Normas de Seguridad de la Informacion

Preguntas y respuestas: P: Cules son las Normas de Seguridad? R: Bsicamente son dos: la ISO 27002 (anteriormente ISO 17799) y la ISO 27001. P: Qu es la ISO 27002? R: La ISO 27002 es una gua de buenas prcticas de seguridad de la informacin que presenta una extensa serie de controles de seguridad. Es la nica norma que no slo cubre la problemtica de la seguridad IT sino que hace una aproximacin holstica a la seguridad de la informacin corporativa, abarcando todas las funcionalidades de una organizacin en cuanto a la seguridad de la informacin que maneja. Este concepto marca la diferencia con el de seguridad informtica que, en la prctica, se vino convirtiendo en equivalente de seguridad de sistemas IT, mientras que la norma considera tambin los riesgos organizacionales, operacionales y fsicos de una empresa, con todo lo que esto implica. P: Es certificable la ISO 27002? R: Definitivamente no. La ISO 27002 slo hace recomendaciones sobre el uso de 133 controles de seguridad diferentes aplicados en 11 reas de control. No establece requisitos cuyo cumplimiento pudiere certificarse. P: Por qu ha habido cierta confusin en el tema de la certificacin? R: En gran parte se debe a los errores de algunas traducciones. El original en ingls de la ISO 27002 usa la expresin verbal should, un trmino presente en otras normas ISO y tambin del IETF y del IEEE, que por convencin expresa una forma condicional a modo de recomendacin y no de imposicin, lo que hace precisamente que no sea certificable. P: Si la ISO 27002 no es certificable, cul es su utilidad? R: La ISO 27002 ofrece el detalle de los controles de seguridad recomendados y que en la prctica se seleccionan en base a una valuacin de riesgos. La ISO 17799:2000 original era prcticamente igual a la Primera Parte de la norma BS 7799, o sea la BS 7799-1. Esta norma britnica tiene una Segunda Parte, BS 7799-2, que usa la expresin verbal shall, otro trmino habitual en normas como las mencionadas antes, en este caso para expresar mandato u obligacin, lo que permite su auditora y certificacin. Y en 2005 se liber la ISO 27001 tomada en su mayor parte de la BS 7799-2 pero con las modificaciones introducidas en la 27002:2005. P: Pero entonces, hay que trabajar con las dos normas al mismo tiempo? R: Efectivamente. La ISO 27001 muestra cmo aplicar los controles seleccionados de la ISO 27002, estableciendo los requisitos para construir un Sistema de Gestin de Seguridad de la Informacin (SGSI, o ISMS por sus siglas en ingls) que efectivamente se puede auditar y certificar. Mientras varios miles de empresas en todo el mundo estn en proceso de certificacin actualmente bajo la ISO 27001, para principios de Abril de 2009 se haban emitido ms de 5.300 certificaciones correspondientes a organizaciones de 76 pases diferentes.

P: Adems de su capacidad de ser certificable, qu otras caractersticas tiene la ISO 27001? R: El SGSI de la ISO 27001 responde a la aplicacin del ciclo Deming o modelo PDCA (Plan-Do-Check-Act) de mejora continua tambin presente en otras normas. La aplicacin del proceso PDCA en el SGSI conforma el paradigma de gestin de riesgos que gua la estrategia del Corporate Governance, incluyendo la gestin de riesgos de negocios. De hecho, bajo el esquema comn del modelo PDCA, la ISO 27001 ofrece un interesante alineamiento con otras normas tambin de sistemas de gestin como la ISO 9001 de Calidad y la ISO 14001 de Medio Ambiente, con el consiguiente beneficio de reduccin de esfuerzos y costos en una implementacin semiintegrada. As las cosas, el cumplimiento de esta norma constituye el aseguramiento idneo para:

Las empresas que buscan una posicin con ventaja competitiva en el mercado y/o realizan operaciones de e-commerce B2B. Los bancos que necesitan reducir el peso de los riesgos operacionales que introduce el Nuevo Acuerdo de Capitales Basilea II, limitando as las mayores exigencias de capital para sus operaciones. Las empresas que cotizan en la bolsa de New York al proporcionarles el soporte adecuado que requiere la aplicacin de la ley Sarbanes-Oxley en cuanto a seguridad.

P: Cul es el proceso de implementacin de la norma ISO 27001? R: A muy grandes rasgos se arranca con la determinacin del Alcance del proyecto (si es completo, o un servicio, o un rea, etc.) y una Poltica General. Una valuacin de riesgos cuya metodologa no establece la ISO 27001 sino la ISO 27005- y una auditora basada en un anlisis gap contra los controles de la norma ISO 27002, permiten establecer los controles que deben implementarse. En algunos casos el cumplimiento de dichos controles, y la correspondiente reduccin de los respectivos riesgos, se logra por medio de normas de uso, controles de seguridad y procedimientos. Los puntos ms crticos, en cambio, requieren mitigantes de mayor fortaleza bajo la forma de contramedidas o salvaguardas especiales. El tratamiento dado a los controles queda estipulado en una Declaracin de Aplicabilidad, SoA, que se anexa junto con el Alcance de la implementacin para la certificacin posterior. P: Y cmo es el tema de la nueva serie ISO 27000? R: Con la nueva serie ISO 27000 se busca dar un carcter autoconsistente e integral al conjunto de normas de seguridad de la informacin. Esta serie se puede decir que est encabezada por la ISO 27001 que, como se dijo, es la que estipula los requisitos del sistema de gestin de seguridad de la informacin. Algunas normas de esta serie ya han sido publicadas, adems de las bsicas ISO 27002 y 27001. Otras estn en camino a serlo. Entre todas ellas a continuacin se mencionan las principales.

La ISO 27004, por publicarse, estipula las mtricas y mediciones para la gestin de seguridad. La ISO 27005, publicada a mediados de 2008, se refiere a la valuacin y gestin de riesgos. En parte se basa en la ISO 13335. Igualmente ha tomado varios temas relacionados con el ciclo de vida de la gestin de riesgos conforme la

nueva norma britnica BS 7799-3. Tambin reconoce el formato y diagrama de flujo de la norma australiana de riesgos AS/NZS 4360. La ISO 27011, tambin en terminacin, trata como extensin de la ISO 27002 la gestin de seguridad en telecomunicaciones. La ISO 27034, en el ltimo draft, trata de la seguridad en las aplicaciones. La ISO 27799, publicada a mediados de 2008, es la extensin de la ISO 27002 para cubrir los aspectos referidos a la informacin personal de salud.