BS 7799

La normativa BS7799 es el estándar de seguridad de información de facto, creada por British Standards Institution (BSI) como un conjunto de controles de seguridad y de metodologías para su correcta aplicación. Esta norma es el resultado de la alta demanda de la industria, los gobiernos y las empresas por obtener un marco común que permita a las empresas desarrollar, implementar y medir eficazmente las prácticas de gestión de seguridad de la información.

Esta norma le ayuda a las empresas a proteger sus activos e información en todas sus formas, electrónica y/o impresa, en términos de:

· La confidencialidad, que asegura que sólo las personas autorizadas tengan acceso a la información.

· La integridad, que salvaguarda la exactitud e integridad de la información y de los métodos de procesamiento.

· La disponibilidad, que asegura el acceso de los usuarios autorizados a la información y a los activos relacionados cuando es necesario.

La norma BS7799 es un amplio plan para la implementación efectiva de los niveles y controles para la seguridad de la información. El conjunto de controles requeridos por la norma brinda a los profesionales de tecnología de la información un modelo eficaz para el desarrollo de políticas y procesos de seguridad de la información en todo el ámbito de las organizaciones. Esta presenta los requisitos para un Sistema de Gestión de la Seguridad de la Información (SGSI). De esta forma, ayuda a identificar, administrar y minimizar la variedad de amenazas a las cuales está expuesta regularmente la información en las empresas.

Está dividida en dos partes: La parte 1, que surgió en 1995 y fue modificada en 1999, es un conjunto de controles que incluye las buenas prácticas de gestión de seguridad de la información. Desde su publicación por parte de la Organización Internacional de Normas (ISO) en Diciembre de 2000, la ISO 17799 surge como la norma técnica de seguridad de la información más reconocida a nivel mundial. La parte 2, denominada BS7799-2, y modificada en 2002, contiene la especificación para el establecimiento, implementación, operación, monitorización, revisión, mantenimiento y mejora de un SGSI documentado y basado en los controles y objetivos de control establecidos en la primera parte. Es precisamente esta segunda parte que permite que las organizaciones puedan certificarse.

La correcta aplicación de los controles definidos en la norma BS7799 permite a las empresas presentarse a una auditoria de certificación de seguridad de la información. La certificación les asegurará a los clientes y asociados que los niveles de la información en las redes, sistemas empresariales y la gestión de la información es segura y confiable.

La norma ha tenido gran aceptación en muchos países como Holanda, Reino Unido, Australia, Nueva Zelandia y Noruega. En el Reino Unido, por ejemplo, el gobierno recomendó como parte de su Ley de Protección a la Información de 1998, que entró en vigencia el 1 de Marzo de 2000, que las compañías Británicas utilicen BS7799 como método de cumplimiento de la Ley. Actualmente, esta norma está siendo evaluada y analizada por importantes compañías en Latinoamérica.

La certificación BS7799 permite muchas ventajas operativas y estratégicas para las empresas. Una empresa certificada con la norma BS7799 puede marcar un factor diferenciador y estratégico frente a sus competidores no certificados. Si un cliente potencial tiene que escoger entre dos servicios diferentes y la seguridad es un aspecto importante, por lo general optará por la empresa certificada. Entre sus beneficios específicos se encuentran los siguientes:

Mejoramiento de la seguridad empresarial: A través del proceso de certificación BS7799, las empresas harán un manejo efectivo de sus riesgos, lo cual generará una mejora sustancial en los niveles de seguridad y tratamiento de la información.

Planeación más efectiva de la seguridad: esta norma reúne 127 controles de seguridad en diez áreas o secciones. Estos controles permitirán que las iniciativas en materia de seguridad sean más completas, manejables y prácticas por sus costos.

Menor responsabilidad civil. Con la acreditación a la norma, la responsabilidad civil de las empresas en incidentes de seguridad podrá reducirse.

Mayor confianza del cliente: Los clientes con una alta sensibilidad o manejo de información altamente crítica buscan apoyo concreto en organizaciones que mantienen un alto perfil en seguridad, así estableciendo mejores niveles de confianza entre empresas que tienen sus procesos de seguridad debidamente certificados.

Alianzas comerciales. Las compañías pueden utilizar la acreditación como un requisito de seguridad para sus asociados y vendedores.

Auditorias de seguridad más precisas y confiables. La norma contempla un proceso de acreditación con auditores externos que comprobarán y evaluarán las políticas de seguridad instauradas.

e-commerce más seguro. Esta normativa confiere a los vendedores una especie de compromiso con la seguridad hacia los compradores que utilizan este tipo de tecnología para sus transacciones.

El funcionamiento de la seguridad para proteger la información es un aspecto importante para las actuales empresas. Aunque el proceso de implantación de un sistema de gestión de seguridad puede resultar algo complejo, la norma BS7799 puede facilitar y orientar a las empresas en la administración efectiva de sus sistemas.

ISO 17799

En toda organización que haga uso de las tecnologías de información se recomienda implementar buenas prácticas de seguridad, pues en muchas ocasiones el no seguir un proceso de implementación adecuado como el que establece el ISO 17799 puede generar huecos por la misma complejidad de las organizaciones, en ese sentido, aumenta la posibilidad de riesgos en la información.

Este estándar internacional de alto nivel para la administración de la seguridad de la información, fue publicado por la ISO en diciembre de 2000 con el objeto de desarrollar un marco de seguridad sobre el cual trabajen las organizaciones.

El ISO 17799, al definirse como una guía en la implementación del sistema de administración de la seguridad de la información, se orienta a preservar los siguientes principios de la seguridad informática:

Confidencialidad. Asegurar que únicamente personal autorizado tenga acceso a la información.

Integridad. Garantizar que la información no será alterada, eliminada o destruida por entidades no autorizadas.

Disponibilidad. Asegurar que los usuarios autorizados tendrán acceso a la información cuando la requieran.

Estos principios en la protección de los activos de información constituyen las normas básicas deseables en cualquier organización, sean instituciones de gobierno, educativas e investigación; no obstante, dependiendo de la naturaleza y metas de las organizaciones, éstas mostrarán especial énfasis en algún dominio o área del estándar ISO 17799.

El objetivo de la seguridad de los datos es asegurar la continuidad de las operaciones de la organización, reducir al mínimo los daños causados por una contingencia, así como optimizar la inversión en tecnologías de seguridad.

Como todo buen estándar, el ISO 17799 da la pauta en la definición sobre cuáles metodologías, normas o estándares técnicos pueden ser aplicados en el sistema de administración de la seguridad de la información, se puede entender que estos estándares son auxiliares y serán aplicados en algún momento al implementar el mismo.

La aplicación de un marco de referencia de seguridad basado en el ISO 17799 proporciona beneficios a toda organización que lo implemente, al garantizar la existencia de una serie de procesos que permiten evaluar, mantener y administrar la seguridad de la información.

Las políticas, estándares locales y los procedimientos se encuentran adaptados a las necesidades de la organización debido a que el proceso mismo de su elaboración integra mecanismos de control y por último, la certificación permite a las organizaciones demostrar el estado de la seguridad de la información, situación que resulta muy importante en aquellos convenios o contratos con terceras organizaciones que establecen como requisito contractual la certificación BS7799.

Antecedentes

Es importante entender los principios y objetivos que dan vida al ISO 17799, así como los beneficios que cualquier organización, incluyendo las instituciones públicas, privadas y ambientes educativos pueden adquirir al implementarlo en sus prácticas de seguridad de la información.

El estándar de seguridad de la información ISO 17799, descendiente del BS 7799 – Information Security Management Standard – de la BSI (British Standard Institute) que publicó su primera versión en Inglaterra en 1995, con actualizaciones realizadas en 1998 y 1999, consiste de dos partes:

· Parte 1. Código de prácticas.

· Parte 2. Especificaciones del sistema de administración de seguridad de la información.

Por la necesidad generalizada de contar con un estándar de carácter internacional que permitiera reconocer o validar el marco de referencia de seguridad aplicado por las organizaciones, se elaboró el estándar ISO17799:2000, basado principalmente en la primera parte del BS 7799 conocida como Código de Prácticas (BS 7799 Part 1: Code of Practice).

Los controles del ISO 17799

El éxito de la implementación del estándar de seguridad ISO 17799 requiere de una serie de procedimientos donde, inicialmente, el análisis de riesgos identificará los activos de la información y las amenazas a las cuales se encuentra expuesta.

El análisis de riesgos guiará en la correcta selección de los controles que apliquen a la organización; este proceso se conoce en la jerga del estándar como Statement of Applicability, que es la definición de los controles que aplican a la organización con objeto de proporcionar niveles prácticos de seguridad de la información y medir el cumplimiento de los mismos.

A continuación, se describirán cada una de las diez áreas de seguridad con el objeto de esclarecer los objetivos de estos controles.

Políticas de seguridad. El estándar define como obligatorias las políticas de seguridad documentadas y procedimientos internos de la organización que permitan su actualización y revisión por parte de un Comité de Seguridad.

Seguridad organizacional. Establece el marco formal de seguridad que debe integrar una organización, tales como un foro de administración de la seguridad de la información, un contacto oficial de seguridad (Information System Security Officer – ISSO), revisiones externas a la infraestructura de seguridad y controles a los servicios de outsourcing, entre otros aspectos.

Clasificación y control de activos. El análisis de riesgos generará el inventario de activos que deberá ser administrado y controlado con base en ciertos criterios de clasificación y etiquetado de información, es decir, los activos serán etiquetados de acuerdo con su nivel de confidencialidad.

Seguridad del personal. Contrario a lo que uno se puede imaginar, no se orienta a la seguridad del personal desde la óptica de protección civil, sino a proporcionar controles a las acciones del personal que opera con los activos de información.

El objetivo de esta área del estándar es contar con los elementos necesarios para mitigar el riesgo inherente a la interacción humana, es decir, establecer claras responsabilidades por parte del personal en materia de seguridad de la información.

Seguridad física y de entorno. Identificar los perímetros de seguridad, de forma que se puedan establecer controles en el manejo de equipos, transferencia de información y control de los accesos a las distintas áreas con base en el tipo de seguridad establecida.

Comunicaciones y administración de operaciones. Integrar los procedimientos de operación de la infraestructura tecnológica y de controles de seguridad documentados, que van desde el control de cambios en la configuración de los equipos, manejo de incidentes, administración de aceptación de sistemas, hasta el control de código malicioso.

Control de acceso. Habilitar los mecanismos que permitan monitorear el acceso a los activos de información, que incluyen los procedimientos de administración de usuarios, definición de responsabilidades o perfiles de seguridad y el control de acceso a las aplicaciones.

Desarrollo de sistemas y mantenimiento. La organización debe disponer de procedimientos que garanticen la calidad y seguridad de los sistemas desarrollados para tareas específicas de la organización.

Continuidad de las operaciones de la organización. El sistema de administración de la seguridad debe integrar los procedimientos de recuperación en caso de contingencias, los cuales deberán ser revisados de manera constante y puestos a prueba con la finalidad de determinar las limitaciones de los mismos.

Requerimientos legales. La organización establecerá los requerimientos de seguridad que deben cumplir todos sus proveedores, socios y usuarios; éstos se encontrarán formalizados en los contratos o convenios.

Cada una de las áreas establece una serie de controles que serán seleccionados dependiendo de los resultados obtenidos en el análisis de riesgos, además, existen controles obligatorios para toda organización, como es el de las políticas de seguridad cuyo número dependerá más de la organización que del estándar, el cual no establece este nivel de detalle.

El ISO 17799 en la UNAM

El Departamento de Seguridad en Cómputo (DSC) de la UNAM y UNAM-CERT (Equipo de Respuesta a Incidentes de Seguridad en Cómputo), cuentan con el personal capacitado para apoyar a cualquier organización en la implementación del estándar de seguridad ISO 17799.

Hoy en día se desarrollan e implementan los sistemas de administración de seguridad de la información descritos en los estándares de seguridad actuales; de igual forma, a través de metodologías como OCTAVE (Operationally Critical Threat Asset and Vulnerability Evaluation) se enriquece la implementación del ISO 17799.

Asimismo, se proporciona capacitación dentro de las líneas de especialización que imparte el DSC/UNAM-CERT. En la actualidad, se prepara una línea enfocada a la implementación de estándares de seguridad en las organizaciones, por lo que cualquier persona interesada en esta capacitación puede consultar la dirección electrónica del Congreso de Seguridad en Cómputo 2005.

Conclusiones

La correcta selección de los controles es una tarea que requiere del apoyo de especialistas en seguridad informática, con experiencia en la implementación del ISO 17799, ya que cuando éstos se establecen de forma inadecuada pueden generar un marco de trabajo demasiado estricto y poco adecuado para las operaciones de la organización.

Como todo estándar, el ISO 17799 proporciona un marco ordenado de trabajo al cual deben sujetarse todos los integrantes de la organización, y aunque no elimina el cien por ciento de los problemas de seguridad, sí establece una valoración de los riesgos a los que se enfrenta una organización en materia de seguridad de la información. Dicha valoración permite administrar los riesgos en función de los recursos tecnológicos y humanos con los que cuenta la organización; adicionalmente, establece un entorno que identifica los problemas de seguridad en tiempos razonables, situación que no es posible, la mayoría de las veces, si no se cuenta con controles de seguridad como los establecidos en el ISO 17799, es decir, la aplicación del estándar garantiza que se podrán detectar las violaciones a la seguridad de la información, situación que no necesariamente ocurre en caso de no aplicarse el estándar.