Todo lo que Ud debe saber de la Norma de Seguridad ISO 17.799

Cuál es la Historia de la ISO 17.799?

Desde hace más de cien años, la British Normal Institution (BSI) realiza estudios con el fin de establecer normas eficaces de alta calidad industrial. BS 7799 fue desarrollada a principios de los años 1990 como respuesta a las peticiones de la industria, el gobierno y los comerciantes para crear una estructura común de seguridad de la información. En 1995, el estándar BS 7799 es oficialmente adoptado. Unos años más tarde, la Organización internacional de normalización (ISO) comienza a interesarse en los trabajos publicados por el instituto inglés. En diciembre del 2000, la organización ISO incorpora la primera parte de la norma BS 7799, rebautizada como ISO 17799, la cual se presenta bajo la forma de notas de orientación y recomendaciones en el área de Seguridad de una Compañía. Éstas han sido reunidas a posteriori de las consultas realizadas a las empresas más importantes.

La norma es

  • Una guía de recomendaciones estructuradas, reconocida internacionalmente, dedicada a la seguridad de la información.
  • Un proceso conciso para evaluar, establecer, mantener y administrar la seguridad de la información.
  • El resultado de un consorcio de empresas para responder a las necesidades de la industria.
  • Un proceso equilibrado entre la seguridad física, técnica, procedimientos y la seguridad del personal.

La norma no es…

  • Un estándar técnico.
  • Una norma tecnológica u orientada al producto.
  • Una metodología de evaluación de equipamiento como los criterios comunes (CC / ISO 15408). Sin embargo, es complementaria y puede aprovechar los niveles de aseguramiento de evaluación encontrado en los Criterios Comunes (EAL).
  • ISO 17799 no es un sistema que permite una certificación de la seguridad.
  • ISO 17799 no detalla ninguna obligación en cuanto al método de evaluación del riesgo, basta con elegir el que responde a las necesidades.

Cómo está estructurada?

Contiene diez dominios específicos compuestos de 36 objetivos y de 127 medidas de seguridad. He aquí una breve reseña de cada uno de los dominios:

1. Política de seguridad: proporcionar directivas y consejos de gestión para mejorar la seguridad de los datos.
2. Seguridad de la organización: facilitar la gestión de la seguridad de la información en el seno de la organización. ISO/CEI 17799 (1ª parte)
3. Clasificación y control de los activos: catalogar los activos y protegerlos eficazmente.
4. Seguridad del personal: reducir los riesgos de error humano, robo, fraude y utilización abusiva de los equipamientos.
5. Seguridad física y medioambiental: impedir la violación, el deterioro y la perturbación de las instalaciones y datos industriales.
6. Gestión de las telecomunicaciones y operaciones: garantizar un funcionamiento seguro y adecuado de los dispositivos de tratamiento de la información.
7. Control de accesos: controlar el acceso a los datos.
8. Desarrollo y mantenimiento de los sistemas: garantizar que la seguridad esté incorporada a los sistemas de información.
9. Gestión de la continuidad de las operaciones de la empresa: reducir los efectos de las interrupciones de actividad y proteger los procesos esenciales de la empresa contra las averías y los siniestros mayores.
10. Conformidad: prevenir los incumplimientos de las leyes penales o civiles, de las obligaciones reglamentarias o contractuales y las exigencias de seguridad.

La norma se extiende desde una perspectiva estructural hasta una perspectiva operacional, como se muestra en el siguiente gráfico

http://www.e-stratega.com/Grafico01.jpg

Cómo implementarla?

Se debe crear un marco o Sistema de Gestión de la Seguridad de la Información(SGSI) que ofrezca un enfoque metodológico para administrar la información sensible con el fin de protegerla. Su ámbito de aplicación incluye a los empleados, los procesos y los sistemas informáticos.
La seguridad de la información no se termina en la implementación de un “firewall” o con la contratación de una empresa de seguridad. En este dominio, es necesario integrar las múltiples iniciativas puestas en ejecución dentro de una estrategia global con el fin de que cada elemento ofrezca un nivel óptimo de protección. Es a este nivel que intervienen los sistemas de gestión de la seguridad de la información permitiendo coordinar los esfuerzos para alcanzar una seguridad óptima.
Un sistema de gestión debe incluir un método de evaluación, medidas de protección y un proceso de documentación y de revisión.

Esto último es el principio del modelo PHVA (Planificar-Hacer-Verificar-Actuar) (PDCA en inglés) desarrollado inicialmente por Walter Shewhart y popularizado por W. Edwards Deming. Por este motivo es conocido frecuentemente como el “Ciclo Deming” que recuerda fuertemente al modelo de gestión de la calidad ISO 9001

http://www.e-stratega.com/Grafico02.jpg

Implementación de un SGSI

El gráfico siguiente describe cada una de las ocho etapas de implantación de un SGSI:

http://www.e-stratega.com/Grafico03.jpg

Cuáles son los Obstáculos?

Algunos obstáculos pueden encontrarse en la implantación de un SGSI, a saber:

– Temor, resistencia a los cambios
– Riesgo de que los cambios realizados en un área requieran ajustes en otras áreas
– Aumento de los costos
– Insuficiente conocimiento del enfoque utilizado
– Tareas que parecen insuperables

Cuáles son los Factores de Éxito?

La experiencia ha probado que los factores enumerados a continuación son a menudo cruciales para garantizar el éxito de la implementación de gestión de la seguridad de la información en una organización.

a) una política, objetivos y actividades de seguridad que reflejan los objetivos de la empresa.
d) Una puesta en ejecución de la gestión de la seguridad que sea compatible con la cultura de la organización.
c) un apoyo y un compromiso visibles de la dirección.
d) una buena comprensión de las exigencias de seguridad, de la evaluación de los riesgos y de la gestión de los riesgos.
e) una presentación eficaz de las cuestiones de seguridad a todos los responsables y empleados.
f) la distribución a todos los empleados y a todos los proveedores de las directrices sobre la política y las normas de seguridad de la información.
g) una formación y una educación conveniente.
h) un sistema de medidas completo y equilibrado utilizado para evaluar la eficacia de la gestión de la seguridad de la información y la aplicación de los requerimientos de mejoras resultantes de dicha evaluación.

…Nosotros, e-STRATEGA, podemos ayudarlo a…

» Evaluar su actualidad en función a la Norma ISO 17.799
» Analizar sus Riesgos y su Nivel de Exposición
» Armar un Plan de Recomendaciones y Acciones Correctivas
» Auditar el Resultado de las Acciones y su efectividad.