Las normas son documentos técnico-legales que contienen especificaciones técnicas de aplicación recomendada. Son elaborados por consenso de las partes interesadas y están basadas en los resultados de la experiencia y el desarrollo tecnológico de compañías, sociedades e instituciones especialistas en un área de conocimiento en particular. Existen un amplio número de ellas, tales como: ISO 9000, ISO 14000, serie ISO/IEC 27000, entre otras. En este texto se explicarán brevemente algunos aspectos, lineamientos, sugerencias, referencias, criterios y en qué consisten tres de las normas más importantes de la serie ISO/IEC 27000:2018 que impactan el término de seguridad informática.
La serie ISO/IEC 27000:2018 contiene las mejores prácticas recomendadas en Seguridad Informática para construir, implementar, gestionar y mantener especificaciones para los Sistemas de Gestión de la Seguridad de la Información (SGSI). Dentro de esta serie, existen decenas normas, gran parte de estas siempre esta en desarrollo, mejora continua, revisiones, pero, casi siempre las bases fundamentales aplican y son adecuadas por muchos años, por lo que siempre es importante entender la base conceptual, los procedimientos y las mejores enseñanzas de las mismas en vez de solo memorizarlas por completo. Esta serie es publicada por la ISO (Organización Internacional para la Estandarización) en conjunto con la IEC (Comisión Electrotécnica Internacional).
De las siglas del idioma inglés: Information Security Management System, ISMS. Es un conjunto de políticas y procesos de administración de la información. Para una organización, debe permitir: construir, implementar, gestionar y mantener la triada de seguridad informática y manejar de forma perpetua los riesgos de seguridad de la información.
Proporciona la descripción general, el marco conceptual y el vocabulario a utilizar en los sistemas de gestión de seguridad de la información (SGSI), la tecnología de la información (TI) y las técnicas de seguridad (TS). También proporciona los términos y las definiciones utilizados en la familia de estándares de la serie ISO/IEC 27000:2018. Este documento es aplicable a todos los tipos y tamaños de organización.
¿Por qué usar esta norma? Con base en el desarrollo exponencial de la TI y la dependencia de la misma, surge la necesidad de que no solo las organizaciones protejan sus activos, tanto para sus propias necesidades como para el beneficio del entorno que los rodea. Las entidades que alinean sus prácticas de seguridad informática con un estándar como la ISO/IEC 27000, pueden tener la certeza de que sus activos estarán bien protegidos, los riesgos de seguridad serán manejados de forma efectiva, tendrán la confianza de la persona o personas a las que les proporcionan un servicio o un producto, demostrarán conformidad con las mejores prácticas internacionales, podrán evitar mas fácilmente daños a la marca, pérdidas económicas, posibles multas regulatorias, tendrán una postura y desarrollos tecnológicos de seguridad alineados a un estándar mundialmente aceptado, más facilidad con auditorias, entre otros beneficios, con respecto a organizaciones que no se basen en ninguna norma.
Dirigido al manejo de la seguridad informática en sistemas, aprobado y publicado por última vez en el año 2013 por la ISO y la IEC. Esta norma se encarga de establecer, implementar, mantener y mejorar un “Sistema de Gestión de la Seguridad de la Información” (SGSI) basado en el “Ciclo de Deming” es decir, establece los requerimientos y especificaciones de un SGSI, después, proporciona los medios para medir, los métodos para realizar el seguimiento correspondiente y dar la gestión y el control a la administración de seguridad.
Este estándar, especifica enfoques para varios temas mediante el empleo de la metodología PHVA; entre ellos se encuentra la gestión de riesgo, el cual es un proceso de identificación, análisis, cálculo, evaluación y reducción de este hasta un nivel aceptable, además de la implementación de los mecanismos correctos de defensa para mantener un nivel de riesgo aceptable. Algunas de las acciones y actividades incluidas para esta gestión son:
Después de efectuar los pasos anteriores, se procede a determinar las acciones a tomar respecto a los riesgos identificados, es decir: controlar el riesgo, fortalecer los controles existentes y/o agregar nuevos controles, compartir o delegar el riesgo mediante acuerdos contractuales (parte del riesgo o todo, se traspasa a un tercero), aceptar el riesgo (determinando el nivel de exposición hasta uno que parezca adecuado y después se acepta). El estándar también sostiene que la administración de riesgo es un proceso continuo que es necesario evaluar y mejorar continua y periódicamente.
Norma internacional dirigida al manejo de la seguridad informática; cuyo precursor fue la norma BS 7799, originalmente publicada por el Grupo BSI en 1995.
Actualmente esta norma está constituida de varios conceptos cuyo objetivo central es manejar o gestionar la seguridad informática mediante elementos y cláusulas enfocadas a prácticas y métodos fundamentales de seguridad, contemplando siempre los avances tecnológicos, y es uno de los estándares de seguridad de la información más reconocido a nivel mundial. Este estándar define a la información como un activo que existe en varias formas dentro de una organización y siempre debe estar propiamente protegida. El objetivo principal de la seguridad informática es proteger este recurso de una forma oportuna y conveniente de un amplio rango de vulnerabilidades; asegurando la continuidad del negocio, minimizando los daños y maximizando las ganancias de inversión, así como de las oportunidades de negocio.
ISO/IEC 27000:2018:
Generalidades, marco de referencia y vocabulario conceptual para la Tecnología de la Información, Técnicas de Seguridad, Sistema de Gestión de la Seguridad de la Información y todas las normas de esta serie.
ISO/IEC 27001:2013:
Norma principal de la serie, contiene los requerimientos para establecer, implementar, mantener y mejorar un SGSI basado en la metodología: planificar, hacer, verificar y actuar. Posteriormente, proporciona los métodos y medios para medir, realizar seguimiento, gestionar y controlar la administración de la seguridad.
ISO/IEC 27002:2013:
Código de buenas prácticas, indicador de objetivos, descriptor de controles y métodos fundamentales de seguridad para la gestión de la seguridad de la información.