ISO 17799

"La Seguridad Informática no es un producto sino un Proceso"


Como ha de saber, es "misión imposible" conseguir el 100% de Seguridad en cualquier aspecto de La Vida. Por lo tanto, el objetivo de la seguridad en los datos es (acépteme el juego de palabras) para asegurar la continuidad de las operaciones de la organización, reducir al mínimo los daños causados por una eventualidad, así como optimizar la inversión en tecnologías afines y prosperar en las novedosas oportunidades que nos brindará el porvenir del tiempo.
Como todo buen estándar, el ISO 17799 da la pauta en la definición sobre cuáles metodologías, políticas o criterios técnicos pueden ser aplicados en el régimen de manejo de la seguridad de la información.
La toma de decisiones sobre un marco de referencia de seguridad basado en ella proporciona beneficios a toda organización que lo implemente. Ya sea en su totalidad o en la parcialidad de sus postulaciones estipuladas.

Objetivo:
Proporcionar una base común para desarrollar normas de seguridad dentro de las organizaciones, un método de gestión eficaz de la seguridad y para establecer transacciones y relaciones de confianza entre las empresas.


La norma 17799 también ofrece una estructura para identificar e implementar soluciones para los siguientes riesgos:


  • Política de seguridad: escribir y comunicar la política de seguridad de la compañía
  • Organización de seguridad: definir los roles y las responsabilidades. Monitorear a los socios y a las empresas tercerizadas
  • Clasificación y control de activos: llevar un inventario de los bienes de la compañía y definir cuán críticos son así como sus riesgos asociados
  • Seguridad del personal: contratación, capacitación y aumento de concientización relacionadas a la seguridad
  • Seguridad física y del entorno: área de seguridad, inventarios del equipamiento de seguridad
  • Comunicación / Administración de operaciones: procedimientos en caso de accidente, plan de recuperación, definición de niveles de servicio y tiempo de recuperación, protección contra programas ilegales, etc.
  • Control de acceso: establecimiento de controles de acceso a diferentes niveles (sistemas, redes, edificios, etc.)
  • Desarrollo y mantenimiento del sistema: consideración de la seguridad en sistemas desde el diseño hasta el mantenimiento
  • Plan de continuidad empresarial: definición de necesidades en términos de disponibilidad, recuperación de tiempo y establecimiento de ejercicios de emergencia
  • Contratación: respeto por la propiedad intelectual, las leyes y las reglamentaciones de la compañía

Antecedentes:

Describe el estándar internacional ISO 17799, su evolución a la nueva familia de estándares 27000 y específicamente la norma 27001, además de su importancia para cualquier organización que desee planear e implementar una gestión de seguridad de la información orientada a una futura certificación dentro de estos estándares. 

La norma BS7799 fue desarrollada a principios del año 1995 como respuesta a las peticiones de la industria y gobierno para crear una estructura común de seguridad de la información, el objetivo era preparar a cualquier organización sobre la gestión de la seguridad.

El estándar BS 7799 Parte 1 es oficialmente publicada y la Parte 2 en 1998. La primera parte de la norma (BS7799-1) es una guía de buenas prácticas, sin ser un modelo a seguir para certificarse. La segunda parte (BS7799-2) con la que se audita y certifica a aquellas organizaciones que desarrollen un SGSI (Sistema de Gestión de Seguridad de 13

ISO 17799:2005 / 27000
la Información) según un modelo conocido como PDCA (Plan-Do-Check-Act) que se definirá más adelante en está investigación.  La Organización Internacional para la Estandarización (ISO) comienza a interesarse en los trabajos publicados por el Instituto inglés. El estándar Internacional
  ISO/IEC
adoptó el BS7799 bajo la supervisión del grupo de trabajo “Tecnologías de la información”, del Comité Técnico de la unión de la ISO/IEC. En diciembre del 2000, la ISO incorpora la primera parte de la norma BS 7799, denominada como ISO/IEC 17799:2000. En septiembre del 2002, realiza una revisión de la segunda parte de la norma BS 7799 con el fin de enlazarla con otras normas de gestión tales como ISO 9001:2006[ ] iv e ISO 14001: 1996[ ] v , así como con los principios de la Organización de Cooperación y de Desarrollos Económicos (OCDE).  

AÑO
SUCESO
1989
Centro de seguridad de informática comercial del reino unido (CCSC/DTI)| Código de prácticas para usuarios
1993
Revisión por: -NCC (Centro nacional de computación),  -Consorcio usuarios | PD003 código de prácticas para la gestión de la seguridad de la información
1995
Estándar nacional Británico
1999
Revisión conjunta de las partes 1 y 2
2000
Estándar internacional (Fast Track)
2005
Revisión periódica (5 Años)

La norma ISO/IEC 17799 es redactada y publicada en dos partes:

  1. ISO / IEC 17799 Parte 1: Es una guía de recomendaciones de buenas prácticas para la gestión de la seguridad de la información. Contiene consejos y recomendaciones que permite garantizar la seguridad de la información de la organización, además cubre otras áreas y funciones que puedan afectar dichainformación.
  2. BS 17799 Parte 2: Contiene la guía relativa para la implementación de un sistema de gestión de la seguridad de la Información que propone recomendaciones con el fin de establecer un marco para la gestión de la información denominada Information Security Management System (ISMS). Es el documento que sirve de guía de evaluación para la certificación 

Fases o etapas:

El Sistema de Seguridad de la Información (SSI) basado en la norma ISO 27001 se ha realizado con una estructura que se encuentra compuesta por cuatro etapas diferentes de carácter progresivo y acumulativo, estas cuatro etapas son:
  1. Diagnóstico
  2. Planificación
  3. Implementación
  4. Evaluación
Estas etapas reflejan el ciclo de mejora continua conocido como PDCA, se integra en estas fases todos los elementos constitutivos del SSI.

  • Durante la etapa de diagnóstico se identifican todos los activos relevantes de la información que soportan los procesos de previsión. Esta identificación se tiene que considerar como la información que trascurre entre las diferentes etapas de dichos procesos, las personas que participan en cada etapa y la infraestructura relaciona, de tal forma que se llegue a constituir un inventario de activos de información.Esta etapa exige que se realice un análisis de todos los riesgos que afectan a dichos activos, creando la posibilidad de identificar los controles y los objetivos, mediante los requisitos que se recogen en la NCh-ISO 27001:2009. El producto generado de esta fase se obtiene de un inventario de activos que está perfectamente estructurado y debe ser el objetivo de actualización permanente, a lo largo de todo el ciclo de vida del Sistema de Seguridad de la Información.

  • Durante la etapa de planificación, se tienen en cuenta todos los controles que han sido declarados como no cumplidos durante la etapa de diagnóstico, y deben ser abordados, para esto se realizan iniciativos con una adecuada implementación, lo que hace que sean transferidas  a un programa de trabajo anual. En esta fase se establecen todos los elementos que se encuentran en el marco de gobierno para incrementar la Seguridad de la Información, además se deben proponer los indicadores necesarios para poder desempeñar las medidas de efectividad del Sistema de Gestión de la Información (SSI).

  • En la fase de Implementación se realizan iniciativas detalladas en el programa de trabajo, en las que se miden los indicadores de desempeño expresados.

  • Durante la etapa de evaluación, se realiza el proceso de desarrollo y difusión de los resultados obtenidos durante la fase de implementación, se realizan recomendaciones necesarias para poder velar por la aplicabilidad de esta fase.
Esto da por sentado su propiedad de mutabilidad, actualización y adaptabilidad según las determinaciones organizacionales de las que dispongamos, sin embargo, presiento (y se que me acompañarán en tales laudos) que algo en ella podría innovarse y ser mejor.
Para ello tendría en cuenta las siguientes peticiones:


  • Interacción y transposición de procedimientos (métodos, normas, y/o reglas): que la disposición física del centro de cómputos, terminales o servidores no se contraponga con la norma IRAM que regula el recorrido físico dentro de las oficinas. Es indispensable la interacción con un profesional en Organización y Métodos, Analista o Ing. en Sistemas con vasta experiencia. Prestar mucha atención al implementar controles (para no estar debilitados o desordenados por "cosas" de otros lados).
  • Tendencias a las nuevas tecnologías: tener presente en el flujo de datos la permeabilidad o apropiación de los mismos a través de la tecnología VoIP (Voice over IP – Voz sobre IP), unidades de almacenamiento secundarias transportables (Pendrives, Cámaras, Celulares, Etc.) y mensajeros instantáneos (usados para el Chat).
  • Reclutamiento de personal (empleados): es una de las claves del éxito de una organización, el atraer e incorporar a gente apropiada para desempeñarse en la implementación de estas normas. El agente de RRHH tiene que tener vastos conocimientos técnicos, comprobar las habilidades y referencias que estén en el CV del potencial postulante.
  • Adaptación inteligente al medio: contar con el Software (recursos lógicos) y el Hardware (recursos físicos) convenientes para no perder la calidad de los servicios y/o bienes ofrecidos como producto.
  • Invertir en capacitación conveniente y acertada en los trabajadores: tratar de entusiasmar e incentivar al usuario para que se faculte de mayores y mejores mañas (artilugios) al momento de operar en su cargo. De esta manera, se suprimirá (en enormes cantidades) la negligencia y las falencias a causa de ésta, teniendo secuelas de menor magnitud a la hora de resolver un problema.
  • Vigilancia en otros cuidados diversos a tener vigentes: monitorizaciones, seguimientos e investigación de los campos a los cuales subyace la materia u oficio contratado.
Diferentes beneficios: 


Aspecto organizacional
• La certificación permite garantizar y demostrar la eficacia de los esfuerzos desarrollados para asegurar la nformación en todos sus niveles. 
• Permite establecer una metodología de la gestión de la seguridad de la información clara y estructurada.
• Las auditorias externas ayudarán a identificar las debilidades de los sistemas de información y las mejoras que se pueden realizar.
• El sistema se puede integrar con otras normas (ISO9001, ISO 14001, etc.)
• La organización obtendrá una imagen internacional y un elemento diferenciador de su competencia

Aspecto funcional
• Tener un mejor conocimiento de los sistemas de información, sus fallas y los medios de protección.
• Garantiza también una mejor disponibilidad de los activos y de la información que existe en la organización.
• Reduce el riesgo de pérdida, robo o corrupción de la información.
• Revisa continuamente los controles y los riesgos.
• Ofrece continuidad a las operaciones criticas de la organización tras algún incidente de seguridad


Aspecto comercial
• Existe la confianza de los socios, los accionistas y usuarios al constatar la importancia que la organización concede a la seguridad de la información.
• Algunas licitaciones internacionales ya comienzan a pedir una gestión ISO 17799.


Aspecto financiero
• Reducción de los costos vinculados a los incidentes y posibilidad de disminución de las primas de seguro. 

Aspecto humano
• Mejora la sensibilización del personal a la seguridad y a sus responsabilidades en la organización.
• Además proporcionará confianza y reglas claras al personal de la organización.

Ventajas y Desventajas 

Ventajas

Competitividad (Para ser sinceros)
Si se trata de ser sinceros… éste es el primer factor que le interesa a cualquier empresa. Esta norma, como se mencionó varias veces, será en el mediano plazo europeo, tan importante como hoy lo es ISO 9000. Es decir, poco a poco las grandes empresas, los clientes y partners comenzarán a exigir esta certificación para abrir y compartir sus sistemas con cualquier PyME.

Calidad a la seguridad
La implementación de un verdadero SGSI transforma la seguridad en una actividad de gestión. Este concepto por trivial que parezca es trascendente, pues deja de lado un conjunto de actividades técnicas más o menos organizadas, para transformarse en un ciclo de vida metódico y controlado. Es lo que se mencionó al principio, pone "calidad a la seguridad", que en definitiva, "calidad" es lo que se busca y exige hoy en toda empresa seria.

Reduce riesgos
Partiendo del AR que impone la norma, hasta la implementación de los controles, el conjunto de acciones adoptadas reducirá al mínimo todo riesgo por robo, fraude, error humano (intencionado o no), mal uso de instalaciones y equipo a los cuales está expuesto el manejo de información.

Concienciación y compromiso
El estándar crea conciencia y compromiso de seguridad en todos los niveles de la empresa, no sólo al implantarla, sino que será permanente pues se trata de un ciclo. 136 Jamás debe olvidarse: La Alta Dirección, no tiene por qué tener la menor idea de los aspectos técnicos de la Seguridad Informática (es más, sería un error que le dedique tiempo a aprender estas cosas

Normas y Estándares
Cumplimiento de la legislación vigente Todos los aspectos de conformidades legales de la norma deben responder a la legislación del país, y se verifica su adecuación y cumplimiento. Por lo tanto la certificación garantiza este hecho y a su vez seguramente crea un marco legal que protegerá a la empresa en muchos flancos que antes no tenía cubiertos

Visión externa y metódica del sistema
Todo el trabajo realizado para la implementación de la norma, implica una serie de medidas de auditoria interna que ofrecen ya de por sí un importante valor agregado; cada una de ellas responde a una secuencia metódica de controles.

Supervivencia de mercado
Según un artículo publicado en ComputerWeekly, uno de los principales motores que están llevando al incremento de certificaciones ISO 27001 está siendo la aparición en contratos de sugerencias al proveedor respecto a estar certificado en esta norma. Cada vez más contratos, al principio sólo gubernamentales pero también cada vez más en el sector privado, ya estipulan que el proveedor apropiado debería tener la certificación en ISO 27001 de Seguridad de la Información.

Desventajas:

No tiene retorno
Una vez que se ha empezado el camino de implementación de la norma ISO-27001, tenemos la opción de certificar o no. Sea cual fuere la elección, el cúmulo de actividades realizadas exige un mantenimiento y mejora continua, sino deja de ser un SGSI, y ello salta a la vista en el muy corto plazo. Es decir no se puede dejar de lado, pues al abandonar un cierto tiempo el SGSI, requerirá un esfuerzo similar a lanzarlo de nuevo. Si a su vez se obtiene la certificación, para que la misma se mantenga en vigencia, anualmente debe ser auditada por la empresa certificadora.

Requiere esfuerzo continuo
Independientemente de las tareas periódicas que implica una vez lanzado el SGSI para los administradores del mismo, el mantenimiento del nivel alcanzado, requerirá inexorablemente un esfuerzo continuado de toda la organización al completo.

Tendencias: 

La tecnología de información (TI) ha venido reformando los procesos administrativos en las empresas de hoy día permitiendo que los procesos se integren más fácilmente y a la vez sean más eficientes, además posibilita agilizar el tener información necesaria para la toma de decisiones, todo esto es posible en la mayoría de los casos gracias a la penetración que ha logrado la tecnología del Internet.

Cuando una empresa maneja información en la red pública de Internet y hasta internamente en su red local, la misma corre el riesgo de que dicha información pueda ser obtenida por ompetidores o personas no autorizadas y en muchos casos la información puede llegar a ser destruida si quien logra acceder a ella tiene fines malignos. Si uno de estos eventos sucederá entonces que no se tendría la base de información correcta cuando se requiera al momento de tomar las decisiones. Para proteger la información empresarial a través del tiempo se han desarrollado tecnologías de software y hardware tales como antivirus, firewalls, entre otras.

Anteriormente, cuando las redes estaban diseñadas para cubrir solamente la oficina local (redes de área local) el tener simplemente un software antivirus y ciertas medidas físicas de seguridad ayudaba bastante a proteger la información de que la misma no llegara a ser destruida o robada por personas que perseguían dichos fines.

En los tiempos actuales dicho modelo no sería efectivo ni práctico debido a que las empresas tienen ya por lo menos una puerta abierta hacia el Internet ya que utilizan dicho servicio o utilizan un sistema de mensajería electrónica que a su vez deberá intercambiar mensajes con el mundo externo a la empresa.

Para proteger la información en una empresa donde exista una conexión con la red pública se utilizan estrategias de firewalls, routers, software de firewall, antispyware, detección de intrusos, etc. y el objetivo final será de proteger la red local, el sistema de mensajería, la información de la empresa, etc.



Explicación personal:


En esta estándar o norma que acabamos de ver nos dimos cuenta que la idea principal es la protección de la información que se genera en una organización pero que esta a su vez deberá ser integra en la organización para ello deberemos de pasar por varios procesos o pasos que nos ayudaran a tener ese plus de protección de la información.
Ademas que nos nombre la evolución de la misma y como es que en la actualidad el impacto de la mima no solo en la organización sino en la sociedad como tal; por eso es de mucha importancia que una norma de estas nos puede facilitar algo muy propio.








No hay comentarios:

Publicar un comentario

Suscribirse a: Entradas (Atom)