El poder gestionar bien la seguridad de la información que manejan no sólo permitirá garantizar, de cara a la propia organización, que sus recursos están protegidos -asegurando la confidencialidad, integridad y disponibilidad de los mismos- sino que de cara a los posibles clientes les aportará un grado de confianza superior al que puedan ofrecer sus competidores, convirtiéndose en un factor más de distinción en el competitivo mercado en el que comercia la empresa.
Debido a la necesidad de securizar la información que poseen las organizaciones era precisa la existencia de alguna normativa o estándar que englobase todos los aspectos a tener en consideración por parte de las organizaciones para protegerse eficientemente frente a todos los probables incidentes que pudiesen afectarla, ante esta disyuntiva apareció el BS 7799, o estándar para la gestión de la seguridad de la información, un estándar desarrollado por el British Standard Institute en 1999 en el que se engloban todos los aspectos relacionados con la gestión de la seguridad de la información dentro de la organización. Esta normativa británica acabó desembocando en la actual ISO/IEC 17799:2000 – Code of practice information security management.
En un principio se consideraba por parte de las empresas que tenían que protegerse de lo externo, de los peligros de Internet, pero con el paso del tiempo se están percatando de que no sólo existen este tipo de amenazas sino que también hay peligros dentro de la organización y todos éstos deberían ser contemplados a la hora de securizarse. La aparición de esta normativa de carácter internacional ha supuesto una buena guía para las empresas que pretenden mantener de forma segura sus activos.
La ISO/IEC 17799:2000 considera la organización como una totalidad y tiene en consideración todos los posibles aspectos que se pueden ver afectados ante los posibles incidentes que puedan producirse. Esta norma se estructura en 10 dominios en los que cada uno de ellos hace referencia a un aspecto de la seguridad de la organización:
-
Política de seguridad
-
Aspectos organizativos para la seguridad
-
Clasificación y control de activos
-
Seguridad del personal
-
Seguridad física y del entorno
-
Gestión de comunicaciones y operaciones
-
Control de accesos
-
Desarrollo y mantenimiento de sistemas
-
Gestión de continuidad del negocio
-
Conformidad legal
En resumen esta norma pretende aportar las bases para tener en consideración todos y cada uno de los aspectos que puede suponer un incidente en las actividades de negocio de la organización.
Esta norma es aplicable a cualquier empresa, sea cual sea el tamaño, la actividad de negocio o el volumen del mismo, esto es lo que se denomina el principio de proporcionalidad de la norma, es decir que todos los aspectos que aparecen en la normativa deben ser contemplados y tenidos en cuenta por todas las organizaciones a la hora de proteger sus activos, y la diferencia radicará en que una gran organización tendrá que utilizar más recursos para proteger activos similares a los que puede poseer una pequeña organización. De la misma forma, dos organizaciones que tengan actividades de negocio muy diferentes, no dedicarán los mismos esfuerzos a proteger los mismos activos/informaciones. En pocas palabras, esta norma debe tenerse como guía de los aspectos que deben tener controlados y no quiere decir que todos los aspectos que en ella aparecen tienen que ser implementados con los últimos avances, eso dependerá de la naturaleza de la propia organización.
Como hemos comentado la ISO/IEC 17799:2000 es una guía de buenas prácticas, lo que quiere decir que no especifica como se deben proteger los aspectos que aparecen indicados en ella, ya que estas decisiones dependerán de las características de la organización. Es por ello que en la actualidad no es posible que las organizaciones se puedan certificar contra este estándar, ya que no posee las especificaciones para ello.
Por el contrario, la precursora de esta norma, el BS 7799 sí que posee estas dos partes, una primera que representa el código de buenas prácticas y una segunda que los las especificaciones para la gestión de la seguridad de los sistemas de información, y es contra esta segunda parte contra la que las organizaciones que lo deseen pueden certificarse. La ISO (Internacional Organization for Standardization) en la actualidad está trabajando para confeccionar esta segunda parte del ISO/IEC 17799 con el objetivo de que las organizaciones puedan certificarse contra esta norma de carácter internacional.
Así mismo esta normativa internacional ha servido a su vez como precursora para otras de carácter nacional y en el caso de España, en noviembre de 2002 ya surgió la normativa UNE-ISO/IEC 17799 Código de buenas prácticas para la Gestión de la Seguridad de la Información elaborada por AENOR y que a su vez está desarrollando la segunda parte de esta normativa para que las empresas de ámbito nacional puedan certificarse contra ella.
Como conclusiones se puede decir que la normativa ISO/IEC 17799:2000 debe ser utilizada como un índice de los puntos que pueden provocar algún tipo de incidente de seguridad en una organización para que éstas se puedan proteger de los mismos, sin olvidarse aquellos que puedan parecer más sencillos de controlar hasta llegar a los que pueden suponer un mayor dispendio de recursos a las organizaciones.
D. Daniel Cruz
e-mail: dcruz@escert.upc.es
Responsable del área de planificación de la seguridad
esCERT Universidad Politécnica Catalunya
España
Artículo de virusprot.com |
