Actualización de la Norma ISO 17799:2005 y Creación de la ISO 27001:2005
En seguridad de la información la referencia obligada a nivel internacional es la norma ISO 17799:2000, que incluye la seguridad informática. Originariamente el primer estándar en seguridad de la información fue desarrollado en los años 1990, en Inglaterra, como respuesta a las necesidades de la industria, el gobierno y las empresas para fomentar un entendimiento común sobre el tema y establecer lineamientos generales. En 1995, el estándar BS 7799 es oficialmente presentado. En 1998 se establecen las características de un Sistema de Gestión de la Seguridad de la Información (SGSI) que permita un proceso de certificación, conocida como BS 7799 parte 2.
Recién en diciembre del 2000 la organización de estándares internacionales (ISO) incorpora la primera parte de la norma BS 7799, rebautizada como ISO 17799, la cual se presenta bajo la forma de notas de orientación y recomendaciones en el área de Seguridad de la información.
En el año 2005 hubo cambios interesantes a nivel de ISO 17799 y de COBIT (con su nueva versión 4.0). En cuanto a la norma ISO, las novedades son más que interesantes. Hasta ahora muchas compañías se alineaban a la 17799:2000 y luego tenían que certificar la norma BS 7799:2002 dado que ISO no había reglamentado las características de un Sistema de Gestión de Seguridad de la Información.
La buena noticia es que a partir de ahora se podrá certificar con la nueva norma ISO/IEC 27001.
Entonces, hoy el marco teórico es la ISO/IEC 17799:2005 y el marco práctico paso a ser la ISO/IEC 27001:2005. Esta última define el Sistema de Gestión de la Seguridad de la Información (SGSI). Con estos cambios la ISO 17799:2005 que con el tiempo deberá ser reemplazada por la ISO 27001 marco teórico, se incluyen novedades importantes:
1. Se agrega un nuevo dominio (“Administración de incidentes de la seguridad de la información”), es decir que ahora son 11 dominios.
2. Un marco teórico más fácil de aplicar, ya que cada dominio incluye el objetivo de control específico, el marco de implementación y un anexo de información adicional. Esto permite establecer un tablero de control más simple e incluso auditarlo con COBIT.
3. Se han realizado actualizaciones tecnológicas, ya que la última revisión era del año 2002, y recordemos que un año la tecnología cambia bastante. Por ejemplo en el dominio que hace referencia al control de acceso (Dominio 7), se incluye los controles sobre redes inalámbricas y tecnologías similares que deben estar incluidas como controles en las políticas de seguridad.
4. Se ha incluido un control sobre la entrega de servicios por terceras partes (Service Delivery). Si bien algo se mencionaba en la versión anterior, se han reformulado las definiciones.
5. Se ha incluido un apartado sobre el aceptable uso de los activos. Recordemos que muchas veces por implementar escenarios muy seguros, hacemos imposible el uso del recurso para el usuario que debe accederlo.
6. Se agrega un apartado sobre la gestión de riesgo. No olvidemos, que si bien toda compañía debe tener un nivel de riesgo aceptado, la idea de la NORMA ISO 27001:2005 es definir el manejo de riesgo de la compañía. La seguridad total no existe, por lo tanto debemos tener definido como actuar ante una situación especial.
7. Incluye referencias importantes con el manejo de contraseña.
8. En COBIT figuraba el manejo de código fuente dentro los controles. Esta vez ISO ha incluido ese manejo dentro de los dominios.
9. Se ha agregado un apartado para el manejo de vulnerabilidades.
Sin dudas, esta versión es más fácil de interpretar y de llevarla a la práctica, ya que son más claros los objetivos de cada uno de los controles de los dominios.
Recuerden, que como toda norma ISO, es una visión holística y toda la compañía deberá acompañar el proceso de certificación. El primer gran logro que deben obtener, es la confirmación por escrito de la gerencia que se desea lograr la alineación del estándar.
Mas allá de los deseos o necesidades de certificar ISO 27001, recomendamos a las compañías, usar estas nuevas versiones como guía y descartar las versiones anteriores. Obtener un buen sistema de gestión de la información no depende de la tecnología que utilicemos en nuestra empresa, sino en mayor medida de los procesos y las personas involucradas, con el objetivo de preservar el valor actual y futuro de nuestras organizaciones.
Finalmente recordemos que será un proyecto de cambio organizacional con múltiples facetas, incluido un alto componente de consideraciones legales.
Autores:
Lic. Enrique Dutra - Punto NET Soluciones
Ing. Jorge Ronchese - SUIVANT
4 comentarios:
Excelente material.
Podràn publicar cuando hay eventos sobre la ISO.
Saludos
German
Estimados amigos:
Les contacto para ofrecerles mi blog como fuente de información e intercambio de posibles experiencias o informaciones.
Saludos.
Familia ISO 27000: Seguridad de la información.
ISO reservó la numeración desde 27001 a 27010 para la familia de normas de seguridad.
La idea es que queden como sigue:
- 27001: Requerimientos del SGSI (modelo certificable en seguridad de la información).
- 27002: La actual ISO 17799:2005 (buenas prácticas en seguridad) se agregará a la familia 27000 y cambiará su numeración.
- 27003: Gestión del Riesgo en el SGSI (ya hay un documento base creado por el BSI).
- 27004: Métricas y mediciones del SGSI.
- 27005: Guía de implementación del SGSI.
- 27006 a 27010: Numeración reservada para otros temas dentro de la seguridad de la información.
Saludos,
RDA.
RDA ISO 2006 será referente a Continuidad de Negocio y Recuperación ante Desastres. Cómo está la situación a corto o medio plazo podéis consultarlo en este post que hice en mi blog ISO 27001 en su día. Te recomiendo su lectura.
Saludos.
José Manuel Fernández
Publicar un comentario