Estándares de Seguridad Informatica

¿Qué estándares de seguridad informática existen?   

  Estándares de las Políticas de Seguridad Informática

A semejanza de otras normas ISO, la 27000 es realmente una serie de estándares. A continuación se incorpora una relación con la serie de normas ISO 27000 y una descripción de las más significativas:

UNE-ISO 27001

Esta norma es la definición de los procesos de gestión de la seguridad, por lo tanto, es una especificación para un SGSI y, en este momento, es la única norma Certificable, dentro de la familia ISO 27000.

ISO 27002

La ISO 27002 viene a ser un código de buenas prácticas en el que se recoge un catálogo de los controles de seguridad y una guía para la implantación de un SGSI.

Cada uno de los dominios conforma un capítulo de la norma y se centra en un determinado aspecto de la seguridad de la información. En el siguiente dibujo se muestra la distribución de dichos dominios y el aspecto de seguridad que cubren:

ISO 27002 (documentación)

La pretensión de esta normativa es la elaboración de un SGSI que minimice los riesgos que se hayan detectado en los Análisis de Riesgos hasta un nivel asumible por la organización, en relación siempre a los objetivos de negocio. Es importante destacar que cualquier medida de protección que se haya implantado debe quedar perfectamente documentada.

La documentación que se genera con la implantación del SGSI se estructurará de la siguiente forma:

Tipos de documentación.

     Donde las Políticas sientan las bases de la seguridad constituyendo la redacción de los objetivos generales y las implantaciones que ha llevado a cabo la organización. Pretenden indicar las líneas generales para conseguir los objetivos marcados sin entrar en detalles técnicos. Deben ser conocidas por todo el personal de la organización.

      Los Procedimientos desarrollan los objetivos marcados en la Políticas. En ellos sí que aparecerían detalles más técnicos y se concreta cómo conseguir los objetivos expuestos en las Políticas. No es necesario que los conozcan todas las personas de la organización sino, únicamente, aquellas que lo requieran para el desarrollo de sus funciones.

     Las Instrucciones constituyen el desarrollo de los Procedimientos. En ellos se llega hasta describir los comandos técnicos que se deben realizar para la ejecución de dichos Procedimientos.

    Y por último los Registros evidencian la efectiva implantación del SGSI y el cumplimiento de los requisitos. En este punto también es importante el contar con una serie de indicadores o métricas de seguridad que permitan evaluar la consecución de los objetivos de seguridad establecidos.

El Estandar ISO 17799 (El mismo 27002)

      El estándar de seguridad ISO 17799 fue preparado por la British Standard Institution (con el nombre de BS 7799) y fue adoptado por el comité técnico de la ISO en Diciembre del año 2000.

Directrices del estándar 17799

     ISO/IEC 17799 proporciona recomendaciones de las mejores prácticas en la gestión de la seguridad de la información a todos los interesados y responsables en iniciar, implantar o mantener sistemas de gestión de la seguridad de la información. La seguridad de la información se define en el estándar como "la preservación de la confidencialidad (asegurando que sólo quienes estén autorizados pueden acceder a la información), integridad (asegurando que la información y sus métodos de proceso son exactos y completos) y disponibilidad (asegurando que los usuarios autorizados tienen acceso a la información y a sus activos asociados cuando lo requieran)".

La versión de 2005 del estándar incluye las siguientes once secciones principales:

1.       Política de Seguridad de la Información.

2.       Organización de la Seguridad de la Información.

3.       Gestión de Activos de Información.

4.       Seguridad de los Recursos Humanos.

5.       Seguridad Física y Ambiental.

6.       Gestión de las Comunicaciones y Operaciones.

7.       Control de Accesos.

8.       Adquisición, Desarrollo y Mantenimiento de Sistemas de Información.

9.       Gestión de Incidentes en la Seguridad de la Información.

10.   Gestión de Continuidad del Negocio.

11.   Cumplimiento.

   Dentro de cada sección, se especifican los objetivos de los distintos controles para la seguridad de la información. Para cada uno de los controles se indica asimismo una guía para su implantación. El número total de controles suma 133 entre todas las secciones aunque cada organización debe considerar previamente cuántos serán realmente los aplicables según sus propias necesidades.

   Con la aprobación de la norma ISO/IEC 27001 en octubre de 2005 y la reserva de la numeración 27.000 para la seguridad de la información, se espera que ISO/IEC 17799:2005 pase a ser renombrado como ISO/IEC 27002 en la revisión y actualización de sus contenidos en el 2007.