Tecnologia, Contacto Profesional

PREGUNTAS Y RESPUESTAS

P: ¿Qué es la ISO 17799?
R: La ISO 17799 es una guía de buenas prácticas de seguridad de la información que presenta una extensa serie de controles de seguridad. Es la única norma que no sólo cubre la problemática de la seguridad IT sino que hace una aproximación holística a la seguridad de la información corporativa, abarcando todas las funcionalidades de una organización en cuanto a la seguridad de la información que maneja. Este concepto marca la diferencia con el de seguridad informática que, en la práctica, se vino convirtiendo en equivalente de seguridad de sistemas IT, mientras que la norma considera también los riesgos organizacionales, operacionales y físicos de una empresa, con todo lo que esto implica.

P: ¿Es certificable la ISO 17799?
R: Definitivamente no. La ISO 17799 sólo hace recomendaciones, y en su nueva versión 2005 describe 133 controles de seguridad diferentes aplicados en 11 áreas de control. Concretamente entonces, no establece requisitos, cuyo cumplimiento pudiere auditarse y/o certificarse.

P: ¿Por qué hay confusión en el tema de la certificación?
R: En gran parte se debe a los errores de traducción de la norma. El original en inglés de la ISO 17799 usa la expresión verbal “should”, un término presente en normas ISO y también del IETF y del IEEE, que por convención expresa una forma condicional a modo de recomendación y no de imposición, lo que hace precisamente que no sea certificable.

P: Si la ISO 17799 no es certificable, ¿cuál es su utilidad?
R: La ISO 17799 ofrece el detalle de los controles de seguridad recomendados y que en la práctica se seleccionan en base a una valuación de riesgos. La ISO 17799, en su versión original del 2000, es prácticamente igual a la Primera Parte de la norma BS 7799, o sea la BS 7799-1. Esta norma británica tiene una Segunda Parte, BS 7799-2, que usa la expresión verbal “shall”, otro término habitual en normas como las mencionadas antes, en este caso para expresar mandato u obligación, lo que permite su auditoría y certificación. Y justamente, a fines de 2005, se liberó la ISO 27001 tomada en su mayor parte de la BS 7799-2.

P: ¿Pero entonces, hay que trabajar con las dos normas al mismo tiempo?
R: Efectivamente. La ISO 27001 muestra cómo aplicar los controles seleccionados de la ISO 17799, estableciendo los requisitos para construir un Sistema de Gestión de Seguridad de la Información (SGSI, o ISMS por sus siglas en inglés) que efectivamente se puede auditar y certificar.
Mientras varios miles de empresas en todo el mundo están en proceso de certificación, actualmente bajo la ISO 27001, a fines de Noviembre de 2006 ya se habían otorgado en total más de 3100 certificaciones correspondientes a organizaciones de 68 países diferentes.

P: ¿Además de su capacidad de ser certificable, qué otras características tiene la ISO 27001?
R: El SGSI de la ISO 27001 responde a la aplicación del ciclo Deming o modelo PDCA (Plan-Do-Check-Act) de mejora continua también presente en otras normas. La aplicación del proceso PDCA en el SGSI conforma el paradigma de gestión de riesgos que guía la estrategia del Corporate Governance, incluyendo la gestión de riesgos de negocios.
De hecho, bajo el esquema común del modelo PDCA, la ISO 27001 ofrece un interesante alineamiento con otras normas también de sistemas de gestión como la ISO 9001 de Calidad, la ISO 14001 de Medio Ambiente y la OHSAS 18001 de Higiene y Seguridad Ocupacional, con el consiguiente beneficio de reducción de esfuerzos y costos en una implementación semiintregrada.
Así las cosas, el cumplimiento de esta norma constituye el aseguramiento idóneo para:
• Las empresas que buscan una posición con ventaja competitiva en el mercado y/o realizan operaciones de e-commerce B2B.
• Los bancos que necesitan reducir el peso de los riesgos operacionales que introduce el Nuevo Acuerdo de Capitales Basilea II, limitando así las mayores exigencias de capital para sus operaciones.
• Las empresas que cotizan en la bolsa de New York al proporcionarles el soporte adecuado para la seguridad de la información que requiere la aplicación de la ley Sarbanes-Oxley.

P: ¿Cuál es el proceso de implementación de la norma ISO 27001?
R: A muy grandes rasgos se arranca con la determinación del Alcance del proyecto (si es completo, o un servicio, o un área, etc.) y una Política General. Una valuación de riesgos –cuya metodología no establece la ISO 27001- y una auditoría basada en un análisis gap contra los controles de la norma ISO 17799, permiten establecer los controles que deben implementarse. En algunos casos el cumplimiento de dichos controles, y la correspondiente reducción de los respectivos riesgos, se logra por medio de normas de aplicación, procedimientos y pautas. Los puntos más críticos, en cambio, requieren mitigantes de mayor fortaleza bajo la forma de contramedidas o salvaguardas especiales. El tratamiento dado a los controles queda estipulado en una Declaración de Aplicabilidad, SoA, que se anexa junto con el Alcance a la certificación posterior.

P: ¿La ISO 17799 ahora se llama ISO 27002?
R: La ISO 17799 será oficialmente llamada ISO 27002 en abril de 2007, pero mientras tanto es probable que se produzcan cambios con respecto a la versión actual que es de 2005.

P: ¿Y cómo es el tema de la nueva serie ISO 27000?
R: Con la nueva serie ISO 27000 se busca dar un carácter auto-consistente e integral al conjunto de normas de seguridad de la información. De esta serie oficialmente ya se mencionan seis normas, y se puede decir que está encabezada por la ISO 27001 que, como se dijo, es la que estipula los requisitos del sistema de gestión de seguridad de la información. Tres de las nuevas normas se perfilan de gran trascendencia.
La ISO 27005, actualmente en draft, se refiere a la valuación y gestión de riesgos. Está basada en parte de la ISO 13335, aunque es probable que también tome algunos temas de la nueva norma británica BS 7799-3 que fue publicada a comienzos de 2006.
La ISO 27003, también en preparación, estipulará las métricas y mediciones para la gestión de seguridad.
Recientemente se confirmó que otra norma más, la ISO 27006, establecerá los requerimientos para los proveedores de sitios y servicios de recuperación de desastres.
La ISO 27006, recientemente anunciada, establece los requerimientos, que podrían certificarse, para los proveedores outsourcing de sitios y servicios de recuperación de desastres.