Normas conocidas de seguridad de la información

En la forma en la que se trabaja actualmente inmerso en el mundo de la seguridad

de la información y la seguridad informática, también crece la necesidad de transmitir

la educación en estos temas, no obstante en espacios laborales o educativos no es

tan sencillo como el compartir con un amigo y decirle qué antivirus emplear en su

computador o que métodos debería utilizar para proteger su celular del robo de

información. Por ello, es necesario buscar guías y libros que instruyan en temas de

cómo afrontar la seguridad de forma responsable, procedimental y direccionada al

cumplimiento de los estándares mínimos requeridos para la tecnología actual.

Un estándar es un documento en el cual se encuentra información tipo técnico-legal

en el cual se establecen lineamientos a seguir para cumplir una determinada

actividades de las empresas y sus funcionarios sean repetibles, organizados, y

estructurados. Por ello, entidades como ISO (International Standard Organization),

IEEE (Institute of Electrical and Electronics Engineers), entre otras proponen estos

documentos, los mismos que se forman a partir de la experiencia de diferentes

grupos que participan durante el proceso de definición y al finalizar son documentos

de tipo público.

A continuación se muestran diversos estándares internacionales, que actualmente

son muy empleados para buscar la protección de la información, el mismo que es el

activo más valioso de toda empresa, en el constante proceso de la consecución de

protección a nivel de integridad, disponibilidad y confidencialidad:

ISO 27001

Este es un estándar creado para la seguridad de la información denominada ISO/IEC

27001, adoptado por ISO, el mismo está creado en base a un estándar británico

llamado BS 7799. Este estándar es certificable y fue publicado por primera vez en el

año 2005.

También se establecen todos los requisitos para implantar, mantener y mejorar un

Sistema de Gestión de la Seguridad de la Información (SGSI) a través del ciclo de

Deming-PHVA mediante los procesos de planificar, hacer, verificar y actuar.

ISO 27002

Es una guía que muestra buenas prácticas desde los objetivos de control hasta los

ISO 27001ya que este no es un estándar certificable. Cuenta con 39 objetivos de

control y 133 controles los mismos que están agrupados en 11 dominios, teniendo

más controles y dominios que los creados en el estándar ISO 27001.

Con este documento se logra identificar un mayor marco de trabajo para una

empresa cuando se desea implementar políticas de seguridad, fundar un sistema de

gestión de la seguridad de la información y con la sensatez requerida para lograr la

certificación ISO 27001 que evalúa menos dominios.

ISO 27005

Es un estándar internacional denominado ISO 27005, este estándar se creó en el

año 2008 y proporciona las pautas necesarias para la gestión del riesgo de seguridad

de la información.

CoBIT

A través de este documento se constituye un marco de trabajo establecido en

dominios y procesos, mediante el que se brindan buenas prácticas orientadas a

optimizar la inversión de recursos en las áreas de tecnología de la información,

brindando de esta manera, una buena gestión y administración en los servicios

prestados, planteando también temas referentes a seguridad relacionados a los

ITIL

Es conocido como la Biblioteca de Infraestructura de Tecnologías de Información,

trata recursos orientados a la buena gestión de los servicios de Tecnología de la

información mediante un ciclo de vida de los servicios, evaluando inmerso en cada

una de las fases del ciclo temas de seguridad, capacidad y continuidad.

NIST SP 800-30

Comprende una guía desarrollada por el National Institute of Standards and

Technology (NIST), fue fundado en el año 2002 y brinda las pautas para la gestión

del riesgo buscando su valoración, gestión, control y mitigación.

Haciendo uso de esta guía y del estándar ISO 27005, se puede identificar y

establecer métodos mediante los riesgos identificados en una organización, diseñar y

aplicar controles para una adecuada mitigación.

BS 25999

Es un estándar de origen británico, en el cual se plantean los lineamientos que deben

tomarse en cuenta para la administración de la continuidad de la empresa, mediante

dos partes. La primera brinda un marco de referencia para procesos, principios y

terminología incorporado a la continuidad de la empresa. En la segunda están los

requerimientos para implementar, operar y reformar un sistema de administración de

la continuidad de la empresa.

Un gran error que se puede presentar es creer que el cumplimiento de una lista de

es el caso de la ISO 27001 significa que es una empresa segura. Sin embargo, es

importante comprender que este proceso de aplicación de normas o estándares

también tiene otras implicaciones, tal sea la necesidad de constantes actualizaciones

en base a los cambios que se presentan a nivel de los activos de información y

tecnológicos.

No obstante, el seguimiento de los documentos y guías antes citados admiten entre

si la elaboración de políticas y procedimientos que constituyen controles de

seguridad para la información y los activos asociados, brindando protección desde lo

procedimental hasta lo técnico dentro de la organización, ofreciéndole confianza a

nivel interno y externo gracias al nivel de seguridad provisto. (Sanabria, 2011)