Visión estratégica de la Seguridad de la Información
Seguridad de la Información
Varias son las definiciones que se pueden obtener desde algunos estándares relacionados con la seguridad, como ISO/IEC 17799:2005 Information technology . Security techniques. Code of practice for information security management, o ISO 13335-1:2004 Information technology — Security techniques — Management of information and communications technology security — Part 1: Concepts and models for information and communications technology security management, y todas ellas están basadas en un concepto clave, la seguridad debe tener como objetivo la conservación de la confidencialidad, integridad, y disponibilidad de la información, sin perjuicio de otras características relacionadas con las primeras, tales como autenticación, trazabilidad, cumplimiento normativo, etc.
No cabe duda que la información representa el activo más crítico para que una organización logre el éxito de los objetivos de negocio o estratégicos, es decir, aquellos que son fundamentales y representan la razón de ser de la empresa. Los objetivos de negocio pasan por conseguir que la información, cualquiera que sea su soporte y su ciclo de vida dentro de la organización, sea analizada bajo distintos requerimientos: de calidad, financieros, de seguridad, legales, u otros que puntualmente puedan ser necesarios. Dichos requisitos guiarán a los recursos y procesos empleados en los sistemas de información para conseguir los objetivos estratégicos fijados
Una vez identificados los términos clave de la seguridad de la información, es necesario enfocarlos desde el punto de vista de la gestión, aplicando un proceso sistemático, documentado y conocido por toda la organización que permita garantizar, no que la empresa es completamente segura, sino que conoce los riesgos a los que se enfrenta, los ha evaluado, los sabe gestionar y los ha minimizado de una forma documentada, sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en el sistema de información.
Un sistema de gestión de seguridad de la información (SGSI), es aquel sistema que comprende la política de seguridad, la estructura organizativa, los procedimientos, los procesos, y los recursos necesarios para implantar la gestión de la seguridad de la información en función de los requisitos técnicos, legales y organizativos identificados en la organización.
Para implantarlo de forma exitosa en una organización existen distintos elementos claves:
– Lograr el apoyo de la dirección.
– Tener una visión clara de los procesos y elementos clave a incluir en el sistema, ya que un exceso de ambición podría hacer fracasar el sistema.
– Evaluar los riesgos que comprometen dichos procesos.
– Describir una política de seguridad basada en el resultado del análisis de riesgos.
– Adoptar el modelo de mejora continua, ciclo PDCA, que permita monitorizar el sistema, detectar nuevos riesgos y tratarlos de manera eficiente.
– Documentar el sistema según distintos niveles estratégicos (manual de seguridad, procedimientos generales, instrucciones técnicas, y registros de operación).
ISO/IEC 27001:2005, norma internacionalmente conocida, define los requisitos para implementar un SGSI. Los beneficios del sistema son varios e incluyen la facilidad de integración con otros sistemas de gestión ISO 9000 e ISO 14000, la conformidad con los requisitos legales (LOPD, LSSI, etc), la gestión efectiva de riesgos, la diferenciación en el sector, credibilidad y confianza de gestores, socios y partes interesadas, la reducción de costes relacionados con incidentes, y por último, la mejora en la sensibilización del personal y aumento de responsabilidad en seguridad de la información.
Autor: Antonio Martínez Álvarez
Responsable de Seguridad TICs
Áudea, Seguridad de la Información
Creo que a día de hoy, así como nos referimos a la ISO/IEC-27001:2005 como la versión actualizada de la ISO/IEC-17799:2002; el autor debería hablar de ISO/IEC 27002 -que es el nombre que se le ha asignado a partir del 2007- en lugar de hablar de ISO/IEC 17799:2005, afín de unificar vocabulario y evitar confusiones (aunque en efecto la denominación de ISO/IEC 27002 se corresponda con el código de práctica ISO/IEC 17799:2005).
Efectivamente ISO/IEC 27002 será la norma que sustituya a ISO/IEC 17799:2005, pero ya que todavía no se ha publicado con dicho nombre, ni se conoce fecha oficial de su cambio, no se puede considerar como tal una norma a los efectos de los organismos ISO e IEC. La infinidad de normas en estado de preparación y desarrollo en los respectivos Comités de Normalización son infinitas, incluso de la serie 27000, y por ello no se las cita como normas oficiales. De hecho uno de los mayores problemas que presenta ese cambio de denominación es el vínculo con ISO/IEC 27001:2005, ya que dicha norma hace referencia a ISO/IEC 17799:2005 como norma de obligatoria referencia, en ningún caso a su nombre futuro, por ello se intenta no confundir al lector con nombres de normativas inexistentes.