Estándar Internacional ISO/IEC 27002 (antiguamente ISO/IEC 17799)

Luego de haber definido algunos conceptos y conocimientos preliminares y de hablar de manera general sobre la organización ISO y el comité IEC, es momento de entrar en detalle y profundizar específicamente en el tema concerniente a esta investigación: el Estándar Internacional ISO/IEC 27002).

El documento del Estándar Internacional ISO/IEC 27002, después de la introducción, se divide en quince capítulos. En este documento se presentará un resumen y análisis de cada uno de los quince capítulos, de manera breve, pues el objetivo no es plasmar nuevamente lo que ya se encuentra en el documento original, sino que resaltar las ideas básicas de forma muy resumida y con un análisis propio sobre cada tema del cual se habla en éste importante Estándar Internacional para la seguridad en las tecnologías de información.

2.1. Alcance

Este Estándar Internacional va orientado a la seguridad de la información en las empresas u organizaciones, de modo que las probabilidades de ser afectados por robo, daño o pérdida de información se minimicen al máximo.

2.2. Términos y definiciones

En este apartado se habla de un conjunto de términos y definiciones que se presentan al final de este documento, en el Glosario, que son las definiciones de:

• Activo
• Control
• Lineamiento
• Medios de procesamiento de la información
• Seguridad de la información
• Evento de seguridad de la información
• Incidente de seguridad de la información
• Política
• Riesgo
• Análisis de riesgo
• Evaluación del riesgo
• Gestión del riesgo
• Tratamiento del riesgo
• Tercera persona
• Amenaza
• Vulnerabilidad

2.3. Estructura de este Estándar

Este Estándar contiene un número de categorías de seguridad principales, entre las cuales se tienen once cláusulas:

a) Política de seguridad.
b) Aspectos organizativos de la seguridad de la información.
c) Gestión de activos.
d) Seguridad ligada a los recursos humanos.
e) Seguridad física y ambiental.
f) Gestión de comunicaciones y operaciones.
g) Control de acceso.
h) Adquisición, desarrollo y mantenimiento de los sistemas de información.
i) Gestión de incidentes en la seguridad de la información.
j) Gestión de la continuidad del negocio.
k) Cumplimiento.

2.4. Evaluación de los riesgos de seguridad

Se deben identificar, cuantificar y priorizar los riesgos de seguridad. Posterior a ello se debe dar un tratamiento a cada uno de los riesgos, aplicando medidas adecuadas de control para reducir la probabilidad de que ocurran consecuencias negativas al no tener una buena seguridad.

La reducción de riesgos no puede ser un proceso arbitrario y regido por la voluntad de los dueños o administradores de la empresa, sino que además de seguir medidas adecuadas y eficientes, se deben tener en cuenta los requerimientos y restricciones de la legislación y las regulaciones nacionales e internacionales, objetivos organizacionales, bienestar de clientes y trabajadores, costos de implementación y operación (pues existen medidas de seguridad de gran calidad pero excesivamente caras, tanto que es más cara la seguridad que la propia ganancia de una empresa, afectando la rentabilidad).

Se debe saber que ningún conjunto de controles puede lograr la seguridad completa, pero que sí es posible reducir al máximo los riesgos que amenacen con afectar la seguridad en una organización.

2.5. Política de seguridad

Su objetivo es proporcionar a la gerencia la dirección y soporte para la seguridad de la información, en concordancia con los requerimientos comerciales y las leyes y regulaciones relevantes. Esto por supuesto debe ser creado de forma particular por cada organización. Se debe redactar un "Documento de la política de seguridad de la información." Este documento debe ser primeramente aprobado por la gerencia y luego publicado y comunicado a todos los empleados y las partes externas relevantes.

El Documento de la Política de Seguridad de la Información debe contar con un claro lineamiento de implementación, y debe contener partes tales como una definición de seguridad de la información, sus objetivos y alcances generales, importancia, intención de la gerencia en cuanto al tema de seguridad de la información, estructuras de evaluación y gestión de riesgos, explicación de las políticas o principios de la organización, definición de las responsabilidades individuales en cuanto a la seguridad, etc. Se debe tener especial cuidado respecto a la confidencialidad de este documento, pues si se distribuye fuera de la organización, no debería divulgar información confidencial que afecte de alguna manera a la organización o a personas específicas (por ejemplo que afecte la intimidad de alguien al divulgar sus datos personales, etc.)

Las políticas de seguridad de la información no pueden quedar estáticas para siempre, sino que por el contrario, tienen que ser continuamente revisadas y actualizadas para que se mantengan en condiciones favorables y en concordancia con los cambios tecnológicos o cualquier tipo de cambio que se dé. Por ejemplo, si aparece un nuevo virus o nuevas tecnologías que representen riesgos, las políticas de seguridad podrían cambiar o ser mejoradas de acuerdo a las necesidades actuales. Un caso práctico sería el aparecimiento de las memorias USB. Antiguamente esa tecnología no existía, entonces no se esperaba que existieran robos de información a través de puertos USB. Ahora las memorias USB son de uso global y por lo tanto, las políticas de seguridad deberían considerar bloquear puertos USB o algo por el estilo, para no permitir que se extraiga información de esa manera de forma ilícita o por personas no autorizadas.

Otro problema sería tener excelentes políticas de seguridad, pero que no sean implementadas correctamente o que simplemente se queden a nivel teórico y que no se apliquen. En la vida real se suelen dar casos donde las leyes están muy bien redactadas, pero que no se cumplen. Sucede en muchos países, que la legislación puede estar estructurada muy bien, pero que no se respeta. Igualmente podría darse que se tengan excelentes políticas, pero que no se cumplan o que no se sepan implementar correctamente. Por lo tanto, se requieren lineamientos de implementación adecuados.

2.6. Aspectos organizativos de la seguridad de la información

La organización de la seguridad de la información se puede dar de dos formas: organización interna y organización con respecto a terceros.

En cuanto a la organización interna, se tiene como objetivo manejar la seguridad de la información dentro de la organización.

Se requiere un compromiso por parte de la gerencia para apoyar activamente la seguridad dentro de la organización. La gerencia debe invertir en seguridad, y no verlo como un aspecto que no tiene relevancia. Algunas veces la seguridad requiere inversión económica, y parte del compromiso de la gerencia implica tener un presupuesto especial para seguridad, por supuesto de una forma razonable que no afecte la rentabilidad de la empresa. Por ejemplo, implementar un método carísimo de seguridad podría ser de gran beneficio, pero representar un costo demasiado elevado.

Es fundamental también asignar responsabilidades. Es típica una tendencia humana el echarle la culpa a otros. Entonces cuando la seguridad es atacada, casi siempre las personas dentro de la organización tratan de buscar un culpable y quedar libres de todo cargo. Por esa razón se deben asignar claramente responsabilidades para que cuando se den los problemas, cada quien responda por sus actos y por lo que estaba bajo su cargo. La asignación de responsabilidades no solamente tiene que ser verbal, sino que escrita y en muchas ocasiones, incluso bajo un contrato legal.

Deben también existir acuerdos de confidencialidad. También se debe tener en cuenta mantener los contactos apropiados con las autoridades relevantes, por ejemplo con la policía, departamento de bomberos, etc. También se debe saber en qué casos se debe contactar a estas instituciones. También se deben mantener contactos apropiados con grupos de interés especial u otros foros de seguridad especializados y asociaciones profesionales, así como contar con capacitaciones en materia de seguridad.

La organización en materia de seguridad de la información debe también considerarse respecto a terceros. El objetivo de esto es mantener la seguridad de la información y los medios de procesamiento de información de la organización que son ingresados, procesados, comunicados a, o manejados por, grupos externos. Para ello se debe comenzar por la identificación de los riesgos relacionados con los grupos externos. Se debe estudiar cómo a raíz de procesos comerciales que involucran a grupos externos se les puede estar otorgando acceso que afecte la seguridad. Esto se puede dar tanto con clientes o con proveedores. Se debe tener especial cuidado respecto a los contratos que se hagan con terceros, para no afectar la seguridad de la información.