Universidad Nacional Autónoma de México
Dirección General de Servicios de Cómputo Académico
Año 7 Núm. 74, Publicación Mensual, 27 de Noviembre de 2008

ARTÍCULOS

 

Año 6, Número 57, Marzo de 2007

La evolución del estándar ISO 27001

Damián Francisco Javier Palomino Martínez

 

En muchos textos relacionados con la gestión de calidad en sistemas de cómputo se lee: “… el sistema debe estar en cumplimiento a los estándares internacionales de seguridad informática”. Si por curiosidad se realiza una búsqueda en el sitio de ISO (www.iso.org) del término Information security, el buscador arroja la fabulosa cantidad de 120 estándares aplicables. Entonces queda la gran interrogante: “¿será necesario cumplir con los 120 estándares que aparecen? ¿Con tener 60 ya cumplimos o 10 son suficientes? Pero… con las restricciones presupuestales, falta de tiempo y de personal capacitado, cinco suenan bien, ¿o no? ¿O es más que suficiente que se cumpla uno? ¿Esta apreciación es correcta? ¡Por supuesto que no! Cada uno de estos estándares tiene un alcance y un propósito perfectamente definido, entonces, ¿cómo es que se determina qué estándares aplicamos a los sistemas que piden cumplimiento de estándares internacionales? La respuesta es sencilla: certificar.

De buena práctica a estándar internacional

Hace algunos años no existía la tendencia de certificar procesos, o sistemas de gestión, por ello, ISO 9000 vino a redefinir en el año 2000 la certificación de los sistemas de gestión de calidad, mediante la norma ISO 9001:2000, donde se incorpora el modelo PDCA (Plan–Do–Check –Act, por sus siglas en inglés).

Pero aún en 2005, no existía una norma ISO que permitiera certificar alguna organización en cuanto a sus prácticas de seguridad informática y las alternativas, en esos momentos se certificaba en normas inglesas (BS) o españolas (UNE).

Hasta 2005, el estándar más conocido en el entorno de seguridad informática era el ISO 17799, pero con la limitación de ser un “código de prácticas” (Information technology Security techniques Code of practice for information security management), en el momento que se publica su última revisión, se anuncia el desarrollo de una serie de estándares ISO 27000, dedicada exclusivamente a la seguridad informática. Con esto se le da un nuevo alcance a la seguridad, porque no sólo es llevar un código de mejores prácticas sino establecer un estándar certificable de forma similar al ISO 9000 (el primero de esa serie en publicarse fue el ISO 27001).

El estándar ISO 27001 nace como consecuencia de años de trabajo, como lo demuestra la siguiente cronología:

1980

Estándar de Shell

1985

Código de práctica (PD0003)

1993

Código de prácticas

1993

Grupo industrial del trabajo

1995

BS 7799 – 1

1998

BS 7799 – 2

1999

Revisión BS 7799 -1 y BS 7799 -2

2000 (diciembre)

ISO/IEC 17799:2000

2001

Revisión BS-7799-2

2002 (septiembre)

Revisión BS-7799-2

2004 (marzo)

UNE 71502

2005 (junio)

ISO/IEC 17799:2005

2005 (octubre)

ISO/IEC FDIS 27001:2005

Fecha tentativa de publicación:
2007 (abril)

ISO/IEC FDIS 27003:2007

Las aportaciones más importantes a la familia ISO 27001 vienen, principalmente, de los estándares británicos BS7799 -1 (Information Technology. Code of Practice for Information Security Management) y BS7799 -2 (Information Security Management Systems - Specification with Guidance for Use).

La forma como el estándar ha cambiado a través del tiempo se resume:

BS7799-1:1999 ISO 17799:20009:2

ISO 17799:2005

10 Dominios
(Dominio es cada una de las áreas del estándar)

36 Objetivos

127 Controles específicos

10 Dominios

36 Objetivos

127 Controles específicos

11 Dominios

39 Objetivos

133 controles específicos

BS7799-2:2001 BS7799-2:20029

ISO 27001:2005

10 Dominios

36 Objetivos

127 Controles específicos

10  Dominios

36  Objetivos

127 Controles específicos

11 Dominios

39 Objetivos

133 Controles específicos

La familia completa de la ISO 27000 está formada por los estándares mencionados a continuación. Actualmente, sólo ha sido publicada la IS0 27001:2005 y la ISO 17799:2005.

ISO/IEC Descripción
27000

Vocabulario y definiciones (Information Technology – Information Security Management – Fundamentals and Vocabulary).

27001

Especificación de la estructura metodológica (basada en el BS7799-2:2002) (Information Technology –Security Techniques– Information Security Management Systems – Requirements).

27002

Código de prácticas (Code of Practice for Information Security Management). Actualmente ISO/IEC 17799:2005, publicado el 15 de junio de 2005.

27003

Guía de implementación (ISMS Implementation Guidance, en desarrollo).

27004

Métricas y medidas (Information Security Management Measurement, en desarrollo).

27005

La Administración del Riesgo (basado BS 7799-3) (Information Security Risk Management, basado e incorporado a ISO/IEC 13335 MICTS part 2, en desarrollo).

27006

Requerimientos para organismos de acreditación de Sistemas de Gestión de Seguridad de la Información (Information Technology – Security Techniques – Requirements for Bodies Providing Audit and Certification of Information Security Management Systems).

Las certificaciones han pasado a ser necesidad para demostrar la existencia de sistemas de gestión, con objeto de asegurar procesos consistentes. En el campo de la seguridad informática se tenían certificaciones por parte de estándares británicos y españoles pero, hace pocos años, la ISO emitió los estándares por los sistemas de gestión de seguridad informática con objeto de certificar que las recomendaciones y buenas prácticas brinden una ventaja competitiva a las organizaciones, y no dejar descubiertos todos los sistemas de información que día con día cobran una mayor importancia para sustentar la toma de decisiones y salvaguardar el activo más importante de una organización: la información.

Para mayor información:

http://www.iso.org

http://www.bsi-global.com/British_Standards/index.xalter

http://en.wikipedia.org/wiki/BS7799

http://www.enterate.unam.mx

Véase Entérate, Internet cómputo y telecomunicaciones

-  Estándares de seguridad en la información, núm 36, febrero de 2005.

-  Administración de la seguridad en ITIL, núm 48, abril de 2006.

Inicio | Contacto |