Estándares de seguridad en la información

Estándares BS 7799 e ISO1799

El British Standard 7799, BS7799, es el estándar de seguridad más reconocido en el mundo. La última publicación importante fue en mayo de 1999 una edición que incluye muchas mejoras y mejoras sobre las versiones anteriores. En diciembre de 2000 se volvió a publicar de nuevo, y se convirtió en ISO17799.

Por ello se recomienda que BS7799 sea abordado en un 'paso a paso' manera. El mejor punto de partida suele ser una evaluación de la posición actual / situación, seguido de la identificación de qué cambios son necesarios para el cumplimiento de BS7799. A partir de aquí, la planificación y ejecución deben emprender de manera rígida.

Este sitio web está diseñado para ayudar en este proceso. Además, proporcionará más información sobre la norma BS7799, así como sugerir una solución para ayudar a guiar a su pleno cumplimiento.

¿Qué es el ISO 17799?

En toda organización que haga uso de las tecnologías de información se recomienda implementar buenas prácticas de seguridad, pues en muchas ocasiones el no seguir un proceso de implementación adecuado como el que establece el ISO 17799 puede generar huecos por la misma complejidad de las organizaciones, en ese sentido, aumenta la posibilidad de riesgos en la información.

Este estándar internacional de alto nivel para la administración de la seguridad de la información, fue publicado por la ISO (International Organization for Standardization) en diciembre de 2000 con el objeto de desarrollar un marco de seguridad sobre el cual trabajen las organizaciones.

El ISO 17799, al definirse como una guía en la implementación del sistema de administración de la seguridad de la información, se orienta a preservar los siguientes principios de la seguridad informática:

• Confidencialidad.: Asegurar que únicamente personal autorizado tenga acceso a la información.
• Integridad: Garantizar que la información no será alterada, eliminada o destruida por entidades no autorizadas.
• Disponibilidad: Asegurar que los usuarios autorizados tendrán acceso a la información cuando la requieran.

Estos principios en la protección de los activos de información constituyen las normas básicas deseables en cualquier organización, sean instituciones de gobierno, educativas e investigación; no obstante, dependiendo de la naturaleza y metas de las organizaciones, éstas mostrarán especial énfasis en algún dominio o área del estándar ISO 17799.

El objetivo de la seguridad de los datos es asegurar la continuidad de las operaciones de la organización, reducir al mínimo los daños causados por una contingencia, así como optimizar la inversión en tecnologías de seguridad.

La aplicación de un marco de referencia de seguridad basado en el ISO 17799 proporciona beneficios a toda organización que lo implemente, al garantizar la existencia de una serie de procesos que permiten evaluar, mantener y administrar la seguridad de la información.

Las políticas, estándares locales y los procedimientos se encuentran adaptados a las necesidades de la organización debido a que el proceso mismo de su elaboración integra mecanismos de control y por último, la certificación permite a las organizaciones demostrar el estado de la seguridad de la información, situación que resulta muy importante en aquellos convenios o contratos con terceras organizaciones que establecen como requisito contractual la certificación BS7799.

Los controles del ISO 17799.

El éxito de la implementación del estándar de seguridad ISO 17799 requiere de una serie de procedimientos donde, inicialmente, el análisis de riesgos identificará los activos de la información y las amenazas a las cuales se encuentra expuesta.

El análisis de riesgos guiará en la correcta selección de los controles que apliquen a la organización; este proceso se conoce en la jerga del estándar como Statement of Applicability, que es la definición de los controles que aplican a la organización con objeto de proporcionar niveles prácticos de seguridad de la información y medir el cumplimiento de los mismos.

A continuación, se describirán cada una de las diez áreas de seguridad con el objeto de esclarecer los objetivos de estos controles.

• Políticas de seguridad. El estándar define como obligatorias las políticas de seguridad documentadas y procedimientos internos de la organización que permitan su actualización y revisión por parte de un Comité de Seguridad.
• Seguridad organizacional. Establece el marco formal de seguridad que debe integrar una organización, tales como un foro de administración de la seguridad de la información, un contacto oficial de seguridad (Information System Security Officer – ISSO), revisiones externas a la infraestructura de seguridad y controles a los servicios de outsourcing, entre otros aspectos.
• Clasificación y control de activos. El análisis de riesgos generará el inventario de activos que deberá ser administrado y controlado con base en ciertos criterios de clasificación y etiquetado de información, es decir, los activos serán etiquetados de acuerdo con su nivel de confidencialidad.
• Seguridad del personal. Contrario a lo que uno se puede imaginar, no se orienta a la seguridad del personal desde la óptica de protección civil, sino a proporcionar controles a las acciones del personal que opera con los activos de información. El objetivo de esta área del estándar es contar con los elementos necesarios para mitigar el riesgo inherente a la interacción humana, es decir, establecer claras responsabilidades por parte del personal en materia de seguridad de la información.
• Seguridad física y de entorno. Identificar los perímetros de seguridad, de forma que se puedan establecer controles en el manejo de equipos, transferencia de información y control de los accesos a las distintas áreas con base en el tipo de seguridad establecida.
• Comunicaciones y administración de operaciones. Integrar los procedimientos de operación de la infraestructura tecnológica y de controles de seguridad documentados, que van desde el control de cambios en la configuración de los equipos, manejo de incidentes, administración de aceptación de sistemas, hasta el control de código malicioso.
• Control de acceso. Habilitar los mecanismos que permitan monitorear el acceso a los activos de información, que incluyen los procedimientos de administración de usuarios, definición de responsabilidades o perfiles de seguridad y el control de acceso a las aplicaciones.
• Desarrollo de sistemas y mantenimiento. La organización debe disponer de procedimientos que garanticen la calidad y seguridad de los sistemas desarrollados para tareas específicas de la organización.
• Continuidad de las operaciones de la organización. El sistema de administración de la seguridad debe integrar los procedimientos de recuperación en caso de contingencias, los cuales deberán ser revisados de manera constante y puestos a prueba con la finalidad de determinar las limitaciones de los mismos.
• Requerimientos legales. La organización establecerá los requerimientos de seguridad que deben cumplir todos sus proveedores, socios y usuarios; éstos se encontrarán formalizados en los contratos o convenios.

Cada una de las áreas establece una serie de controles que serán seleccionados dependiendo de los resultados obtenidos en el análisis de riesgos, además, existen controles obligatorios para toda organización, como es el de las políticas de seguridad cuyo número dependerá más de la organización que del estándar, el cual no establece este nivel de detalle.

Definición de Estándar, Norma y Regla

¿Qué es un estándar?

La palabra estándar proviene del inglés “Standard”, que a su vez se originó en el francés “standort”, palabra integrada por “stand” que significa parado, y “ort” = lugar alto.

Estándar es una norma, regla o patrón a seguir que fijan pautas mínimas a lo que se deben ajustar las conductas o productos para ser eficaces, positivos, útiles o confiables.

Los estándares son construcciones culturales, efectuadas por quienes poseen autoridad ética, técnica, teórica o científica, según el caso, de público conocimiento que nos dan confianza en nuestro accionar, pues nos sirven de guía y referencia, y a posterior permite controlar lo producido para realizar sobre ello un juicio de valor.

¿Qué es una norma?

Las normas son reglas de conductas que nos imponen un determinado modo de obrar o de abstenernos. Las normas pueden ser establecidas desde el propio individuo que se las auto impone, y en este caso son llamadas normas autónomas, como sucede con las éticas o morales. Así, una persona ayuda a un necesitado porque se lo ordena su propia conciencia, y cuyo castigo también es personal, y está dado por el remordimiento.

Existen también normas en otros ámbitos como las normas o reglas ortográficas, o normas de sintaxis, o normas técnicas para construir bien algún producto. En todos los casos son exigencias que se deben cumplir para un fin determinado.

¿Qué es una regla?

Se denomina regla a un instrumento que sirve para medir o trazar líneas rectas. En este mismo sentido, se aplica como línea de la recta conducta, a las normas morales, religiosas o jurídicas, prescribiendo acciones o imponiendo omisiones. Las reglas o normas jurídicas imponen una pena de cumplimiento efectivo en caso de ser desobedecidas. Toda sociedad organizada exige reglas de convivencia para que sus miembros puedan convivir en forma armónica.

Las reglas técnicas, significan los pasos que se deben seguir para llegar a un fin utilitario. Por ejemplo, reglas para construir un armario.

Las reglas de juego también son normas que fijan las pautas que deben seguirse para que la actividad lúdica se efectúe en forma correcta, según lo pactado por las partes.

Resumen:

Definición de Estándares.

Estándar puede ser conceptualizado como la definición clara de un modelo, criterio, regla de medida o de los requisitos mínimos aceptables para la operación de procesos específicos.

Los estándares sirven para para las siguientes actividades:

• Mantener un comportamiento esperado y deseado en los empleados.
• Establecen guías para evaluar cualquier funcionamiento.
• Para lograr el mejoramiento continuo de los servicios.

Es necesario considerar que las fallas de los procesos pueden ser imputables por un lado a problemas propios del sistema que condiciona la necesidad de revisar su estructura y funcionamiento y por otro lado a errores cometidos por los empleados.

¿Cómo se elabora?

1. Establecer un grupo técnico integrado.
2. Realizar investigación bibliográfica con el fin de identificar la disponibilidad de estándares a nivel internacionales o locales al respecto.
3. Identificar los aspectos que deberán de ser estandarizados en los procesos con el fin de evitar errores en su operación.
4. Definir los estándares. El diseño de los estándares contempla:

• El enunciado que señala el modelo, criterio, requerimiento necesario para alcanzar el nivel de calidad deseado.
• La justificación que expresa la utilidad y el beneficio que el estándar tiene para los usuarios.
• Las condiciones necesarias que estipulan los requerimientos que hacen posible el cumplimiento del estándar.

     5. Realizar la difusión del estándar entre el personal y de ser necesario capacitarlo para su pleno            cumplimiento.

     6. Realizar el seguimiento y control de los estándares