La evolución del estándar ISO 27001
En muchos textos relacionados con la gestión de calidad en sistemas de cómputo se lee: “… el sistema debe estar en cumplimiento a los estándares internacionales de seguridad informática”. Si por curiosidad se realiza una búsqueda en el sitio de ISO http://www.iso.org del término Information security, el buscador arroja la fabulosa cantidad de 120 estándares aplicables. Entonces queda la gran interrogante: “¿será necesario cumplir con los 120 estándares que aparecen? ¿Con tener 60 ya cumplimos o 10 son suficientes? Pero… con las restricciones presupuestales, falta de tiempo y de personal capacitado, cinco suenan bien, ¿o no? ¿O es más que suficiente que se cumpla uno? ¿Esta apreciación es correcta? ¡Por supuesto que no! Cada uno de estos estándares tiene un alcance y un propósito perfectamente definido, entonces, ¿cómo es que se determina qué estándares aplicamos a los sistemas que piden cumplimiento de estándares internacionales? La respuesta es sencilla: certificar.
De buena práctica a estándar internacional
Hace algunos años no existía la tendencia de certificar procesos, o sistemas de gestión, por ello, ISO 9000 vino a redefinir en el año 2000 la certificación de los sistemas de gestión de calidad, mediante la norma ISO 9001:2000, donde se incorpora el modelo PDCA (Plan–Do–Check –Act, por sus siglas en inglés).
Pero aún en 2005, no existía una norma ISO que permitiera certificar alguna organización en cuanto a sus prácticas de seguridad informática y las alternativas, en esos momentos se certificaba en normas inglesas (BS) o españolas (UNE).
Hasta 2005, el estándar más conocido en el entorno de seguridad informática era el ISO 17799, pero con la limitación de ser un “código de prácticas” (Information technology –Security techniques– Code of practice for information security management), en el momento que se publica su última revisión, se anuncia el desarrollo de una serie de estándares ISO 27000, dedicada exclusivamente a la seguridad informática. Con esto se le da un nuevo alcance a la seguridad, porque no sólo es llevar un código de mejores prácticas sino establecer un estándar certificable de forma similar al ISO 9000 (el primero de esa serie en publicarse fue el ISO 27001).
El estándar ISO 27001 nace como consecuencia de años de trabajo, como lo demuestra la siguiente cronología:
| 1980 | Estándar de Shell |
| 1985 | Código de práctica (PD0003) |
| 1993 | Código de prácticas |
| 1993 | Grupo industrial del trabajo |
| 1995 | BS 7799 – 1 |
| 1998 | BS 7799 – 2 |
| 1999 | Revisión BS 7799 -1 y BS 7799 -2 |
| 2000 (diciembre) | ISO/IEC 17799:2000 |
| 2001 | Revisión BS-7799-2 |
| 2002 (septiembre) | Revisión BS-7799-2 |
| 2004 (marzo) | UNE 71502 |
| 2005 (junio) | ISO/IEC 17799:2005 |
| 2005 (octubre) | ISO/IEC FDIS 27001:2005 |
| Fecha tentativa de publicación: 2007 (abril) | ISO/IEC FDIS 27003:2007 |
Las aportaciones más importantes a la familia ISO 27001 vienen, principalmente, de los estándares británicos BS7799 -1 (Information Technology. Code of Practice for Information Security Management) y BS7799 -2 (Information Security Management Systems - Specification with Guidance for Use).
La forma como el estándar ha cambiado a través del tiempo se resume:
| BS7799-1:1999 | ISO 17799:20009:2 | ISO 17799:2005 |
10 Dominios 36 Objetivos 127 Controles específicos | 10 Dominios 36 Objetivos 127 Controles específicos | 11 Dominios 39 Objetivos 133 controles específicos |
BS7799-2:2001 | BS7799-2:20029 | ISO 27001:2005 |
10 Dominios 36 Objetivos 127 Controles específicos | 10 Dominios 36 Objetivos 127 Controles específicos | 11 Dominios 39 Objetivos 133 Controles específicos |
La familia completa de la ISO 27000 está formada por los estándares mencionados a continuación. Actualmente, sólo ha sido publicada la IS0 27001:2005 y la ISO 17799:2005.
ISO/IEC | Descripción |
27000 | Vocabulario y definiciones (Information Technology – Information Security Management – Fundamentals and Vocabulary). |
27001 | Especificación de la estructura metodológica (basada en el BS7799-2:2002) (Information Technology –Security Techniques– Information Security Management Systems – Requirements). |
27002 | Código de prácticas (Code of Practice for Information Security Management). Actualmente ISO/IEC 17799:2005, publicado el 15 de junio de 2005. |
27003 | Guía de implementación (ISMS Implementation Guidance, en desarrollo). |
27004 | Métricas y medidas (Information Security Management Measurement, en desarrollo). |
27005 | La Administración del Riesgo (basado BS 7799-3) (Information Security Risk Management, basado e incorporado a ISO/IEC 13335 MICTS part 2, en desarrollo). |
27006 | Requerimientos para organismos de acreditación de Sistemas de Gestión de Seguridad de la Información (Information Technology – Security Techniques – Requirements for Bodies Providing Audit and Certification of Information Security Management Systems). |
Las certificaciones han pasado a ser necesidad para demostrar la existencia de sistemas de gestión, con objeto de asegurar procesos consistentes. En el campo de la seguridad informática se tenían certificaciones por parte de estándares británicos y españoles pero, hace pocos años, la ISO emitió los estándares por los sistemas de gestión de seguridad informática con objeto de certificar que las recomendaciones y buenas prácticas brinden una ventaja competitiva a las organizaciones, y no dejar descubiertos todos los sistemas de información que día con día cobran una mayor importancia para sustentar la toma de decisiones y salvaguardar el activo más importante de una organización: la información.
Para mayor información:
http://www.iso.org
http://www.bsi-global.com/British_Standards/index.xalter
http://en.wikipedia.org/wiki/BS7799
http://www.enterate.unam.mx
Estándares de seguridad en la información, núm 36, febrero de 2005
Administración de la seguridad en ITIL, núm 48, abril de 2006
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!