Gestión de la seguridad de la información - deGerencia.com

Gestión de la seguridad de la información

En la actualidad, cada vez menos las inversiones en seguridad que realizan las empresas se están destinando exclusivamente a la compra de productos, sino que comienzan a dotar parte de su presupuesto para destinarlo a la gestión de la seguridad de la información. El concepto de seguridad ha variado, acuñándose un nuevo concepto: “seguridad gestionada”, que ha desbancado al de “seguridad informática”. Las medidas que comienzan a tomar las empresas giran entorno al nuevo concepto de gestión de la seguridad de la información. Éste tiene tres vertientes técnica, legal y organizativa, es decir un planteamiento coherente de directrices, procedimientos y criterios que permiten desde la dirección de las empresas asegurar la evolución eficiente de la seguridad de los sistemas de Información, la organización afín y sus infraestructuras. Para gestionar la seguridad de la información de una entidad se debe partir de una premisa fundamental y es que “la seguridad absoluta no existe”. Tomando como referencia esta máxima, una entidad puede adoptar alguna de las normas existentes en el mercado que establecen determinadas reglas o estándares que sirven de guía para gestionar la seguridad de la información. El presente artículo se va a centrar en una de ellas, concretamente en la norma UNE 71502 / ISO 17799.

La norma UNE/ISO/IEC 17999 es un código de buenas prácticas para gestionar la seguridad de la información de una organización, de tal forma que le permita en todo momento la confidencialidad, integridad y disponibilidad de la información que maneja. La creación de esta norma responde a la necesidad de proporcionar una base común, a las organizaciones, de normas y recomendaciones desde la triple óptica técnica, organizativa y jurídica, y cuyo cumplimiento implique mediante una acreditación que dicha organización mantiene una infraestructura y un esquema de funcionamiento que garantizan la seguridad de la información que manejan.

Esta norma tiene su origen en el British Standard BS 7799. Esta norma británica está constituida por un código de buenas prácticas y un conjunto de controles o requerimientos que han sido adoptados por numerosas empresas a nivel mundial con el objeto de conseguir una certificación en seguridad de la información por parte de BSI (British Standard Institute) a través de la cual pueden acreditar frente a terceros (clientes, proveedores…etc) que la empresa maneja su información de forma segura, fijándose de este modo un criterio que determina la confianza en la entidad. La primera parte del BS 7799 (Part I) fue propuesta como un estándar ISO en octubre de 1999. Su aprobación se produjo en octubre del año siguiente, de forma tal que en diciembre del año 2000 fue publicado el ISO/IEC 17799. Esta norma constituye un código de buenas prácticas sin que sea posible obtener una certificación en base a sus disposiciones, puesto que todavía no ha sido aprobado la segunda parte de esta norma ISO.

En España se tomó la iniciativa de desarrollar una norma a través de la cuál, las empresas españolas puedan obtener una certificado similar al del BSI. En este sentido, el organismo encargado de desarrollar una norma equivalente al ISO/ IEC 17799 en nuestro país es AENOR a través del Subcomité 27 de Seguridad de la Información, dependiente del Comité Técnico de Normalización (CTN 71). De este modo, en diciembre del 2002 fue publicada la UNE 71501, esta primera parte es el fiel reflejo de la BS 7799 (Part 1) y de la ISO / IEC 17799 (Parte I), constituyendo en sí misma un código de buenas prácticas cuyo objetivo es servir como instrumento a las empresas para gestionar la seguridad de la información.

Para que las empresas puedan ser certificadas sobre la base de estos códigos de buenas prácticas es preciso el establecimiento de una norma que establezca los criterios o especificaciones que deben reunir los sistemas de gestión de la seguridad de la información (SGSI). Nuevamente, Gran Bretaña fue la pionera publicando la BS 7799 (Part 2) que establece los criterios que debe reunir un SGSI para ser certificable. En Europa, el proceso va más lento y se espera que la ISO /IEC 17799 (Parte II) vea la luz a lo largo del 2007. En lo que se refiere a España, el 23 de junio de 2003, en reunión extraordinaria del Subcomité 27 se aprobó la UNE 71502 “Especificaciones para los sistemas de gestión de la seguridad de la información”, decisión que fue ratificada por el CTN 71. Tras pasar por el correspondiente trámite de información pública y haber resuelto los comentarios el Subcomité 27 fue aprobada definitivamente por el CTN y editada definitivamente por AENOR, en febrero de 2004.

Por tanto actualmente, España al igual que Gran Bretaña cuenta con una norma certificable (UNE 71502), de tal forma que cualquier empresa, que lo desee ya que el sometimiento a los requerimientos que se establecen es voluntario, podrá someterse a los procedimientos fijados para obtener un certificado en materia de gestión de la seguridad de la información, en el que al igual que ocurre en cuanto a calidad, con la norma ISO 9001 constituirá una garantía frente a terceros de que ésta establece unos controles y medidas suficientes, tanto legales, como organizativas y técnicas para mantener la confidencialidad, integridad y disponibilidad de toda la información que es manejada dentro de la entidad. El objeto de esta norma es establecer las especificaciones para que una empresa desarrolle un SGSI que pueda ser certificado por una entidad independiente.

La norma básicamente comprende los siguientes aspectos.

  • Política de Seguridad
  • Organización de la Seguridad
  • Clasificación y control de activos de información
  • Gestión de la Seguridad de la información y el personal
  • Seguridad física y del entorno
  • Gestión de comunicaciones y operaciones
  • Control de acceso
  • Mantenimiento y desarrollo de sistemas
  • Gestión de la Continuidad del negocio
  • Conformidad

Estas 10 secciones en las que está organizada la norma se dividen a su vez en 127 controles (jurídicos, técnicos y organizativos).

A la hora de que una empresa decida guiar la gestión de la seguridad de la información sobre los postulados de esta norma en primer lugar deberá llevar a cabo una labor de consultoría tendente a que la entidad cumpla con los parámetros que fija la norma. Para ello deberá en líneas generales:

  1. Definir el alcance del SGSI, es decir sobre qué proceso o procesos va a actuar ya que no es necesario la aplicación de la norma a toda la entidad.
  2. Identificar los activos de información
  3. Realizar un análisis de riesgos, el cual determinará las amenazas y vulnerabilidades de los activos de información previamente inventariados.
  4. Selección de controles
  5. Determinar, bajo el principio de proporcionalidad, las medidas correctoras a adoptar para paliar las deficiencias o anomalías detectadas.
  6. Generar la documentación: Política de Seguridad, procedimientos básicos de gestión de la seguridad de la información, protocolos de actuación, registros…etc

Una vez que la empresa ha realizado todas las actuaciones tendentes al cumplimiento de las recomendaciones establecidas en la norma podrá solicitar, si así lo estima conveniente, a una entidad certificadora que acredite dicho cumplimiento.

Con anterioridad a que las entidades independientes (certificadoras) puedan dictaminar la situación de una empresa en relación a la norma, la Entidad Nacional de Acreditación (ENAC) debe crear un esquema de certificación al que las entidades certificadoras deben someterse. Concretamente, en junio de 2004, ENAC publicó una nota informativa (disponible en su página web www.enac.es) en la que establece que “los criterios de acreditación para certificadores de sistemas de gestión de la seguridad de la información están recogidos en la norma UNE-EN 45012 “Requisitos generales para entidades que realizan la evaluación y certificación de sistemas de la calidad”. (Guía ISO/CEI 62) y en el documento EA-7/03 “Guidelines for the Accreditation of bodies operating certification/ registration of Information Security Management Systems”. Este ultimo documento, elaborado por un grupo de trabajo de European Co-operation for Accreditation (EA), recoge explicaciones para la aplicación de la norma EN 45012 en el campo de los Sistemas de Gestión de la Seguridad de la Información (SGSI).” Actualmente, ninguna certificadora está acreditada por ENAC, por tanto los certificados que emiten son propios; no obstante, alguna de las entidad certificadora está acreditada ante BSI puede emitir certificados en materia de gestión de seguridad de la información conforme a la BS.

Jesús Sánchez Echeverría

Avatar

Audea

ÁUDEA, SEGURIDAD DE LA INFORMACIÓN, S.L., ha nacido con una clara vocación de ser referente obligado en la prestación de los servicios jurídicos-informáticos especializados en protección de datos y gestión de la seguridad de la información Compuesta por un equipo joven y dinámico altamente especializado, Áudea está orientada a prestar...

Más sobre Audea

Un comentario sobre “Gestión de la seguridad de la información

  • Avatar
    el marzo 8, 2018 a las 5:56 pm
    Permalink

    El Articulo es bueno. pero les pido porfavor si pudiera enviarme a mi correo temas sobre seguridad informatica para mi tesis gracias

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Este artículo es Copyright de su autor(a). El autor(a) es responsable por el contenido y las opiniones expresadas, así como de la legitimidad de su autoría.

El contenido puede ser incluido en publicaciones o webs con fines informativos y educativos (pero no comerciales), si se respetan las siguientes condiciones:

  1. se publique tal como está, sin alteraciones
  2. se haga referencia al autor (Audea)
  3. se haga referencia a la fuente (degerencia.com)
  4. se provea un enlace al artículo original (https://degerencia.com/articulo/gestion_de_la_seguridad_de_la_informacion/)
  5. se provea un enlace a los datos del autor (https://www.degerencia.com/autor/audea)