Impacto de los estándares de seguridad (1)
Criterios y marcos generales
Cada vez son más las organizaciones que toman conciencia del carácter crítico que para su negocio tiene el desarrollo de políticas de seguridad informática globales y coherentes. Pero la tarea es compleja, dada la variedad de estándares existentes hoy en el mercado. En este artículo se recoge un análisis de las principales normativas de seguridad informática, de las organizaciones que las soportan y de aquellas de las que es posible obtener certificaciones.
Afortunadamente, poco a poco las empresas comienzan a percibir el mantenimiento de la seguridad de sus redes, sistemas, aplicaciones y datos como una necesidad básica para la consecución de sus objetivos últimos. En este interés creciente por la seguridad está jugando un papel fundamental en España la incidencia en el día a día de muchas organizaciones de normas jurídicas como la Ley Orgánica de Protección de Datos (LOPD), la Ley de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSICE) o la Ley de la Firma Digital (LFD). También el tan deseado despegue completo del comercio electrónico funciona como elemento impulsor de las inversiones en esta área.
En consecuencia, multitud de organizaciones públicas y privadas están creando, manteniendo y auditando sus políticas de seguridad informática, atendiendo, por un lado, a las necesidades concretas del negocio y, por otro, a las recomendaciones básicas que sobre la materia han ido lanzando en los últimos años organizaciones como la OCDE o el Consejo de Europa. Todas utilizan, de una u otra forma, distintos tipos de normas y estándares de seguridad, pero ¿se conoce realmente el alcance de cada una de ellas?, ¿se están aplicando en cada caso las que más convienen a la empresa?
Análisis de la oferta
Como la introducción de este tipo de mecanismos supone siempre, obviamente, una inversión, en cualquier entorno se analizará en detalle cuál es su retorno (ROI). Estamos en una situación en la que, cada vez más, los responsables de la seguridad informática de las empresas han de rendir cuentas y demostrar que sus políticas de seguridad, y los procedimientos y programas a los que estas políticas dan lugar, son eficaces y aportan un alto valor para la organización. Así, es lógico que antes de optar por una solución analicen detenidamente los diferentes estándares de seguridad existentes y la forma en que cada uno de ellos se adecua a la situación concreta de su organización. Una tarea compleja que obliga a navegar por la inmensa “sopa de letras” generada por la industria de las certificaciones de seguridad.
Esta multiplicidad de estándares, no obstante, tiene el potencial de aportar una fuente de luz en la complejidad de la seguridad TI de muchas empresas al servir de base para dos aspectos esenciales. Por un lado, actúa como refuerzo normativo y como soporte técnico e intelectual para los procesos y procedimientos de seguridad mínimos; por otro, pone un poco de orden en la tremenda diversidad de productos de hardware, software, sistemas, redes y aplicaciones, permitiendo discernir la compatibilidad entre todos ellos.
Criterios de evaluación
En teoría, los estándares proponen una solución neutral, al establecer metodologías que permiten poner de acuerdo los intereses de los fabricantes y de los usuarios, proporcionando, por supuesto, seguridad y fiabilidad. Pero, si el procedimiento no es estrictamente correcto, podría ser que las normas se empleasen para favorecer los productos o servicios de ciertos fabricantes frente a los de otros. Se podría estar, así, favoreciendo la mediocridad y perjudicando la innovación.
Desde luego, lo recomendable es conocer lo más posible esta industria de la certificación, de manera que el responsable de la toma de decisiones sepa cuáles son los principales estándares de seguridad, qué empresas se encuentran detrás de ellos y cuáles son las organizaciones encargadas de certificar su cumplimiento. Son cinco las cuestiones que deben servir de criterios de análisis de la oferta: ¿qué objetivos pretende cubrir cada norma?, ¿qué organización la crea y mantiene?, ¿cómo se consigue un certificado de cumplimiento, si lo hay?, ¿qué grado de aceptación ha despertado?, ¿cuál es su situación actual en el panorama español?
Teniendo en cuenta la gran cantidad de opciones existente parece lógico empezar por hacer una primera clasificación basada en lo que pretende conseguir cada norma. En este sentido, se puede distinguir entre estándares de criterios y marcos generales de seguridad, estándares técnicos relacionados con la seguridad de redes y sistemas, estándares relativos al desarrollo de aplicaciones seguras y estándares asociados con la certificación personal. A continuación se tratará la primera categoría, quedando el resto para la segunda parte de este artículo.
ISO/IEC 17799
Hoy en día la norma internacional con más aceptación general en el campo de la gestión de la seguridad es ISO/IEC 17799, aprobada en 2000 y cuyo origen está en la primera parte, centrada sobre todo en los procedimientos, del estándar BS 7799 del BSI (British Standards Institute), publicado en 1999. La norma es también conocida como certificación InfoSec y, en cualquiera de sus variantes, se trata de una certificación sobre gestión de seguridad de la información.
ISO (International Standards Organization) es una organización internacional que promueve el desarrollo de normas que mejoren el intercambio de bienes y servicios, y fomenten la cooperación a nivel intelectual, científico, técnico y económico. Es la organización que hay detrás de, por ejemplo, las normas de control de la calidad, ISO 9000. A través de uno de sus subcomités técnicos, ha creado estándares para variedad de asuntos relacionados con la seguridad, desde líneas generales para la consecución de seguridad informática en redes (ISO 18028) hasta los conocidos Criterios Comunes (ISO 15408), de los que se hablará más adelante. En cuanto al segundo acrónimo incluido en el nombre de la norma ISO/IEC 17799, corresponde a International Electrotechnical Committee, uno de los comités de ISO.
ISO 17799, que recoge un conjunto de normas organizativas de gestión de la seguridad informática, ha sido diseñado para poder implantarse en cualquier tipo de organización, independientemente de su tamaño o actividad. Ofrece una serie de recomendaciones flexibles sobre diez áreas clave: política de seguridad, organización de la seguridad, control y clasificación de los recursos de información, implicación de todo el personal, seguridad física, gestión de comunicaciones y de la operación, control de acceso, desarrollo y mantenimiento de los sistemas, gestión de la continuidad y cumplimiento de la norma.
En España, la organización oficial de normalización es AENOR (Asociación Española de Normalización), encargada de la elaboración de las normas, que reciben, en la jerga del sector, el nombre de UNE (Única Norma Española). El CEN (Centro Europeo de Normalización) es el organismo europeo correspondiente y asocia a 16 países que elaboran las normas EN (European Norm). Así que, para poner un poco de orden en tal sopa de letras, se puede considerar que UNE, EN e ISO trab
Afortunadamente, poco a poco las empresas comienzan a percibir el mantenimiento de la seguridad de sus redes, sistemas, aplicaciones y datos como una necesidad básica para la consecución de sus objetivos últimos. En este interés creciente por la seguridad está jugando un papel fundamental en España la incidencia en el día a día de muchas organizaciones de normas jurídicas como la Ley Orgánica de Protección de Datos (LOPD), la Ley de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSICE) o la Ley de la Firma Digital (LFD). También el tan deseado despegue completo del comercio electrónico funciona como elemento impulsor de las inversiones en esta área.
En consecuencia, multitud de organizaciones públicas y privadas están creando, manteniendo y auditando sus políticas de seguridad informática, atendiendo, por un lado, a las necesidades concretas del negocio y, por otro, a las recomendaciones básicas que sobre la materia han ido lanzando en los últimos años organizaciones como la OCDE o el Consejo de Europa. Todas utilizan, de una u otra forma, distintos tipos de normas y estándares de seguridad, pero ¿se conoce realmente el alcance de cada una de ellas?, ¿se están aplicando en cada caso las que más convienen a la empresa?
Análisis de la oferta
Como la introducción de este tipo de mecanismos supone siempre, obviamente, una inversión, en cualquier entorno se analizará en detalle cuál es su retorno (ROI). Estamos en una situación en la que, cada vez más, los responsables de la seguridad informática de las empresas han de rendir cuentas y demostrar que sus políticas de seguridad, y los procedimientos y programas a los que estas políticas dan lugar, son eficaces y aportan un alto valor para la organización. Así, es lógico que antes de optar por una solución analicen detenidamente los diferentes estándares de seguridad existentes y la forma en que cada uno de ellos se adecua a la situación concreta de su organización. Una tarea compleja que obliga a navegar por la inmensa “sopa de letras” generada por la industria de las certificaciones de seguridad.
Esta multiplicidad de estándares, no obstante, tiene el potencial de aportar una fuente de luz en la complejidad de la seguridad TI de muchas empresas al servir de base para dos aspectos esenciales. Por un lado, actúa como refuerzo normativo y como soporte técnico e intelectual para los procesos y procedimientos de seguridad mínimos; por otro, pone un poco de orden en la tremenda diversidad de productos de hardware, software, sistemas, redes y aplicaciones, permitiendo discernir la compatibilidad entre todos ellos.
Criterios de evaluación
En teoría, los estándares proponen una solución neutral, al establecer metodologías que permiten poner de acuerdo los intereses de los fabricantes y de los usuarios, proporcionando, por supuesto, seguridad y fiabilidad. Pero, si el procedimiento no es estrictamente correcto, podría ser que las normas se empleasen para favorecer los productos o servicios de ciertos fabricantes frente a los de otros. Se podría estar, así, favoreciendo la mediocridad y perjudicando la innovación.
Desde luego, lo recomendable es conocer lo más posible esta industria de la certificación, de manera que el responsable de la toma de decisiones sepa cuáles son los principales estándares de seguridad, qué empresas se encuentran detrás de ellos y cuáles son las organizaciones encargadas de certificar su cumplimiento. Son cinco las cuestiones que deben servir de criterios de análisis de la oferta: ¿qué objetivos pretende cubrir cada norma?, ¿qué organización la crea y mantiene?, ¿cómo se consigue un certificado de cumplimiento, si lo hay?, ¿qué grado de aceptación ha despertado?, ¿cuál es su situación actual en el panorama español?
Teniendo en cuenta la gran cantidad de opciones existente parece lógico empezar por hacer una primera clasificación basada en lo que pretende conseguir cada norma. En este sentido, se puede distinguir entre estándares de criterios y marcos generales de seguridad, estándares técnicos relacionados con la seguridad de redes y sistemas, estándares relativos al desarrollo de aplicaciones seguras y estándares asociados con la certificación personal. A continuación se tratará la primera categoría, quedando el resto para la segunda parte de este artículo.
ISO/IEC 17799
Hoy en día la norma internacional con más aceptación general en el campo de la gestión de la seguridad es ISO/IEC 17799, aprobada en 2000 y cuyo origen está en la primera parte, centrada sobre todo en los procedimientos, del estándar BS 7799 del BSI (British Standards Institute), publicado en 1999. La norma es también conocida como certificación InfoSec y, en cualquiera de sus variantes, se trata de una certificación sobre gestión de seguridad de la información.
ISO (International Standards Organization) es una organización internacional que promueve el desarrollo de normas que mejoren el intercambio de bienes y servicios, y fomenten la cooperación a nivel intelectual, científico, técnico y económico. Es la organización que hay detrás de, por ejemplo, las normas de control de la calidad, ISO 9000. A través de uno de sus subcomités técnicos, ha creado estándares para variedad de asuntos relacionados con la seguridad, desde líneas generales para la consecución de seguridad informática en redes (ISO 18028) hasta los conocidos Criterios Comunes (ISO 15408), de los que se hablará más adelante. En cuanto al segundo acrónimo incluido en el nombre de la norma ISO/IEC 17799, corresponde a International Electrotechnical Committee, uno de los comités de ISO.
ISO 17799, que recoge un conjunto de normas organizativas de gestión de la seguridad informática, ha sido diseñado para poder implantarse en cualquier tipo de organización, independientemente de su tamaño o actividad. Ofrece una serie de recomendaciones flexibles sobre diez áreas clave: política de seguridad, organización de la seguridad, control y clasificación de los recursos de información, implicación de todo el personal, seguridad física, gestión de comunicaciones y de la operación, control de acceso, desarrollo y mantenimiento de los sistemas, gestión de la continuidad y cumplimiento de la norma.
En España, la organización oficial de normalización es AENOR (Asociación Española de Normalización), encargada de la elaboración de las normas, que reciben, en la jerga del sector, el nombre de UNE (Única Norma Española). El CEN (Centro Europeo de Normalización) es el organismo europeo correspondiente y asocia a 16 países que elaboran las normas EN (European Norm). Así que, para poner un poco de orden en tal sopa de letras, se puede considerar que UNE, EN e ISO trab
