BAQUIA

Gestión de la seguridad de la información en la empresa

En la actualidad, las inversiones en seguridad que realizan las empresas se están destinando cada vez menos exclusivamente a la compra de productos, y comienzan a destinar parte de su presupuesto a la gestión de la seguridad de la información. El concepto de seguridad ha variado, acuñándose un nuevo concepto, el de seguridad gestionada, que ha desbancado al de “seguridad informática”. Las medidas que comienzan a tomar las empresas giran entorno al nuevo concepto de gestión de la seguridad de la información. Éste tiene tres vertientes: técnica, legal y organizativa, es decir, un plantea-miento coherente de directrices, procedimientos y criterios que permiten desde la dirección de las empresas asegurar la evolución eficiente de la seguridad de los sistemas de Información, la organización afín y sus infraestructuras.

Para gestionar la seguridad de la información de una entidad se debe partir de una premisa fundamental y es que la seguridad absoluta no existe. Tomando como referencia esta máxima, una entidad puede adoptar alguna de las normas existentes en el mercado que establecen determinadas reglas o estándares que sirven de guía para gestionar la seguridad de la información. El presente artículo se va a centrar en una de ellas, concretamente en la norma UNE 71502 / ISO 17799.

El origen de la norma

La norma UNE/ISO/IEC 17999 es un código de buenas prácticas para gestionar la seguridad de la información de una organización, de tal forma que le permita en todo momento garantizar la confidencialidad, integridad y disponibilidad de la información que maneja. La creación de esta norma responde a la necesidad de proporcionar una base común a las organizaciones desde la triple óptica técnica, organizativa y jurídica, y cuyo cumplimiento implique que dicha organización mantiene una infraestructura y un esquema de funcionamiento que garantizan la seguridad de la información que maneja.

Esta norma tiene su origen en el British Standard BS 7799, norma británica constituida por un código de buenas prácticas y un conjunto de controles o requerimientos que han sido adoptados por numerosas empresas a nivel mundial con el objeto de conseguir una certificación en seguridad de la información por parte de BSI (British Standard Institute) a través de la cual pueden acreditar frente a terceros (clientes, proveedores, etc.) que la empresa maneja su información de forma segura, fijándose de este modo un criterio que determina la confianza en la entidad. En España se tomó la iniciativa de desarrollar una norma a través de la cuál, las empresas españolas puedan obtener una certificado similar al del BSI. En este sentido, el organismo encargado de desarrollar una norma equivalente en nuestro país es AENOR.

Para que las empresas puedan ser certificadas sobre la base de estos códigos de buenas prácticas es preciso el establecimiento de una norma que establezca los criterios o especificaciones que deben reunir los sistemas de gestión de la seguridad de la información (SGSI). Nuevamente, Gran Bretaña fue la pionera publicando la BS 7799 (Part 2) que establece los criterios que debe reunir un SGSI para ser certificable. En Europa, el proceso va más lento y se espera que la ISO /IEC 17799 (Parte II) vea la luz a lo largo del 2007. En lo que se refiere a España, el 23 de junio de 2003 se aprobó la UNE 71502 “Especificaciones para los sistemas de gestión de la seguridad de la información”, decisión que fue ratificada por el CTN 71. Tras pasar por el correspondiente trámite de información pública, fue aprobada definitivamente por el CTN y editada definitivamente por AENOR en febrero de 2004.

Por tanto, actualmente España, al giaul que Gran Bretaña, cuenta con una norma certificable (UNE 71502), de tal forma que cualquier empresa que lo desee (el sometimiento a los requerimientos es voluntario) podrá someterse a los procedimientos fijados para obtener un certificado en materia de gestión de la seguridad de la información, que al igual que ocurre en materia de calidad con la norma ISO 9001, constituirá una garantía frente a terceros de que la empresa establece unos controles y medidas suficientes -egales, organizativas y técnicas- para mantener la confidencialidad, integridad y disponibilidad de toda la información manejada por la entidad. El objeto de esta norma es establecer las especificaciones para que una empresa desarrolle un SGSI que pueda ser certificado por una entidad independiente.

Los requisitos

La norma básicamente comprende las siguientes 10 secciones, a su vez divididas en 127 controles (jurídicas, técnicas y organizativas).

  • Política de Seguridad.
  • Organización de la Seguridad.
  • Clasificación y control de activos de información.
  • Gestión de la Seguridad de la información y el personal.
  • Seguridad física y del entorno.
  • Gestión de comunicaciones y operaciones.
  • Control de acceso.
  • Mantenimiento y desarrollo de sistemas.
  • Gestión de la Continuidad del negocio.
  • Conformidad.

Si una empresa decide adaptarse a esta norma, en primer lugar deberá llevar a cabo una labor de consultoría, que deberá en líneas generales:

  1. Definir el alcance del SGSI, es decir sobre qué proceso o procesos va a actuar ya que no es necesaria la aplicación de la norma a toda la entidad.
  2. Identificar los activos de información.
  3. Realizar un análisis de riesgos, el cual determinará las amenazas y vulnerabilidades de los activos de información previamente inventariados.
  4. Selección de controles.
  5. Determinar, bajo el principio de proporcionalidad, las medidas correctoras a adoptar para paliar las deficiencias o anomalías detectadas.
  6. Generar la documentación: política de seguridad, procedimientos básicos de gestión de la seguridad de la información, protocolos de actuación, registros, etc.

Con anterioridad a que las entidades independientes (certificadoras) puedan dictaminar la situación de una empresa en relación a la norma, la Entidad Nacional de Acreditación (ENAC) debe crear un esquema de certificación al que las entidades certificadoras deben someterse. Actualmente, ninguna certificadora está acreditada por ENAC. Por tanto, los certificados que emiten son propios; no obstante, alguna de las entidades certificadoras está acreditada ante BSI para emitir certificados en materia de gestión de seguridad de la información conforme a la BS.


Compartir en :


Noticias relacionadas

Recomendamos




Comentarios