viernes, 3 de septiembre de 2010

BS 7799

La normativa BS7799 es el estándar de seguridad de información de facto, creada por British Standards Institution (BSI) como un conjunto de controles de seguridad y de metodologías para su correcta aplicación. Esta norma es el resultado de la alta demanda de la industria, los gobiernos y las empresas por obtener un marco común que permita a las empresas desarrollar, implementar y medir eficazmente las prácticas de gestión de seguridad de la información.

Esta norma le ayuda a las empresas a proteger sus activos e información en todas sus formas, electrónica y/o impresa, en términos de:

· La confidencialidad, que asegura que sólo las personas autorizadas tengan acceso a la información.

· La integridad, que salvaguarda la exactitud e integridad de la información y de los métodos de procesamiento.

· La disponibilidad, que asegura el acceso de los usuarios autorizados a la información y a los activos relacionados cuando es necesario.

La norma BS7799 es un amplio plan para la implementación efectiva de los niveles y controles para la seguridad de la información. El conjunto de controles requeridos por la norma brinda a los profesionales de tecnología de la información un modelo eficaz para el desarrollo de políticas y procesos de seguridad de la información en todo el ámbito de las organizaciones. Esta presenta los requisitos para un Sistema de Gestión de la Seguridad de la Información (SGSI). De esta forma, ayuda a identificar, administrar y minimizar la variedad de amenazas a las cuales está expuesta regularmente la información en las empresas.

Está dividida en dos partes: La parte 1, que surgió en 1995 y fue modificada en 1999, es un conjunto de controles que incluye las buenas prácticas de gestión de seguridad de la información. Desde su publicación por parte de la Organización Internacional de Normas (ISO) en Diciembre de 2000, la ISO 17799 surge como la norma técnica de seguridad de la información más reconocida a nivel mundial. La parte 2, denominada BS7799-2, y modificada en 2002, contiene la especificación para el establecimiento, implementación, operación, monitorización, revisión, mantenimiento y mejora de un SGSI documentado y basado en los controles y objetivos de control establecidos en la primera parte. Es precisamente esta segunda parte que permite que las organizaciones puedan certificarse.

La correcta aplicación de los controles definidos en la norma BS7799 permite a las empresas presentarse a una auditoria de certificación de seguridad de la información. La certificación les asegurará a los clientes y asociados que los niveles de la información en las redes, sistemas empresariales y la gestión de la información es segura y confiable.

La norma ha tenido gran aceptación en muchos países como Holanda, Reino Unido, Australia, Nueva Zelandia y Noruega. En el Reino Unido, por ejemplo, el gobierno recomendó como parte de su Ley de Protección a la Información de 1998, que entró en vigencia el 1 de Marzo de 2000, que las compañías Británicas utilicen BS7799 como método de cumplimiento de la Ley. Actualmente, esta norma está siendo evaluada y analizada por importantes compañías en Latinoamérica.

La certificación BS7799 permite muchas ventajas operativas y estratégicas para las empresas. Una empresa certificada con la norma BS7799 puede marcar un factor diferenciador y estratégico frente a sus competidores no certificados. Si un cliente potencial tiene que escoger entre dos servicios diferentes y la seguridad es un aspecto importante, por lo general optará por la empresa certificada. Entre sus beneficios específicos se encuentran los siguientes:

Mejoramiento de la seguridad empresarial: A través del proceso de certificación BS7799, las empresas harán un manejo efectivo de sus riesgos, lo cual generará una mejora sustancial en los niveles de seguridad y tratamiento de la información.

Planeación más efectiva de la seguridad: esta norma reúne 127 controles de seguridad en diez áreas o secciones. Estos controles permitirán que las iniciativas en materia de seguridad sean más completas, manejables y prácticas por sus costos.

Menor responsabilidad civil. Con la acreditación a la norma, la responsabilidad civil de las empresas en incidentes de seguridad podrá reducirse.

Mayor confianza del cliente: Los clientes con una alta sensibilidad o manejo de información altamente crítica buscan apoyo concreto en organizaciones que mantienen un alto perfil en seguridad, así estableciendo mejores niveles de confianza entre empresas que tienen sus procesos de seguridad debidamente certificados.

Alianzas comerciales. Las compañías pueden utilizar la acreditación como un requisito de seguridad para sus asociados y vendedores.

Auditorias de seguridad más precisas y confiables. La norma contempla un proceso de acreditación con auditores externos que comprobarán y evaluarán las políticas de seguridad instauradas.

e-commerce más seguro. Esta normativa confiere a los vendedores una especie de compromiso con la seguridad hacia los compradores que utilizan este tipo de tecnología para sus transacciones.

El funcionamiento de la seguridad para proteger la información es un aspecto importante para las actuales empresas. Aunque el proceso de implantación de un sistema de gestión de seguridad puede resultar algo complejo, la norma BS7799 puede facilitar y orientar a las empresas en la administración efectiva de sus sistemas.

2 comentarios: