Juan Ramn Garca Machado NORMAS ISO DE SEGURIDAD DE LA INFORMACION

Juan Carlos Virgen Verver

ltimamente se ha vuelto necesario distinguir entre Seguridad Informtica y Seguridad de la Informacin. Si bien la primera responde a una formacin gramatical correcta de la expresin inglesa, su uso se ha venido refiriendo casi exclusivamente a la seguridad de los sistemas IT. La Seguridad de la Informacin, en cambio, trata tambin la seguridad organizacional, operacional y fsica de una organizacin, adems de la tcnica, propia de la Seguridad Informtica. Los antecedentes en tal sentido se encuentran en la OECD (Organizacin para la Cooperacin y Desarrollo Econmico, OCDE en espaol) que estableci entre los Principios de un Gobierno Corporativo, las responsabilidades del Directorio de una empresa, como por ejemplo lo referente a la determinacin de una "poltica de riesgos" y el aseguramiento de la integridad de la informacin corporativa por medio de "sistemas para el monitoreo de los riesgos". Al considerar los riesgos corporativos hay que aplicar cierta forma de clasificacin o taxonoma, como indican las Guas de Seguridad tambin de la OECD, donde tambin se establecieron varios Principios, dos de los cuales se refieren a la Concientizacin donde aparecen las personas como individuos y como grupos, es decir la gente, y la Valuacin de riesgos, en base a amenazas y vulnerabilidades, estableciendo que los factores que determinan los riesgos pueden ser de carcter tecnolgico, fsico y humano. La evolucin de conceptos de seguridad guarda cierta relacin con el tiempo. En la dcada pasada se vinieron desarrollando varias normas relacionadas con la seguridad de la informacin siguiendo diferentes enfoques que hacen al conjunto, y ya en los ltimos aos la visin para el usuario puede verse como mucho ms integral. As fue como la Seguridad de la Informacin fue pasando de lo tcnico a la gestin y de aqu a la institucionalizacin reflejando los objetivos de negocios de una organizacin, para entroncarse en el paradigma del Corporate Governance,

Juan Ramn Garca Machado

Juan Carlos Virgen Verver

Normas bsicas de seguridad de la informacin De todas las normas publicadas de seguridad de la informacin dos de ellas constituyen las bases de todo el conjunto. Son la ISO 27002 (anteriormente ISO 17799 y sta a su vez derivada de la BS 7799-1) y la ISO 27001 (que evolucion a partir de la BS 7799-2). La ISO 27002 es una gua de recomendaciones de buenas prcticas para la gestin de seguridad de la informacin. Cubre no slo la problemtica IT sino que hace una aproximacin holstica a la seguridad corporativa de la informacin extendindose a todas las funcionalidades de una organizacin en cuanto a que puedan afectar la seguridad de la informacin. Para ello la norma, en la versin publicada en junio de 2005 (y que actualmente est siendo revisada y actualizada), define para su seleccin un total de 133 controles generales de seguridad a partir de 39 objetivos de control estructurados en 11 reas, tres de ellas tcnicas, siete de gestin y una de seguridad fsica.. La ISO 27002 est redactada bajo la forma verbal "should", un trmino presente en otras normas ISO y tambin del IETF y el IEEE que, por convencin, expresa una forma condicional que no implica imposiciones. Es as como la norma hace precisamente recomendaciones y por lo tanto no establece requisitos cuyo cumplimiento pudieren certificarse. En contraposicin con la ISO 27002, la ISO 27001 usa la expresin "shall", otro trmino convencional, en este caso para expresar mandato u obligacin. De esta manera la ISO 27001 especifica los requisitos para establecer un plan de seguridad constituido por un Sistema de Gestin de Seguridad de la Informacin, SGSI (o ISMS, por su nombre en ingls) dentro del contexto de los riesgos totales de negocios de una empresa. De esta manera, las especificaciones y las implementaciones correspondientes hacen que tanto la auditora como la certificacin se hagan con referencia a la ISO 27001. As las cosas, para mediados de Marzo de 2012 se haban emitido casi 7.700 certificaciones correspondientes a organizaciones de 85 pases diferentes. Implementacin de la ISO 27001 El proceso de implementacin mismo comienza con la determinacin del Alcance del proyecto, que puede extenderse a todas las actividades de una empresa, o bien a un servicio o rea determinados. A continuacin se debe redactar una Poltica General, un documento corto pero con el detalle concreto del Alcance y dems consideraciones pertinentes, y que debe ser

Juan Ramn Garca Machado

Juan Carlos Virgen Verver

refrendado por las autoridades mximas de la empresa para poder luego establecer las responsabilidades correspondientes. Luego sigue una parte fundamental en el proceso de implementacin constituido por la seleccin e implementacin de los controles de seguridad definidos en la ISO 27002. Dicha seleccin se realiza en base a una adecuada valuacin de los riesgos a que estn sujetos los activos a proteger.. En este punto, la ISO 27001 no impone una forma determinada de realizar dicha valuacin, pudindose recurrir a alguno de los diferentes mtodos tanto de libre uso como de herramientas comerciales, aunque es recomendable el marco de trabajo dado por la norma ISO 27005 que se comenta ms adelante. En este punto hay que tener en cuenta que las vulnerabilidades y los riesgos correspondientes de carcter tcnico de IT responden ms bien a un esquema blanco-negro o a lo sumo de tres niveles. En cambio, las vulnerabilidades no tcnicas como las operacionales se extienden a lo largo de una amplia gama de grises, muy relacionada con el comportamiento humano y las opiniones subjetivas de las personas, la cultura empresarial, la forma de comunicacin, la resistencia al cambio, etc. Los resultados de la valuacin de riesgos ya mencionada se contrastan con la situacin de seguridad existente en un proceso de pre auditora que generalmente se realiza por medio de un anlisis gap. De esta manera quedan determinados los controles de seguridad que deben implementarse, as como el nivel necesario en los mismos. Toda esta informacin se registra en una Declaracin de Aplicabilidad, SoA, que acompaa al Alcance en el proceso de certificacin posterior. Por cierto dicho SoA debe incluir todos los controles implementados o no con los correspondientes motivos. Otra de las caractersticas ms trascendentes de la ISO 27001 es la incorporacin del ciclo Deming o modelo de mejoramiento continuo de cuatro fases PDCA (Plan-Do-Check-Act), que para el caso trata del establecimiento, implementacin y operacin, monitoreo y mejoramiento del sistema de gestin de seguridad de la informacin. La aplicacin del modelo PDCA en la ISO 27001 permite alcanzar varios objetivos destacados: a) Satisface los Principios formulados en la nueva versin de las Guas para la Seguridad de los Sistemas y Redes de Informacin de la Organizacin para la Cooperacin y Desarrollo Econmico (OCDE). b) Ofrece una atractiva y til armonizacin con las normas ISO 9001 (Calidad), ISO 14001 (Ambiental) y OHSAS 18001 (Higiene y Seguridad Ocupacional), que tambin fueron desarrolladas en base al ciclo PDCA. Esto permite un alineamiento entre estas normas en reas comunes como partes de la documentacin, entrenamiento, auditora interna, etc. todo lo cual facilita una implementacin consistente y semiintegrada, con la consiguiente reduccin de costos y esfuerzos. c) El SGSI forma parte naturalmente de los procesos y procedimientos de riesgo del Corporate Governance. Efectivamente, un buen Gobierno Corporativo se ocupa del establecimiento y mantenimiento de un proceso efectivo de gestin de riesgos incluyendo un sistema de controles internos, as como tambin de fomentar la incorporacin de la funcin de auditora interna en

Juan Ramn Garca Machado

Juan Carlos Virgen Verver

una organizacin. Todo esto queda reflejado en las diferentes fases del proceso PDCA de la ISO 27001. d) Al considerar los requisitos de seguridad de la informacin en toda una organizacin, e implementarse y operar en el contexto de la gestin de los riesgos totales de negocios de la misma, genera una importante sinergia con la implementacin Turnbull de gestin de riesgos de negocios, tambin modelada con el ciclo PDCA. La serie de normas ISO 27K Las normas ISO 27002 e ISO 27001 constituyen el ncleo de toda una serie de normas ISO 27000, tambin mencionadas como 27K, ofreciendo una estructura auto-consistente e integral. Algunas son extensiones a la ISO 27002 para actividades especficas. Otras detallan indicaciones y especificaciones bajo la rbita de la ISO 27001. Finalmente un par de ellas se refieren a la auditora y certificacin. Sigue un listado de estas normas para marzo de 2012, ISO 27000: Define el vocabulario tcnico especfico. Publicada en Mayo de 2009. ISO 27001: Versin ISO actualizada de la BS 7799-2. Publicada en 2005. ISO 27002: Nueva denominacin actualizada de la ISO 17799:2005. ISO 27003: Gua general de implementacin de la serie. Publicada en Febrero de 2010. ISO 27004: Estipula un modelo de atributos de objetos de seguridad, su cuantificacin a modo de indicadores, y las mtricas y formas de medicin correspondientes a la eficiencia y progreso de la implementacin de un SGSI y la efectividad de los controles implementados. Publicada en 2009. Para esta norma corresponde mencionar al Balanced Scorecard (BSC) como un mecanismo adecuado para el control y medio de gestin de dichas medidas de seguridad, y que facilita la toma de decisiones para las mejoras correspondientes. Adems, por su funcionalidad estratgica el BSC genera valor para el desarrollo de los procesos corporativos actuando de puente entre las reas de seguridad de la informacin y la de negocios. ISO 27005: Se refiere a la valuacin y gestin de riesgos y fue publicada en 2008-. En gran parte se basa en la ISO 13335. Igualmente ha tomado varios temas relacionados con el ciclo de vida de la gestin de riesgos conforme la nueva norma britnica BS 7799-3, que si bien tambin trata de los riesgos tiene un enfoque especial en los negocios. La ISO 27005 tambin reconoce el formato y diagrama de flujo de la norma australiana de riesgos AS/NZS 4360 (hoy da ampliada por la ISO 31000). En la prctica la ISO 27005 establece un marco de referencia para el anlisis y gestin de riesgos que permite el uso de alguno de los muchos productos comerciales y gratuitos al efecto. ISO 27006: Requerimientos para la acreditacin de entidades de auditora y certificacin de SGSI. Publicada en 2007. ISO 27007: Auditora del SGSI, derivada de ISO 19011. ISO 27008. Auditora de la Gestin de la Seguridad de la Informacin (no del Sistema propiamente dicho de Gestin de Seguridad de la Informacin, que es tema de la ISO 27007) en cuanto a los controles implementados. ISO 27011: Extensin de la ISO 27002 en cuanto a la gestin de seguridad en telecomunicaciones. Publicada en 2008. ISO 27013: Gua para la implementacin sucesiva o combinada de la ISO 27001 con la ISO 20000 (ITIL). Pensada para manejar los puntos de solapamiento en cuanto a seguridad TIC del ITIL con la ISO 27001. En draft de Trabajo. ISO 27031: Preparada para la seguridad IT en la Continuidad de Negocios. Publicada en Abril de

Juan Ramn Garca Machado

Juan Carlos Virgen Verver

2011. ISO 27032: Gua de ciberseguridad. En draft final. ISO 27033: Extensin de la ISO 27002 en cuanto a Seguridad de redes IT, evolucin a partir de la ISO 18028. Dividida en 8 partes, en 2010 se public la primera parte.. ISO 27034: Extensin de la ISO 27002 en cuanto a la seguridad en las aplicaciones. Publicada la primera parte de un total de 6. ISO 27035: Gestin de incidentes basada en la ISO 18044. Publicada en octubre de 2011. ISO 27799: Extensin de la ISO 27002 para cubrir los aspectos referidos a la proteccin de la informacin personal de salud. Publicada a mediados en 2008.

Aplicaciones El conjunto de caractersticas mencionadas convierten a la ISO 27001 en una importante ayuda para que una empresa pueda mejorar su actual nivel de seguridad y mitigar los riesgos significativos correspondientes que pudieren afectar sus negocios. Una aplicacin muy actual en este sentido responde a los desafos que enfrenta una estrategia de seguridad para e-business y las mltiples cuestiones que pueden limitar el conocido escenario extranet de comunicaciones B2B entre empresas. Efectivamente, en este caso a travs de Internet se interconectan redes de diferentes empresas (proveedores, clientes, socios), muchas veces con niveles de seguridad desconocidos. La certificacin con la ISO 27001 de las diferentes organizaciones interconectadas les da homogeneidad en este punto, otorgando una garanta de aseguramiento entre ellas, sin importar el tipo de dispositivos, mecanismos, productos o marcas as como los procedimientos con que se hayan implementado los controles y contramedidas de seguridad del SGSI. Otra aplicacin es el mapeado de los requisitos de reglamentaciones y directivas sobre proteccin de datos personales, como las de la DNPDP (Direccin Nacional de Proteccin de Datos Personales) de Argentina bajo la ley de Habeas Data, y la LOPD (Ley Orgnica de Proteccin de Datos) de Espaa. El resultado es una suerte de miniproyecto de seguridad de la informacin, que incluye los controles de la ISO 27002 referidos a dichas reglamentaciones o directivas.

Juan Ramn Garca Machado

Juan Carlos Virgen Verver

La ISO 27001 aparece tambin como la norma idnea para medir la porcin de seguridad de la informacin en los riesgos operacionales que los bancos deben considerar adems de los tradicionales riesgos crediticios, a la luz de los Acuerdos de Capitales Basilea II/III. Por su parte ambas normas encuentran su aplicacin tambin para un BCP (Pan de Continuidad de Negocios) como parte de un BCM (Gestin de Continuidad de Negocios), as como tambin para medir la efectividad de las medidas para dar cumplimiento a la Seccin 404 (a) de la Ley SarbanesOxley, y tambin para satisfacer los requisitos de la Disposicin Nro. 11/2006 de Argentina referida a la Proteccin de Datos Personales (Ley de Habeas Data).