Estándares y normas de seguridad de la información

Última respuesta jul. 30, 2019 21:50:04 85 2 6 1

“La seguridad de la información es parte activa de nuestra actualidad”

 

La anterior frase ilustra el momento que enfrentamos actualmente en diferentes entornos como el laboral, el educativo y cada vez más, en el hogar. Términos como copia de seguridad, privacidad, antivirus, cifrado, son con el paso de los días parte de nuestro léxico y lo seguirán siendo aún más con la popularización del uso de recursos tecnológicos en casi todos los entornos y espacios.

 

En la medida que se trabaja inmerso en el mundo de la seguridad de la información y la ciberseguridad, aumenta la necesidad de difundir la educación en estos temas; sin embargo, en espacios laborales o educativos no es tan simple como el compartir con un amigo y decirle qué antivirus emplear o cómo proteger su teléfono celular del robo de información. Por ello, es necesario buscar guías y documentos que ilustren cómo abordar la seguridad de una forma responsable, procedimental y orientada al cumplimiento de los estándares mínimos requeridos para la tecnología actual.

 

Pero surge una duda, ¿qué es un estándar y por qué son tan mencionados en la actualidad? Pues bien, un estándar es un documento con un contenido de tipo técnico-legal que establece un modelo o norma que refiriere lineamientos a seguir para cumplir una actividad o procedimientos. Su uso se ha popularizado en la actualidad debido a que se busca que los procesos y actividades de organizaciones y sus personas sean repetibles, organizados, y estructurados. Por ello, entidades como ISO[1] (International Standard Organization), IEEE[2] (Institute of Electrical and Electronics Engineers), entre otras proponen estos documentos, los cuales se crean a partir de la experiencia de diferentes grupos que participan durante el proceso de definición y al finalizar son documentos de tipo público.

 

Estándares internacionales

 

Entrando en materia, observemos algunos estándares internacionales, guías y manuales de buenas prácticas que en la actualidad son ampliamente empleados para buscar el aseguramiento de la información, el activo más valioso de toda organización, en el constante proceso de la consecución de protección a nivel de integridad, disponibilidad y confidencialidad:

 

ISO/IEC 27001[3]

 

Es un estándar para la seguridad de la información denominado ISO/IEC 27001 (Information technology - Security techniques - Information security management systems - Requirements) adoptado por ISO, basado en un estándar británico denominado BS 7799. Es certificable y su primera publicación fue en el año 2005.

En éste se determinan los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI) a través del ciclo de PDCA por medio de los procesos de planificar, hacer, verificar y actuar.


112600j1q0300ernkiukit.png?image.png

 

ISO/IEC 27002[4]

 

Se trata de una guía de buenas prácticas a partir de objetivos de control y controles recomendables a nivel de seguridad de la información. A diferencia de ISO/IEC 27001, no es un estándar certificable. Cuenta con 39 objetivos de control y 133 controles agrupados en 11 dominios, abordando más controles y dominios que los establecidos en el estándar certificable ISO/IEC 27001.

 

A través de este documento se puede identificar un marco de trabajo más amplio para una organización cuando se desea implementar políticas de seguridad, establecer un sistema de gestión de la seguridad de la información y con la madurez adecuada lograr la certificación ISO/IEC 27001 que evalúa menos dominios.


113125hmnqg54olq56nqlb.png?image.png

 

Interacción entre estándares.

 

Lograr una alineación entre los estádares antes indicados tiene un alto grado de dificultad, pero a la vez es una oportunidad para crear un conjunto de métodos y procedimientos complementarios que abarquen gran cantidad de puntos, logrando uno a uno el aseguramiento de los activos, procesos y recursos tecnológicos de la organización. Además, permiten crear consciencia en la importancia de la seguridad de la información al personal que forma parte de la organización.


Caso práctico de una organización. 


Una organización que considera la necesidad de implementar un sistema de gestión de la seguridad de la información para así ofrecer confianza a sus clientes y proveedores respecto al manejo y aseguramiento de la información:

 

Se inicia realizando el inventario de activos de información de la organización y sobre ellos se realiza un análisis de riesgos a través del uso de NIST SP 800-30 e ISO/IEC 27005, definiendo amenazas y vulnerabilidades, se establecen así, los controles correspondientes siguiendo las buenas prácticas de ISO/IEC 27002.

 

Una ve****rminado el anterior grupo de actividades, se procede a identificar cómo se prestan los servicios en el área de Tecnologías de la Información (TI) dentro de la organización, evalúan temas de seguridad, y se procede a la gestión de estos servicios siguiendo las buenas prácticas de ITIL y CoBIT.  Se establece así, la administración y gestión del área de servicios de TI, siempre pensando en seguridad. 

 

Pero no se puede dejar de lado que la continuidad del negocio es primordial para toda organización, así que tomando como base BS 25999, se establecen los planes de continuidad, los comités y grupos asociados al proceso.

 

Así quedaría constituido un sistema de gestión de la seguridad de la información, que una vez auditada y evaluada, permitirá lograr la certificación en ISO/IEC 27001.

 

Conclusiones

 

Uno de los mayores errores que pueden presentarse es creer que el cumplimiento de una lista de chequeo o contar con un sello que certifica a una organización en estándares internacionales como ISO/IEC 27001 significa que es una organización segura. Por otra parte, es vital entender que este proceso de aplicación de normas o estándares a su vez tiene implicaciones adicionales, como la necesidad de constantes actualizaciones de acuerdo con los cambios que se presentan a nivel de los activos de información y tecnológicos a través de los que se accede a ésta.

 

Sin embargo, el seguimiento de los documentos y guías antes mencionados permiten en conjunto una creación de políticas y procedimientos que establecen controles de seguridad para la información y los activos asociados, brindando protección desde lo procedimental hasta lo técnico dentro de la organización, ofreciéndole confianza a nivel interno y externo gracias al nivel de seguridad provisto.

 

Entonces, podemos ver que existen múltiples opciones y podemos usarlas en conjunto o progresivamente para lograr así hablar de seguridad de la información.

 

Referencias:

 

[1]  http://www.iso.org/iso/home.html

[2]  http://www.ieee.org/index.html

[3]  https://mmujica.files.wordpress.com/2007/07/iso-27001-2005-espanol.pdf

[4]  https://mmujica.files.wordpress.com/2007/07/iso-17799-2005-castellano.pdf

[5]  http://www.27000.org/iso-27005.htm

[6]  http://www.isaca.org/Knowledge-Center/cobit/Documents/CobiT_4.1.pdf

[9]  http://download.huawei.com/edownload/enterprise/DSDPDownload!download.actionForTrain?contentType=M000002&partNo=e002&contentId=Node1000012754


  • x
  • convención:

Moderador Publicado 2019-7-18 13:58:20 Útil(0) Útil(0)
Excelente publicación sobre los diferentes estándares existentes para asegurar la información. En esta época digital proteger la información es de vital importancia para evitar caer en fraudes, que alguien use nuestra información sin nuestro permiso y tantos casos más. El reto de las organizaciones es implementar estas estándares para mejorar la seguridad de sus procesos pero que estos no interfieran con el desarrollo de las actividades porque de lo contrario seria inoperante. Gracias por compartir esta información en el foro y te invitamos a seguir publicando. Saludos.
  • x
  • convención:

Ingeniero%20en%20Comunicaciones%20y%20Electr%C3%B3nica%20con%2020%20a%C3%B1os%20de%20experiencia%20en%20el%20%C3%A1rea%20de%20las%20telecomunicaciones%20para%20voz%20y%20datos%2C%20comparto%20mi%20experiencia%20dando%20clases%20en%20la%20Universidad%20Polit%C3%A9cnica%20de%20Quer%C3%A9taro.
Publicado 2019-7-30 21:50:04 Útil(0) Útil(0)
Cuánto cuesta implementar ISO 27002?
  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje
Respuesta rápida Desplácese hasta arriba