Cul es la Historia de la ISO 17.799?

Desde hace ms de cien aos, la British Normal Institution (BSI) realiza estudios con el fin de establecer normas eficaces de alta calidad industrial. BS 7799 fue desarrollada a principios de los aos 1990 como respuesta a las peticiones de la industria, el gobierno y los comerciantes para crear una estructura comn de seguridad de la informacin. En 1995, el estndar BS 7799 es oficialmente adoptado. Unos aos ms tarde, la Organizacin internacional de normalizacin (ISO) comienza a interesarse en los trabajos publicados por el instituto ingls. En diciembre del 2000, la organizacin ISO incorpora la primera parte de la norma BS 7799, rebautizada como ISO 17799, la cual se presenta bajo la forma de notas de orientacin y recomendaciones en el rea de Seguridad de una Compaa. stas han sido reunidas a posteriori de las consultas realizadas a las empresas ms importantes. ISO/IEC 17799 (denominada

tambin como ISO 27002) es un estndar para la seguridad de la informacin publicado por primera vez como ISO/IEC 17799:2000 por la International Organization for Standardization y por la Comisin Electrotcnica Internacional en el ao 2000, con el ttulo de Information technology - Security techniques - Code of practice for information security management. Tras un periodo de revisin y actualizacin de los contenidos del estndar, se public en el ao 2005 el documento actualizado denominado ISO/IEC 17799:2005. El estndar ISO/IEC 17799 tiene su origen en el British Standard BS 7799-1 que fue publicado por primera vez en 1995.
La norma es

Una gua de recomendaciones estructuradas, reconocida internacionalmente, dedicada a la seguridad de la informacin. Un proceso conciso para evaluar, establecer, mantener y administrar la seguridad de la informacin. El resultado de un consorcio de empresas para responder a las necesidades de la industria. Un proceso equilibrado entre la seguridad fsica, tcnica, procedimientos y la seguridad del personal.

La norma no es

Un estndar tcnico. Una norma tecnolgica u orientada al producto. Una metodologa de evaluacin de equipamiento como los criterios comunes (CC / ISO 15408). Sin embargo, es complementaria y puede aprovechar los niveles de aseguramiento de evaluacin encontrado en los Criterios Comunes (EAL). ISO 17799 no es un sistema que permite una certificacin de la seguridad. ISO 17799 no detalla ninguna obligacin en cuanto al mtodo de evaluacin del riesgo, basta con elegir el que responde a las necesidades.

Cmo est estructurada? Contiene diez dominios especficos compuestos de 36 objetivos y de 127 medidas de seguridad. He aqu una breve resea de cada uno de los dominios:

1. Poltica de seguridad: proporcionar directivas y consejos de gestin para mejorar la seguridad de los datos. 2. Seguridad de la organizacin: facilitar la gestin de la seguridad de la informacin en el seno de la organizacin. ISO/CEI 17799 (1 parte) 3. Clasificacin y control de los activos: catalogar los activos y protegerlos eficazmente. 4. Seguridad del personal: reducir los riesgos de error humano, robo, fraude y utilizacin abusiva de los equipamientos. 5. Seguridad fsica y medioambiental: impedir la violacin, el deterioro y la perturbacin de las instalaciones y datos industriales. 6. Gestin de las telecomunicaciones y operaciones: garantizar un funcionamiento seguro y adecuado de los dispositivos de tratamiento de la informacin. 7. Control de accesos: controlar el acceso a los datos. 8. Desarrollo y mantenimiento de los sistemas: garantizar que la seguridad est incorporada a los sistemas de informacin. 9. Gestin de la continuidad de las operaciones de la empresa: reducir los efectos de las interrupciones de actividad y proteger los procesos esenciales de la empresa contra las averas y los siniestros mayores. 10. Conformidad: prevenir los incumplimientos de las leyes penales o civiles, de las obligaciones reglamentarias o contractuales y las exigencias de seguridad. La norma se extiende desde una perspectiva estructural hasta una perspectiva operacional, como se muestra en el siguiente grfico http://www.e-stratega.com/Grafico01.jpg Cmo implementarla? Se debe crear un marco o Sistema de Gestin de la Seguridad de la Informacin(SGSI) que ofrezca un enfoque metodolgico para administrar la informacin sensible con el fin de protegerla. Su mbito de aplicacin incluye a los empleados, los procesos y los sistemas informticos. La seguridad de la informacin no se termina en la implementacin de un firewall o con la contratacin de una empresa de seguridad. En este dominio, es necesario integrar las mltiples iniciativas puestas en ejecucin dentro de una estrategia global con el fin de que cada elemento ofrezca un nivel ptimo de proteccin. Es a este nivel que intervienen los sistemas de gestin de la seguridad de la informacin permitiendo coordinar los esfuerzos para alcanzar una seguridad ptima. Un sistema de gestin debe incluir un mtodo de evaluacin, medidas de proteccin y un proceso de documentacin y de revisin. Esto ltimo es el principio del modelo PHVA (Planificar-Hacer-Verificar-Actuar) (PDCA en ingls) desarrollado inicialmente por Walter Shewhart y popularizado por W. Edwards Deming. Por este motivo es conocido frecuentemente como el Ciclo Deming que recuerda fuertemente al modelo de gestin de la calidad ISO 9001 http://www.e-stratega.com/Grafico02.jpg Implementacin de un SGSI El grfico siguiente describe cada una de las ocho etapas de implantacin de un SGSI:

http://www.e-stratega.com/Grafico03.jpg Cules son los Obstculos? Algunos obstculos pueden encontrarse en la implantacin de un SGSI, a saber: Temor, resistencia a los cambios - Riesgo de que los cambios realizados en un rea requieran ajustes en otras reas Aumento de los costos Insuficiente conocimiento del enfoque utilizado - Tareas que parecen insuperables Cules son los Factores de xito? La experiencia ha probado que los factores enumerados a continuacin son a menudo cruciales para garantizar el xito de la implementacin de gestin de la seguridad de la informacin en una organizacin. a) una poltica, objetivos y actividades de seguridad que reflejan los objetivos de la empresa. d) Una puesta en ejecucin de la gestin de la seguridad que sea compatible con la cultura de la organizacin. c) un apoyo y un compromiso visibles de la direccin. d) una buena comprensin de las exigencias de seguridad, de la evaluacin de los riesgos y de la gestin de los riesgos. e) una presentacin eficaz de las cuestiones de seguridad a todos los responsables y empleados. f) la distribucin a todos los empleados y a todos los proveedores de las directrices sobre la poltica y las normas de seguridad de la informacin. g) una formacin y una educacin conveniente. h) un sistema de medidas completo y equilibrado utilizado para evaluar la eficacia de la gestin de la seguridad de la informacin y la aplicacin de los requerimientos de mejoras resultantes de dicha evaluacin.