Este es un primer artículo de una serie que pretende explicar, desde un punto de vista pragmático, qué es el ISO-27001 y para qué puede ser usado. En esta entrega se cubren algunos temas preliminares y se revisa un poco de la historia del estándar.
ISO-27001 es otro de los temas recurrentes en el ambiente de la seguridad informática y, al igual que con otros conceptos, hay muchas confusiones e interpretaciones erróneas o incompletas de lo que es y, sobre todo, para qué sirve. De manera análoga a la serie de artículos que escribí sobre ITIL, en esta nueva serie trataré de dar respuesta a las preguntas anteriores, de tal manera que los lectores hagan un mejor uso de ISO-27001 en sus organizaciones, sacándole el mejor provecho y sin expectativas falsas sobre lo que se puede hacer con él.
Empecemos entonces por el principio, con la definición formal: El estándar para la seguridad de la información ISO/IEC-27001 (Information technology – Security techniques – Information security management systems – Requirements) fue aprobado y publicado en 2005 por la International Organization for Standardization y por la International Electrotechnical Commission, especificando los requisitos necesarios para establecer, implantar, mantener y mejorar un sistema de gestión de la seguridad de la información (SGSI).
.
Pero ¿Qué es un SGSI?
A diferencia de estándares anteriores que, desde un punto de vista simplificado, fueron conceptualizados como una simple lista de requisitos a cumplir, ISO-27001 se creó teniendo en cuenta un proceso de seguridad de la información basado en el famoso ciclo de Deming ciclo de mejora continua o ciclo PDCA (por las iniciales de Plan, Do, Check y Act), creando con ello lo que se llamó el Sistema de Gestión de la Seguridad de la Información (conocido en inglés como el ISMS, Information Security Management System).
Antes de revisar qué es un sistema de gestión de seguridad de la información, creo importante definir qué se entiende por “seguridad de la información”. Aunque para muchos pareciera un concepto demasiado básico, lo cierto es que no todo mundo lo tiene claro y por lo mismo prefiero ser reiterativo antes que dejar fuera a aquellos que se inician en esto de la seguridad informática. Los clásicos definen la seguridad de la información como el logro, gestión y mantenimiento de tres características elementales:
-
Confidencialidad. La información sólo debe ser vista por aquellos que tienen permiso para ello, no debe poder ser accedida por alguien sin el permiso correspondiente.
-
Integridad. La información podrá ser modificada solo por aquellos con derecho a cambiarla.
-
Disponibilidad. La información deberá estar disponible en el momento en que los usuarios autorizados requieren acceder a ella.
Estas tres características forman la famosa «CIA», por las siglas en inglés de confidencialidad, integridad y disponibilidad: Confidentiality, Integrity y Availability. Aunque hay quienes piensan que la seguridad de la información debe incluir una cuarta característica llamada «no repudiación», que asegura que un cambio a la información no sea negado (o repudiado) por quien realizó dicho cambio, en este artículo me apegaré a la definición clásica.
Así pues, de acuerdo al espíritu de la norma, la idea es preservar la CIA de la información estableciendo un sistema, formado por un conjunto de procesos, gente y tecnología, que analice los riesgos de la información y establezca medidas para eliminarlos o minimizarlos de manera recurrente mediante un ciclo de mejora continua, manteniendo siempre el control de los riesgos para saber en todo momento la postura de seguridad de la organización. Es precisamente este sistema el que recibe el nombre de Sistema de Gestión de Seguridad de la Información, que es el punto central de la norma pues básicamente nos exige que cada organización que cumpla con ISO-27001 lleve a cabo cuatro grandes actividades:
-
Establecer el sistema.
-
Implementar y operar el sistema.
-
Mantener y mejorar el sistema.
-
Monitorear y revisar el sistema.
.
Como puede verse, y a diferencia de lo que muchos piensan al principio, el espíritu de la norma no habla de una lista de medidas, llamadas controles, para preservar la CIA. De lo que habla es de cómo crear y operar el sistema. Es por eso que antes de terminar esta entrega, me detendré un momento para reiterar que una de las características fundamentales de ISO-27001, al igual que de otras normas y mejores prácticas, es la exigencia de crear el SGSI y dejar bajo su tutela el análisis, definición y aplicación de las medidas para preservar la seguridad de la información.
En otras palabras, la idea es crear y mantener el sistema que, por su propio diseño, nos llevará a seleccionar y mejorar constantemente los controles a implantar. Como me decía un auditor hace tiempo, “en realidad certificarse en ISO-27001 es mucho más fácil que recertificarse. En la primera auditoría se puede permitir que no haya muchos controles implantados y que incluso la operación de los que ya están listos no sea muy buena. Como auditor lo que busco es evidencia de que el SGSI está correctamente implantado pues, si eso es cierto, de manera natural se irán desarrollando más y mejores controles conforme se avance en el ciclo de mejora continua, y es por ello que la revisión de recertificación será más exigente con los controles, pues si no veo avance interpretaré que el sistema de gestión no está trabajando bien”.
Entender lo anterior es, creo yo, una de las cosas fundamentales para cualquiera que quiera saber qué es y para qué sirve ISO-27001
Continuará…
————————————————————————————————————————————————————————-
Recuadro 1. Un poco de historia
El origen de ISO-27001 se puede rastrear hasta una publicación del Departamento de Comercio e Industria (DTI, Department of Trade and Industry) en el Reino Unido, documento que dio origen en 1995 a la norma BS7799-1, que establecía un código de mejores prácticas para la administración de la seguridad de la información. Como su nombre lo indica, sólo proporcionaba una serie de recomendaciones pero no definía certificación alguna ni los mecanismos para lograrla. Posteriormente la norma fue evolucionando de la siguiente manera:
-
En 1998 se liberó la segunda parte, BS7799-2, que estableció la especificación para implantar un sistema de gestión de seguridad de la información (SGSI).
-
En el año 2000, la Organización Internacional para la Estandarización (ISO, Internacional Organization for Standarization) tomó la norma británica BS7799-1 y la convirtió en el estándar ISO17799/BS7799-1.
-
Por su parte en el Reino Unido, la BSI (British Standards Institution) publicó la norma BS7799-2:2002, que prepara a las organizaciones para que reciban la acreditación de seguridad a través de una auditoría realizada por una entidad certificadora. Fue bajo esta norma que las empresas pioneras se certificaron, no sólo en el Reino Unido sino incluso en otros países.
-
En 2005 la ISO publicó, con base en la norma británica BS7799-2:2002, el estándar internacional ISO/IEC 27001:2005, que es el que nos ocupa en el presente artículo. Ese mismo año hubo una ligera actualización de la ISO-17799.
-
Finalmente, en 2007, la ISO-17799 se renombró para convertirse en ISO-27002:2005.
Como puede verse, la historia arriba contada es en realidad la historia mezclada de lo que terminó convirtiéndose en dos cosas distintas que dieron origen a la familia ISO-27000, ISO-27001 e ISO-27002. Esto queda más claro si se pone de manera gráfica:
a) Cronología mezclada:
b) Cronología de ISO-27002:
c) Cronología de ISO-27001:
En entregas posteriores revisaremos con más detalle el contenido de la familia ISO-27000, que además del ISO-27001 incluye otros documentos y normas relacionados con la seguridad de la información.
————————————————————————————————————————————————————————-
Recuadro 2. Ciclo PDCA
El ciclo PDCA, ciclo de Deming o ciclo de mejora continua es uno de los temas que con más frecuencia aparece en el mundo moderno de TI, tanto así que se ha ido incorporando a la definición de estándares y mejores prácticas como ISO-27001 o ITIL.
Se trata de una estrategia de mejora continua difundida por Edwards Deming en la década de 1950, con base en las definiciones hechas por Walter A. Shewart en los años 30, y que describe cuatro pasos básicos para lograr la mejora: Plan, Do, Check y Act. La idea subyacente es que, más que lograr cambios radicales en el corto plazo, lo cual resulta costoso y poco efectivo casi siempre, debiera aplicarse un ciclo infinito de mejora continua en la que se realizan una y otra vez los cuatro pasos. Si esto se hace así, dice la teoría, se conseguirá una maduración gradual, eficiente y bien sustentada de los mecanismos – el sistema – para establecer las metas y definir las actividades que llevarán a las mismas.
-
Plan (planear o planificar).- En este primer paso se identifica aquello que se quiere mejorar, se recopilan los datos iniciales, se establecen los objetivos esperados y se planifican las actividades a realizar.
-
Do (hacer o ejecutar).- Lo siguiente es ejecutar las actividades del plan hecho en el primer paso y documentar los resultados.
-
Check (verificar).- Se comparan los resultados obtenidos versus los resultados esperados, que se definieron en el “Plan”.
-
Act (actuar).- El ciclo “termina” haciendo los ajustes necesarios para que se logren, en la medida de lo posible, los objetivos planeados; se revisan las lecciones aprendidas y se reinicia el ciclo completo.
.
Héctor:
Es muy bueno el resumen que le das a la norma ISO 27001 y a la evolución de esta.
Tal ves tienes estudios mucho mas especializados con el tema de seguridad de la información, estoy muy interesada en saberlo.
Hola Lourdes
Gracias por tus comentario y por leernos. Efectivamente tengo un poco más de información pero en realidad hay mucha y muy buena disponible en los sitios Web especializados en el tema.
Saludos
Desde hace un par de meses estoy adentrándome al mundo de la Normatividad y de las buena prácticas en la Ingeniería de Software.
Es difícil encontrar artículos tan bien explicados, por ello, celebro y te agradezco el profesionalismo en este trabajo escrito que compartes con quienes estamos en la búsqueda de este tipo de información.
Los conceptos básicos sobre la serie ISO/IEC 27000 me han quedad muy claros a partir de la lectura que realicé a tu artículo. No dudaré en seguir tus pasos editoriales.
¡Saludos cordiales!
Hola Fabiola
Muchas gracias por tus comentarios, siempre es bueno saber que Magazcitum es de utilidad para nuestros lectores.
Saludos
Carpe diem
Excelente artículo, en palabras comprensibles y explicación que permite dar un panorama general de lo que es esta certificación, estoy estudiando maestría sobre seguridad informática y me ha ayudado muchísimo a aterrizar algunos conceptos.
Mil gracias
Hola Nancy
Me alegra que el artículo haya resultado interesante, y muchas gracias por leernos.
Saludos
Carpe diem
Hola, soy compañero de Nancy, por obra del destino coicidimos jeje, excelente post.
Pd. No dejen de publicar.
Saludos.
Hola José
Muchas gracias por el comentario, qué bueno que te pareció interesante el contenido de la revista.
Saludos
Carpe diem
Es excelente el trabajo, me sirvió de mucho en la universidad, lo felicito al igual que su grupo de trabajo, mil bendiciones.
Hola Héctor Gustavo
Gracias por tu mensaje, nos complace saber que te fue útil la lectura de Magazcitum
Saludos
Carpe diem
Héctor excelente artículo, te comento que estoy realizando un trabajo de investigación, pero me resulta un tanto difícil el encontrar mas información sobre las normas ISO 27000, ¿podrías apoyarme con material si no es mucha la petición de verdad te lo agradecería?
Gracias por compartir esta información acerca de que es el ISMS, me servirá de mucho. Éxitos para usted y todos los que hacen posible transmitir este artículo, gracias.
Hola Evelyn
Al contrario, gracias por leernos. Es un gusto saber de nuestros lectores.
Saludos
Carpe diem