Normas para la implantación de Políticas y Procedimientos de Seguridad

Con el constante desarrollo y progreso acelerado de la tecnología, muchas organizaciones no han querido retrasarse a estos eventos, para lo cual implantaron e invirtieron gran parte de su tiempo y presupuesto en modernizar y mejorar su plataforma tecnológica. Muchas de estas compañías al concentrarse en los avances tecnológicos, pueden haber perdido de vista uno de los principales pilares para garantizar la seguridad e integridad de la información: las políticas y procedimientos del área de tecnología, relacionados con la administración y seguridad de la información.


Los gerentes de seguridad de la información tuvieron que esperar mucho tiempo para que alguien tomara el liderazgo en producir un conjunto de normas de seguridad de la información que estuviera sujeto a auditoría y fuera reconocido globalmente. Se cree que un código de normas de la seguridad apoyaría los esfuerzos de los gerentes de tecnología de la información en el sentido que facilitaría la toma de decisión de compra, incrementaría la cooperación entre los múltiples departamentos por ser la seguridad el interés común en la organización, y además, ayudaría a consolidar la seguridad como prioridad empresarial.

A raíz del avance progresivo de la tecnología (sistemas operativos, bases de datos, aplicaciones, comunicaciones, correo electrónico, Internet, etc.) y al nacimiento de las diferentes necesidades de cada compañía, un importante número de profesionales se dedicaron a analizar y diseñar normas para la administración de las diferentes plataformas informáticas. British Standard en 1995 desarrolló la norma para la Administración de Seguridad de los Sistemas de Información (BS7799). En su primera edición, recibió muchas críticas por simplista, poco flexible y porque existían varios temas a los que las grandes compañías tenían asignados todos sus recursos y presupuesto (principalmente el cambio de milenio). Posteriormente, en mayo de 1999, se publica la segunda versión y es adoptada por Australia, Nueva Zelanda, Los Países Bajos, Noruega, Sudáfrica y Suecia. Luego de un proceso de benchmarking realizado por la International Standard Organization (ISO), se transformó en la norma ISO 17799.

La norma ISO 17799 es una compilación de recomendaciones sobre prácticas exitosas de seguridad, aplicable en toda organización independientemente de su tamaño, sector, y sistemas informáticos utilizados. Esta norma fue redactada intencionalmente para que fuera flexible y nunca indujo a la aplicación de una solución de seguridad específica para lograr su cumplimiento. Uno de los principales objetivos de la norma ISO 17799, es proteger la confidencialidad, integridad y disponibilidad de la información escrita, almacenada, y transferida.

Desde su publicación por parte de la Organización Internacional de Normas (ISO, por sus siglas en inglés), en diciembre de 2000, surge ISO 17799 como la norma técnica de seguridad de la información reconocida a nivel mundial: ISO 17799 se define como "un completo conjunto de controles que incluye las prácticas exitosas de seguridad de la información".

Marco de las recomendaciones

Las recomendaciones de la norma técnica ISO 17799 son neutrales en cuanto a la tecnología. Así por ejemplo, la norma discute la necesidad de contar con firewalls, pero no profundiza sobre los tipos de firewalls y cómo se utilizan, lo que conlleva a que algunos detractores de la norma digan que ISO 17799 es muy general y que tiene una estructura muy imprecisa y sin valor real.

La flexibilidad e imprecisión de ISO 177999 es intencional por cuanto es difícil contar con una norma que funcione en una variedad de entornos de tecnología de la información y que sea capaz de desarrollarse con el cambiante mundo tecnológico. ISO 177999 simplemente ofrece un conjunto de reglas a un sector donde no existían. El enfoque está basado más en un método efectivo para diseñar, comunicar y mantener las políticas y procedimientos de seguridad, frente a las necesidades actuales:

> Los usuarios necesitan políticas de seguridad claras y disponibles.
> Los administradores necesitan técnicas de seguridad y control.
> Los administradores de seguridad necesitan un entorno flexible para mantener y comunicar las políticas de seguridad.
> Los recursos tecnológicos deben estar disponibles para todos los usuarios.
> Debe contarse con métodos para garantizar la integridad, seguridad, validez y disponibilidad de la información.


Las diez áreas de control de ISO 17799, basado en el estándar británico

Como hemos mencionado, la norma técnica ISO 17799, proporciona una serie de estándares reconocidos mundialmente sobre las áreas que se muestran en la Figura N° 1.





Figura N°: Las 10 áreas que abarca la norma técnica

Política de seguridad: Se necesita una política que refleje las expectativas de la organización en materia de seguridad a fin de suministrar administración con dirección y soporte. La política también se puede utilizar como base para el estudio y evaluación.

Organización de la seguridad: Sugiere diseñar una estructura de administración dentro la organización que establezca la responsabilidad de los grupos en ciertas áreas de la seguridad y un proceso para el manejo de respuesta a incidentes. Esta sección considera las políticas generales de la organización y detalla cómo se debe administrar la seguridad de la información dentro de la compañía. Asimismo, define cómo mantener la seguridad de las instalaciones de procesamiento de información y los activos informáticos accedidos por terceros, (proveedores, clientes, etc.).

Control y clasificación de los recursos de información: Detalla los elementos de la compañía (servidores, PCs, medios magnéticos, información impresa, documentos, etc.), que deben ser considerados para establecer un mecanismo de seguridad, manteniendo una protección adecuada, garantizando que reciban un nivel adecuado de protección. En este sentido, los activos deben ser clasificados en: confidenciales, privados, de uso interno y de uso público. Para cada clasificación se debe implantar mecanismos adecuados de seguridad de acuerdo a su importancia.

Seguridad del personal: Establece la necesidad de educar e informar a los empleados actuales y potenciales sobre lo que se espera de ellos en materia de seguridad y confidencialidad de la información que manejan. También determina cómo incide el papel que desempeñan los empleados como co-responsables de la seguridad de la información. En esta sección se busca minimizar los riesgos ocasionados por el personal, tales como hurto y manipulación de la información, fraudes y mal uso de la plataforma tecnológica. Su propósito es crear conciencia en los usuarios sobre los riesgos que pueden amenazar a la información, para lo cual considera mecanismos y medios para informar y capacitar periódicamente a todos los usuarios (personal interno de la compañía y personal que brinde servicios) de todas las políticas, y establecer mecanismos de prevención, identificación, notificación y corrección de posibles incidentes de seguridad.

Seguridad física y ambiental: Responde a la necesidad de proteger las áreas, los equipos y los controles generales. El objetivo principal es la prevención de accesos no autorizados a las instalaciones de la compañía, con especial atención a todos los sitios en los cuales se procesa información (centros de cómputo, PC de usuarios críticos, equipos de los proveedores de servicios, etc.), y áreas en las cuales se recibe o se almacena información (magnética o impresa) sensitiva (fax, áreas de envío y recepción de documentos, archivadores, etc.), minimizando riesgos por pérdidas de información, hurto, daño de equipos y evitando la interrupción de las actividades productivas.

Manejo de las comunicaciones y las operaciones: Define las políticas y procedimientos para asegurar la correcta operación de las instalaciones de procesamiento (servidores y equipos de comunicación). Los objetivos de esta sección se pueden enumerar como sigue:

1. Asegurar la protección y el funcionamiento correcto de las instalaciones de procesamiento de la información.
2. Minimizar el riesgo de falla de los sistemas.
3. Proteger la integridad del software y la información.
4. Conservar la integridad y disponibilidad del procesamiento y transmisión de la información.
5. Garantizar la protección de la información en las redes y de la infraestructura de soporte.
6. Evitar daños a los recursos de información e interrupciones en las actividades de la compañía.

Control de acceso: Establece la importancia de monitorear y controlar el acceso a la red y los recursos de aplicación para protegerlos contra los abusos internos e intrusos externos. Asimismo, establece los diferentes tipos de accesos o privilegios a los recursos informáticos (sistema operativo, aplicaciones, correo electrónico, Internet, comunicaciones, conexiones remotas, etc.) que requiere cada empleado de la compañía y el personal externo que brinda servicios, en concordancia con sus responsabilidades. Esto permitirá identificar y evitar acciones o actividades no autorizadas, garantizando los servicios informáticos.

Desarrollo y mantenimiento de los sistemas: Establece la necesidad de implantar medidas de seguridad y aplicación de controles de seguridad en todas las etapas del proceso de desarrollo y mantenimiento de los sistemas de información. Además, considera los mecanismos de seguridad que deben implantarse en el proceso de adquisición de todos los sistemas o aplicaciones de la compañía (protección de archivos, programas, base de datos, políticas de cifrado, etc.), para prevenir pérdidas, modificaciones, o eliminación de los datos, asegurando así la confidencialidad e integridad de la información.

Manejo de la continuidad del negocio: Considera el análisis de todos los procesos y recursos críticos del negocio, y define las acciones y procedimientos a seguir en casos de fallas o interrupción de los mismos, evitando la pérdida de información y la cancelación de los procesos productivos del negocio, lo que podría provocar un deterioro de la imagen de la compañía, una posible pérdida de clientes o incluso una dificultad severa que impida continuar operando.

Cumplimiento: Imparte instrucciones a las organizaciones para que verifiquen si el cumplimiento con la norma técnica ISO 17799, concuerda con otras leyes, reglamentos, obligaciones contractuales o cualquier requerimiento de seguridad, tales como propiedad intelectual, auditorías, contrato de servicios, etc. Esta sección también requiere una revisión a las políticas de seguridad, al cumplimiento y a las consideraciones técnicas; asimismo, busca garantizar que las políticas de seguridad sean acordes a la infraestructura tecnológica de la compañía.

Existen además Políticas de cifrado que especifican todos los criterios que se deben considerar para determinar qué tipo de información se debe almacenar en un formato ilegible (método de cifrado) para evitar que personas no autorizadas puedan acceder a la misma y Políticas de comercio electrónico que establece todas las consideraciones que se deben adoptar si la compañía posee presencia en Internet y cuenta con prácticas de comercio electrónico.

Tomando en cuenta las áreas que cubre esta norma técnica, si una organización no ha adoptado un programa de protección definido de la información, ISO 17799 puede servir de parámetro para que lo defina, e incluso, puede servirle de guía para configurar la política de seguridad de su empresa. En todo caso, es importante tener en cuenta que ISO 17799 es un buen esquema de seguridad que su empresa puede adoptar.

En general, las mejores prácticas son simplemente la mejor manera de cumplir con un proceso de negocio; y a su vez representan la manera en que las compañías líderes han alcanzado ser exitosas, logrando obtener muchos beneficios. Algunos de los beneficios perseguidos por las organizaciones al adoptar, mantener y comunicar un marco de referencia son:

> Presentan una ventaja significativa desde la perspectiva de la seguridad y control sobre aquellas que carecen de dicho marco de referencia.
> Si se utiliza un criterio estándar para la configuración y administración de los sistemas de la organización, se puede minimizar la posibilidad de que una debilidad en uno de ellos pueda comprometer los controles de acceso de los restantes (pese a que éstos cuenten con medidas de seguridad robustas) explotando sus vínculos habituales.
> Adoptando estándares y marcos de referencia comunes, la organización puede construir una arquitectura de seguridad que permita minimizar las brechas que se puedan registrar entre las amenazas detectadas y los controles existentes, mitigando el riesgo asociado a una eventual ocurrencia de dicha amenaza.
> Partes interesadas, como es Auditoría Interna y Administradores del Seguridad, pueden ser apoyados por la existencia de un marco de referencia en el área de TI, facilitando su entendimiento respecto a los roles, políticas y estándares y la tarea de lograr el cumplimiento de los mismos.
> Se le facilita a la organización la simplificación, estandarización y automatización de los servicios de seguridad.

Espiñeira, Sheldon y Asociados, Firma miembro de PricewaterhouseCoopers

Fuente: http://www.pc-news.com/detalle.asp?sid=&id=11&Ida=2019

1 comentario:

Anónimo dijo...

hola-muy-interesante-la-informacion-quisiera-saber-si-me-puede-proporcionar-informacion-referrente-a-cuales-son-todas-las-normas-ISO-QUE-EXISTEN-Y-CUALES-SON-LAS-MAS-UTILIZADAS

muchas-gracias
Buenas-Noches

Mi perfil

Julio Carreto:

Ingeniero Civil, Maestría en Administración con especialidad en Comercialización Estratégica.

Diplomado en Mercadotecnia, Diplomado en Administración de Ventas.

Consultor Especialista en Planeación de Negocios, Planeación Estratégica y Comercialización Estratégica.
Catedrático de Maestría, Diplomado y Licenciatura

Mail to: carreto.julio@gmail.com

Ver todo mi perfil

Advertencia

Este Blog no tiene fines de lucro, ni propósitos comerciales, el único interés es compartirlo con fines educativos con estudiantes y docentes del tema.