114

nº 25 � septiembre 2008

Normas y Estándares

T odas las organizaciones,

independientemente de su

tamaño, sector de actividad,

o localización geográfica, poseen una

preocupación común: la necesidad de

preservar y custodiar de manera

adecuada la información que manejan,

llegando a ser ésta en muchos casos

factor determinante para su

consolidación y continuidad en el

mercado actual, fidelizando al crear

confianza entre los clientes.

Sin embargo, el desarrollo de las

Tecnologías de la Información, con el

consecuente crecimiento de las redes

digitales, hace que hoy en día la

información se vea continuamente

amenazada por diversos factores:

virus, gusanos, piratas informáticos,…

que acechan los sistemas informáticos

tras cada ‘clic’ de ratón.

Symantec Corp publicó el pasado

septiembre su informe sobre

Amenazas a la Seguridad en Internet

correspondiente al primer semestre de

2007, en el que destacó que dentro

de la región EMEA (Europa, Oriente

Medio y África), España ocupaba el

segundo puesto, precedida

únicamente por Alemania, con el

mayor número de ordenadores

infectados por ‘bots’ o programas

informáticos que realizan diversas

funciones imitando el comportamiento

del ser humano.

Estos alarmantes datos hacen que la

implantación de Sistemas de Gestión

de la Seguridad de la Información

(SGSI) se convierta en un factor

decisivo a la hora de garantizar la

supervivencia de las empresas

españolas a través de la diferenciación,

aportando a la vez un valor añadido.

Disponibilidad, Confidencialidad e

Integridad son la clave de la

Seguridad de la Información de

cualquier tipo de organización,

conceptos que se manejan igualmente

en la Ley de Protección de Datos

(LOPD), pudiendo por lo tanto

fusionarse todos ellos dentro de un

modelo de gestión cuyo eje principal

es proteger la información que se

trata día a día.

Para poder obtener un nivel óptimo

de seguridad, es necesario considerar

aspectos que van más allá de la mera

instalación de un firewall o corta

fuegos. Es imprescindible, como en

todo sistema de gestión que se precie,

la implicación del personal en la

implantación de los distintos

dispositivos y procesos, relacionados

tanto con la actividad o negocio, como

con los propios datos que se manejan,

la integración de las TI, el grado de

seguridad de las instalaciones, el

know how o “saber hacer”, y cómo no,

la formación y sensibilización de todos

los trabajadores (incluyendo la

dirección). Esto, en definitiva, forma

parte de un SGSI.

En cuanto a la Pymes, Fundetec

destaca en su último informe que

alrededor de un 95% de las pequeñas

y medianas empresas afirman haber

implantado un sistema de seguridad,

pero sin haber realizado previamente

un análisis de los puntos críticos a

considerar. Este hecho puede llevar a

engaño al empresario y a su equipo al

desconocer sus debilidades y los

métodos de protección necesarios

para salvaguardar su negocio de los

actuales peligros.

Dinnorah Suárez

DIRECTORA GENERAL

Genera, Formación yConsultoríaGRUPO IFO, Instituto deFormación Online

ISO 27000: Garantizar laSeguridad de la InformaciónLA IMPLANTACIÓN DE ESTA NORMA OFRECE GARANTÍAS DE PROTECCIÓN DE LA

INFORMACIÓN PARA LAS EMPRESAS Y SUS CLIENTES

Disponibilidad,Confidencialidad eIntegridad son la clave de laSeguridad de la Informaciónde cualquier tipo deorganización

La necesidad de la certificación

A través de la familia de normas de

la serie ISO 27000, las empresas

asegurarán ante sus grupos de interés

(principalmente a partners, clientes,

trabajadores, proveedores, etc.), que

han implementado medidas para

garantizar una adecuada gestión de la

seguridad de la información que

tratan.

Así, la ISO 27001 podrá llegar a

formar parte de los requisitos a

cumplir, por parte de las

organizaciones, ante entidades,

organismos y administración pública,

de cara a garantizar un adecuado

tratamiento de la información que

manejan, asegurando niveles

concretos y adecuados de seguridad

para interrelacionar sistemas de

clientes, control de stocks,

facturación, pedidos, productos, etc.

Desde hace relativamente poco

tiempo, la implantación de sistemas

de gestión relacionados con aspectos

de seguridad en el ámbito empresarial

comienza a considerarse con la

seriedad y rigurosidad que se merece.

A corto plazo, con toda probabilidad,

pasará a ser un factor imprescindible

en la gestión interna de las

organizaciones. Por ello, empresas

consultoras especializadas ofrecen sus

servicios para realizar implantaciones

y auditorías internas de los SGSI, con

el fin de que cada vez sean más las

entidades certificadas en el estándar

ISO 27.001.

El equipo destinado a la

implantación de la ISO 27001 debe

estar formado por representantes de

todas las áreas de la

empresa/institución que se vean

afectadas por el SGSI, liderado por la

dirección y asesorado por consultores

externos especializados en Seguridad

Informática, Derecho de las Nuevas

Tecnologías, Protección de Datos y

Sistemas de Gestión,

El tiempo de implantación de esta

norma en una organización de tamaño

medio oscila entre los seis y los doce

meses, en función del grado de

avance en materia de Seguridad de la

Información y de su alcance.

115

nº 25 � septiembre 2008

Normas y Estándares

A semejanza de otras familias de normas ISO, la 27000 estáformada por:� ISO 27000: Contendrá términos y definiciones que seemplean en toda la serie 27000. La aplicación decualquier estándar necesita de un vocabulario claramentedefinido.� ISO 27001. Es la norma principal de la serie y contiene losrequisitos del Sistema de Gestión de Seguridad de laInformación. En su Anexo A, enumera en forma deresumen los objetivos de control y controles que desarrollala ISO 27002:2005 para que sean seleccionados por lasorganizaciones en el desarrollo de sus SGSI.� ISO 27002: Desde el 1 de Julio de 2007. Es una guía debuenas prácticas que describe los objetivos de control ycontroles recomendables en cuanto a Seguridad de laInformación. No es certificable.� ISO 27003: Consistirá en una guía de implementación deSGSI e información acerca del uso del modelo PDCA y delos requerimientos de sus diferentes fases.� ISO 27004: Especificará las métricas y las técnicas demedida aplicables para determinar la eficacia de un SGSI yde los controles relacionados.

� ISO 27005: Consistirá en una guía de técnicas para la gestióndel riesgo de la Seguridad de la Información y servirá, portanto, de apoyo a la ISO 27001 y a la implantación de un SGSI.� ISO 27006: Especifica los requisitos para la acreditación deentidades de auditoría y certificación de Sistemas de Gestiónde Seguridad de la Información.� ISO 27007: Consistirá en una guía de auditoría de un SGSI.� ISO 27011: Consistirá en una guía de gestión de seguridadde la información específica para telecomunicaciones.� ISO 27031: Consistirá en una guía de continuidad denegocio en cuanto a tecnologías de la información ycomunicaciones.� ISO 27032: Consistirá en una guía relativa a la ciberseguridad.� ISO 27033: Es una norma consistente en 7 partes: gestiónde seguridad de redes, arquitectura de seguridad de redes,escenarios de redes de referencia, aseguramiento de lascomunicaciones entre redes mediante gateways, accesoremoto, aseguramiento de comunicaciones en redes medianteVPNs y diseño e implementación de seguridad en redes.� ISO 27034: Consistirá en una guía de seguridad en aplicaciones.� ISO 27799: Es un estándar de gestión de seguridad de lainformación en el sector.

Familia ISO 27000