Estandares Internacionales

Introducción.

En la medida que se trabaja inmerso en el mundo de la seguridad de la información y la seguridad informática, aumenta la necesidad de difundir la educación en estos temas; sin embargo, en espacios laborales o educativos no es tan simple como el compartir con un amigo y decirle qué antivirus emplear o cómo proteger su teléfono celular del robo de información. Por ello, es necesario buscar guías y documentos que ilustren cómo abordar la seguridad de una forma responsable, procedimental y orientada al cumplimiento de los estándares mínimos requeridos para la tecnología actual.

Pero surge una duda, ¿qué es un estándar y por qué son tan mencionados en la actualidad? Pues bien, un estándar es un documento con un contenido de tipo técnico-legal que establece un modelo o norma que refiriere lineamientos a seguir para cumplir una actividad o procedimientos. Su uso se ha popularizado en la actualidad debido a que se busca que los procesos y actividades de organizaciones y sus personas sean repetibles, organizados, y estructurados. Por ello, entidades como ISO (International Standard Organization), IEEE[2] (Institute of Electrical and Electronics Engineers), entre otras proponen estos documentos, los cuales se crean a partir de la experiencia de diferentes grupos que participan durante el proceso de definición y al finalizar son documentos de tipo público.

Los estándares internacionales son producto de diferentes organizaciones, algunas para uso interno solo, otras para uso por grupos de gente, grupos de compañías, o una sub sección de una industria. Un problema surge cuando diferentes grupos se reúnen, cada uno con una amplia base de usuarios haciendo alguna cosa bien establecida que entre ellos es mutuamente incompatible. Establecer estándares internacionales es una manera de prevenir o superar este problema.

El uso de las tecnologías de información y comunicación entre los habitantes de una población, ayuda a disminuir la brecha digital existente en dicha localidad, ya que aumentaría el conglomerado de usuarios que utilizan las Tic como medio tecnológico para el desarrollo de sus actividades y por eso se reduce el conjunto de personas que no las utilizan.

Los estándares internacionales relacionados con el uso e implementación de las tecnologías de información y comunicación.

La Organización Internacional para la Estandarización o ISO, es el organismo encargado de promover el desarrollo de normas internacionales de fabricación, comercio y comunicación para todas las ramas industriales a excepción de la eléctrica y la electrónica. Su función principal es la de buscar la estandarización de normas de productos y seguridad para las empresas u organizaciones a nivel internacional.

En lo referente a los estándares internacionales relacionados con el uso e implementación de las tecnologías de información y comunicación, se han desarrollado y publicado una serie de normas ISO orientadas a las Tecnologías de Información y Comunicaciones relativas a la gestión y supervisión de los Centros de Proceso de Datos. Estas normas internacionales, aprobadas con el consenso de 145 países y de acceso libre a cualquier organización, han recogido las buenas prácticas y han definido y elaborado una serie de requisitos, que basándose en los Sistemas de Gestión tradicionales, vienen a facilitar el uso e implementación de las tecnologías de información y comunicación.

Entre las más importantes destacan;

ISO/IEC 27001.

El estándar para la seguridad de la información ISO/IEC 27001 (Information Technology- Security techniques - Information security management systems - Requirements) fue aprobado y publicado como estándar internacional en octubre de 2005 por International Organization for Standardization y por la comisión International Electrotechnical Commission.

Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI) según el conocido “Ciclo de Deming”: PDCA - acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar). Es consistente con las mejores prácticas descritas en ISO/IEC 17799 (actual ISO/IEC 27002) y tiene su origen en la norma BS 7799-2:2002, desarrollada por la entidad de normalización británica, la British Standards Institution (BSI).

La seguridad de la información tiene asignada la serie 27000 dentro de los estándares ISO/IEC:

ISO 27000:

Publicada en mayo de 2009. Contiene la descripción general y vocabulario a ser empleado en toda la serie 27000. Se puede utilizar para tener un entendimiento más claro de la serie y la relación entre los diferentes documentos que la conforman.

UNE-ISO/IEC 27001:2007

“Sistemas de Gestión de la Seguridad de la Información (SGSI). Requisitos”. Fecha de la de la versión española 29 noviembre de 2007. Es la norma principal de requisitos de un Sistema de Gestión de Seguridad de la Información. Los SGSIs deberán ser certificados por auditores externos a las organizaciones. En su Anexo A, contempla una lista con los objetivos de control y controles que desarrolla la ISO 27002 (anteriormente denominada ISO17799).

ISO 27002: (anteriormente denominada ISO17799).Guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información con 11 dominios, 39 objetivos de control y 133 controles.

ISO 27003: En fase de desarrollo; probable publicación en 2009. Contendrá una guía de implementación de SGSI e información acerca del uso del modelo PDCA y de los requisitos de sus diferentes fases. Tiene su origen en el anexo B de la norma BS 7799-2 y en la serie de documentos publicados por BSI a lo largo de los años con recomendaciones y guías de implantación.

ISO 27004: Publicada en diciembre de 2009. Especifica las métricas y las técnicas de medida aplicables

...