114

Normas y Estndares

ISO 27000: Garantizar la Seguridad de la Informacin

LA IMPLANTACIN DE ESTA NORMA OFRECE GARANTAS DE PROTECCIN DE LA INFORMACIN PARA LAS EMPRESAS Y SUS CLIENTES

Dinnorah Surez
DIRECTORA GENERAL Genera, Formacin y Consultora GRUPO IFO, Instituto de Formacin Online

Medio y frica), Espaa ocupaba el segundo puesto, precedida nicamente por Alemania, con el mayor nmero de ordenadores infectados por bots o programas informticos que realizan diversas funciones imitando el comportamiento del ser humano. Estos alarmantes datos hacen que la implantacin de Sistemas de Gestin

en la Ley de Proteccin de Datos (LOPD), pudiendo por lo tanto fusionarse todos ellos dentro de un modelo de gestin cuyo eje principal es proteger la informacin que se trata da a da. Para poder obtener un nivel ptimo de seguridad, es necesario considerar aspectos que van ms all de la mera instalacin de un firewall o corta fuegos. Es imprescindible, como en todo sistema de gestin que se precie, la implicacin del personal en la implantacin de los distintos dispositivos y procesos, relacionados tanto con la actividad o negocio, como con los propios datos que se manejan, la integracin de las TI, el grado de seguridad de las instalaciones, el know how o saber hacer, y cmo no, la formacin y sensibilizacin de todos los trabajadores (incluyendo la direccin). Esto, en definitiva, forma parte de un SGSI. En cuanto a la Pymes, Fundetec destaca en su ltimo informe que alrededor de un 95% de las pequeas

odas las organizaciones, independientemente de su tamao, sector de actividad,

de la Seguridad de la Informacin

o localizacin geogrfica, poseen una preocupacin comn: la necesidad de preservar y custodiar de manera adecuada la informacin que manejan, llegando a ser sta en muchos casos factor determinante para su consolidacin y continuidad en el mercado actual, fidelizando al crear confianza entre los clientes. Sin embargo, el desarrollo de las Tecnologas de la Informacin, con el consecuente crecimiento de las redes digitales, hace que hoy en da la informacin se vea continuamente amenazada por diversos factores: virus, gusanos, piratas informticos, que acechan los sistemas informticos tras cada clic de ratn. Symantec Corp public el pasado septiembre su informe sobre Amenazas a la Seguridad en Internet correspondiente al primer semestre de 2007, en el que destac que dentro de la regin EMEA (Europa, Oriente

Disponibilidad, Confidencialidad e Integridad son la clave de la Seguridad de la Informacin de cualquier tipo de organizacin
(SGSI) se convierta en un factor decisivo a la hora de garantizar la supervivencia de las empresas espaolas a travs de la diferenciacin, aportando a la vez un valor aadido. Disponibilidad, Confidencialidad e Integridad son la clave de la Seguridad de la Informacin de cualquier tipo de organizacin, conceptos que se manejan igualmente

y medianas empresas afirman haber implantado un sistema de seguridad, pero sin haber realizado previamente un anlisis de los puntos crticos a considerar. Este hecho puede llevar a engao al empresario y a su equipo al desconocer sus debilidades y los mtodos de proteccin necesarios para salvaguardar su negocio de los actuales peligros.

n 25

septiembre 2008

115

Normas y Estndares
La necesidad de la certificacin
A travs de la familia de normas de la serie ISO 27000, las empresas asegurarn ante sus grupos de inters (principalmente a partners, clientes, trabajadores, proveedores, etc.), que han implementado medidas para garantizar una adecuada gestin de la seguridad de la informacin que tratan. As, la ISO 27001 podr llegar a formar parte de los requisitos a cumplir, por parte de las organizaciones, ante entidades, organismos y administracin pblica, de cara a garantizar un adecuado tratamiento de la informacin que manejan, asegurando niveles concretos y adecuados de seguridad para interrelacionar sistemas de clientes, control de stocks, facturacin, pedidos, productos, etc. Desde hace relativamente poco tiempo, la implantacin de sistemas de gestin relacionados con aspectos de seguridad en el mbito empresarial comienza a considerarse con la seriedad y rigurosidad que se merece. A corto plazo, con toda probabilidad, pasar a ser un factor imprescindible en la gestin interna de las organizaciones. Por ello, empresas consultoras especializadas ofrecen sus servicios para realizar implantaciones y auditoras internas de los SGSI, con el fin de que cada vez sean ms las entidades certificadas en el estndar ISO 27.001. El equipo destinado a la implantacin de la ISO 27001 debe estar formado por representantes de todas las reas de la empresa/institucin que se vean afectadas por el SGSI, liderado por la direccin y asesorado por consultores externos especializados en Seguridad Informtica, Derecho de las Nuevas Tecnologas, Proteccin de Datos y Sistemas de Gestin, El tiempo de implantacin de esta norma en una organizacin de tamao medio oscila entre los seis y los doce meses, en funcin del grado de avance en materia de Seguridad de la Informacin y de su alcance.

Familia ISO 27000

A semejanza de otras familias de normas ISO, la 27000 est formada por: ISO 27000: Contendr trminos y definiciones que se emplean en toda la serie 27000. La aplicacin de cualquier estndar necesita de un vocabulario claramente definido. ISO 27001. Es la norma principal de la serie y contiene los requisitos del Sistema de Gestin de Seguridad de la Informacin. En su Anexo A, enumera en forma de resumen los objetivos de control y controles que desarrolla la ISO 27002:2005 para que sean seleccionados por las organizaciones en el desarrollo de sus SGSI. ISO 27002: Desde el 1 de Julio de 2007. Es una gua de buenas prcticas que describe los objetivos de control y controles recomendables en cuanto a Seguridad de la Informacin. No es certificable. ISO 27003: Consistir en una gua de implementacin de SGSI e informacin acerca del uso del modelo PDCA y de los requerimientos de sus diferentes fases. ISO 27004: Especificar las mtricas y las tcnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles relacionados. ISO 27005: Consistir en una gua de tcnicas para la gestin del riesgo de la Seguridad de la Informacin y servir, por tanto, de apoyo a la ISO 27001 y a la implantacin de un SGSI. ISO 27006: Especifica los requisitos para la acreditacin de entidades de auditora y certificacin de Sistemas de Gestin de Seguridad de la Informacin. ISO 27007: Consistir en una gua de auditora de un SGSI. ISO 27011: Consistir en una gua de gestin de seguridad de la informacin especfica para telecomunicaciones. ISO 27031: Consistir en una gua de continuidad de negocio en cuanto a tecnologas de la informacin y comunicaciones. ISO 27032: Consistir en una gua relativa a la ciberseguridad. ISO 27033: Es una norma consistente en 7 partes: gestin de seguridad de redes, arquitectura de seguridad de redes, escenarios de redes de referencia, aseguramiento de las comunicaciones entre redes mediante gateways, acceso remoto, aseguramiento de comunicaciones en redes mediante VPNs y diseo e implementacin de seguridad en redes. ISO 27034: Consistir en una gua de seguridad en aplicaciones. ISO 27799: Es un estndar de gestin de seguridad de la informacin en el sector.

n 25

septiembre 2008