

Comments Off

Comments are closed.

May 2009
M	T	W	T	F	S	S
« Apr		Jun »
	1	2	3
4	5	6	7	8	9	10
11	12	13	14	15	16	17
18	19	20	21	22	23	24
25	26	27	28	29	30	31

Soluciones Integrales

En AltoSec estamos convencidos que la mejor solución a las problemáticas de seguridad, redes o conectividad que afrontan las empresas, es compenetrarse con las mismas, llevando a cabo un delicado relevamiento para derivar en un detallado análisis. Con este proceso se obtienen efectivas soluciones a medida de la organización
Vea nuestros servicios profesionales.

Tecnología Innovadora

Brindamos soluciones utilizando tecnologías de vanguardia, utilizando las últimas técnicas y productos de las marcas líderes del mercado. También contamos con expertos en soluciones basadas en Software Libre, las cuales permiten una excelente relación costo/beneficio para el cliente ya que se ven reducidas en costos de licencias.
Contactenos para hacernos saber sus inquietudes.

Red de Partners

Contamos con una red de partners que nos permite ofrecer un amplio abanico de soluciones a nuestros clientes, lo cual permite brindar un servicio completamente integral y profesional.

Links

Categories

Archives