internacional. ISO 17799 se ha incorporado en los nuevos estándares de la serie ISO 27000, que abarca un rango de estándares y prácticas de administración de seguridad de la información (de manera similar a la serie ISO 9000 de estándares de aseguramiento de calidad, que tienen un uso extendido). ISO 27001 incluye un marco conceptual de controles para la implementación y me- dición del cumplimiento con los estándares de la directiva. Entre otros marcos conceptuales po- pulares de control se incluyen CobiT, COSO e ITIL. (Consulte la sección “Referencias y lecturas adicionales” para conocer vínculos con información sobre estos estándares).
Otro gran dividendo que surge del hecho de basar su directiva en estándares ampliamente aceptados como ISO 17799 es la agilidad mejorada para satisfacer regímenes impositivos en evo- lución como éstos:
• Acta Sarbanes-Oxley de 2002 (SOX), que obliga a las empresas de Estados Unidos de manera pública a implementar, evaluar y reportar controles internos sobre sus informes, operaciones y activos financieros.
• Basel II: la convergencia internacional de medidas de capital y estándares de capital: un
marco conceptual revisado que analiza estándares internacionales para medición de la
adecuación del capital de un banco con base en el riesgo medido (incluido el riesgo operacional, como seguridad del sistema de información).
• Estándar de seguridad de datos de la industria del pago con tarjeta (PCI DSS, Payment Card Industry Data Security Standard) para cualquier entidad que procesa, almacena o transmite información de tarjetas de crédito de emisores importantes, como Visa, MasterCard y American Express.
• Acta de Portabilidad y responsabilidad de seguros médicos de 1996 (HIPAA, Health Insurance Portability and Accountability Act), que especifica una serie de procedimientos administrativos, técnicos y físicos de seguridad que deben usar las entidades cubiertas para que aseguren la confidencialidad de la información protegida electrónica relacionada con la salud.
• Acta Gramm-Leach-Bliley de 1999 (GLBA) que regula la información financiera personal de los consumidores de Estados Unidos mantenida por instituciones financieras.
• Leyes de notificación de violaciones de seguridad que evolucionan en muchos estados de la Unión Americana hoy (como la SB 1386 de California).
Aunque la organización a la que pertenezca no esté cubierta por una de estas regulaciones (¡y le apostamos a que lo está de alguna manera!), tal vez sólo sea cuestión de tiempo antes de que necesite cumplir con sus estatutos, de una forma u otra. Aunque considere que la organiza- ción debe satisfacer alguna especie de requisitos impositivos obligatorios, nunca se pondrá el énfasis suficiente en la eficiencia que se obtendrá al volver a usar un marco conceptual de pro- grama de seguridad para cumplir con la sopa de letras en evolución de los requisitos impositi- vos que enfrentan las empresas modernas de hoy en día. Y tenemos la experiencia para probarlo, porque hemos diseñado e implementado personalmente una directiva de seguridad basada en ISO 17799 que pasó con éxito las auditorías de cumplimiento para SOX, GLBA, PCI y otras ac- ciones de imposición regulatoria de una vez del gobierno de Estados Unidos.
Aunque nunca está de más destacar la importancia de satisfacer los requisitos en evolución, tal vez a las organizaciones más pequeñas, con alcances más estrechos, les resulte pesado pla- near e implementar los estándares ISO y los marcos conceptuales de soporte. En el caso de orga- nizaciones de todos tamaños, una colección buena (pero costosa) de directivas de seguridad
preescritas es la Information Security Policies Made Easy, de Charles Cresson Woods (Information Shield, 2005). También se recomienda la lectura de las RFC 2196 y 2504, “Site Security Hand- book” y “User Handbook”, respectivamente, para obtener buenas ideas sobre directivas.
Una búsqueda simple en Internet de “directivas de seguridad de información” también pro- porcionará buenos ejemplos, como las de muchas instituciones educativas que publican sus di- rectivas en línea. Un análisis del desarrollo y el mantenimiento de directivas de seguridad para organizaciones está fuera del alcance de este libro. Sin embargo, he aquí algunas sugerencias:
Comprensión del negocio Los practicantes de la seguridad deben comprender primero el negocio que pretenden ayudar a proteger; la comprensión de las operaciones de trabajo crea el vocabu- lario para permitir una conversación constructiva y lleva a ser percibido como una persona que permite que pasen las cosas, en lugar de ser un estorbo. De acuerdo con nuestra experiencia, los practicantes de la seguridad necesitan, por lo general, madurar más en este departamento, a fin de presentar los riesgos en la seguridad de la información en los términos apropiados del nego- cio. Sabemos por experiencia que concentrarse en los métodos de colaboración para medir el riesgo e implementar controles medibles es siempre una manera más inteligente de obtener re- cursos de los líderes de los negocios.
Convencimiento cultural Convenza a la administración de que lea y apoye por completo la direc- tiva. La administración es la que la impone finalmente, y si los directivos no creen que es correc- ta, pasará momentos extraordinariamente difíciles logrando que cualquier persona de la organi- zación la siga. Considere la creación de un cuerpo de gobierno que incluya accionistas clave de la organización, con responsabilidades definidas, para que la directiva evolucione y se imponga a largo plazo.
Al mismo tiempo, reconozca que el convencimiento de los ejecutivos sólo es útil si a éstos los escucha el personal de la compañía, lo que no siempre es el caso, de acuerdo con nuestra expe- riencia. En cualquier medida, siempre es necesario algún nivel de trabajo de convencimiento entre los trabajadores de base, sin importar cuán firmemente respalde la administración la direc- tiva. De otra manera, no será adoptada en la extensión que se requiere para hacer cambios importantes a la seguridad. Debe asegurarse de predicar el programa de seguridad en todos los niveles de la organización y aplicar un programa piloto para asegurar el convencimiento am- plio, además de que será percibido como un mecanismo razonable y práctico a fin de mejorar la postura de seguridad de la organización (y por tanto, las ganancias). Esto mejorará en gran medida las posibilidades de convertirse en parte de la cultura en lugar de ser sólo un proceso molesto del que todos se burlan (piense en los reportes de TPS en la película Office Space).
Método de varios niveles Elabore un borrador de la directiva real como una declaración de alto nivel de principios guía e intenciones, y luego cree estándares de implementación y procedi- mientos de operación detallados que apoyen los mandatos de la directiva. Este método de varios niveles, jerárquico, crea una modularidad que facilita el mantenimiento de la directiva a largo plazo, al proporcionar flexibilidad para cambiar los detalles de la implementación sin necesidad de un ciclo completo de revisión y cambio de la directiva.
Proceso para excepciones, cambios La única constante es el cambio y eso también es válido para las directivas de seguridad. Espere que la organización haga solicitudes de excepciones a la di- rectiva y quiera cambiar ésta a intervalos regulares. Usted necesitará crear un proceso para que sea posible esto. Recomendamos al menos revisiones anuales y también un proceso especial para excepciones y cambios urgentes.