Administración y TIC

lunes, mayo 15, 2006

La ISO 17799


Debido a la necesidad de asegurar la información que poseen las organizaciones era precisa la existencia de alguna normativa o estándar que englobase todos los aspectos a tener en consideración por parte de las organizaciones para protegerse eficientemente frente a todos los probables incidentes que pudiesen afectarla, ante esta disyuntiva apareció el BS 7799, o estándar para la gestión de la seguridad de la información, un estándar desarrollado por el British Standard Institute en 1999 en el que se engloban todos los aspectos relacionados con la gestión de la seguridad de la información dentro de la organización. Esta normativa británica acabó desembocando en la actual ISO/IEC 17799:2000 – Code of practice information security management.

En un principio se consideraba por parte de las empresas que tenían que protegerse de lo externo, de los peligros de Internet, pero con el paso del tiempo se están percatando de que no sólo existen este tipo de amenazas sino que también hay peligros dentro de la organización y todos éstos deberían ser contemplados a la hora de asegurarse.
La aparición de esta normativa de carácter internacional ha supuesto una buena guía para las empresas que pretenden mantener de forma segura sus activos.

La ISO/IEC 17799:2000 considera la organización como una totalidad y tiene en consideración todos los posibles aspectos que se pueden ver afectados ante los posibles incidentes que puedan producirse. Esta norma se estructura en 10 dominios en los que cada uno de ellos hace referencia a un aspecto de la seguridad de la organización:

1. Política de Seguridad, donde se establecen las directrices gerenciales en materia de seguridad.

2. Organización de recursos y activos de la información, para sentar las correctas bases de la gestión de la seguridad dentro de la empresa.

3. Clasificación y control de activos de la información, donde se pretende inventariar los activos a proteger así el establecimiento de las correctas medidas de protección.

4. Seguridad ligada al personal, con el fin de tratar aspectos relativos a la seguridad vinculada a los recursos humanos: confidencialidad, accesos no permitidos, fugas de información, etc.

5. Seguridad física y del entorno, donde se establecen las pautas correspondientes a la seguridad de las instalaciones físicas.

6. Gestión de las comunicaciones y las operaciones, con la idea de asegurar el procesado de la información.

7. Control de acceso, en el que se establecen privilegios y autorizaciones para acceder a los recursos.

8. Desarrollo y mantenimiento de sistemas, que serán los recipientes principales de la gestión de la seguridad.

9. Gestión de la continuidad de los negocios, donde se establecen planes de recuperación y minimización del impacto ante discontinuidades en los procesos críticos de la empresa.

10. Conformidad legal, donde se observa el cumplimiento con la legislación vigente según la localización territorial de la empresa.

En resumen esta norma pretende aportar las bases para tener en consideración todos y cada uno de los aspectos que puede suponer un incidente en las actividades de negocio de la organización.

Esta norma es aplicable a cualquier empresa, sea cual sea el tamaño, la actividad de negocio o el volumen del mismo, esto es lo que se denomina el principio de proporcionalidad de la norma, es decir que todos los aspectos que aparecen en la normativa deben ser contemplados y tenidos en cuenta por todas las organizaciones a la hora de proteger sus activos, y la diferencia radicará en que una gran organización tendrá que utilizar más recursos para proteger activos similares a los que puede poseer una pequeña organización.

De la misma forma, dos organizaciones que tengan actividades de negocio muy diferentes, no dedicarán los mismos esfuerzos a proteger los mismos activos/informaciones. En pocas palabras, esta norma debe tenerse como guía de los aspectos que deben tener controlados y no quiere decir que todos los aspectos que en ella aparecen tienen que ser implementados con los últimos avances, eso dependerá de la naturaleza de la propia organización.

La ISO/IEC 17799:2000 es una guía de buenas prácticas, lo que quiere decir que no especifica como se deben proteger los aspectos que aparecen indicados en ella, ya que estas decisiones dependerán de las características de la organización. Es por ello que hasta hace poco no era posible que las organizaciones se puedan certificar contra este estándar, ya que no posee las especificaciones para ello.

Recientemente, el 17 de mayo de 2005, ha visto la luz una ampliación denominada "Security techniques" dentro del marco que brinda ISO 17799:2000.
Así mismo esta normativa internacional ha servido a su vez como precursora para otras de carácter nacional y en el caso de España, en noviembre de 2002 ya surgió la normativa UNE-ISO/IEC 17799 Código de buenas prácticas para la Gestión de la Seguridad de la Información elaborada por AENOR y que a su vez está desarrollando la segunda parte de esta normativa para que las empresas de ámbito nacional puedan certificarse contra ella.

Como conclusiones se puede decir que la normativa ISO/IEC 17799:2000 debe ser utilizada como un índice de los puntos que pueden provocar algún tipo de incidente de seguridad en una organización para que éstas se puedan proteger de los mismos, sin olvidarse aquellos que puedan parecer más sencillos de controlar hasta llegar a los que pueden suponer un mayor dispendio de recursos a las organizaciones.
publicado por Xoan at 9:18 a. m.

0 Comments:

Add a comment