ISO 27001

No podemos obtener dudas acerca de los beneficios que producen en los ciudadanos la utilización de los medios electrónicos, informáticos y telemáticos, pero tampoco se puede ocultar la preocupación que produce la vulnerabilidad en las entidades y la necesidad de tomar las medidas idóneas para recuperar la confianza, aquí entra la posibilidad de implantar un Sistema de Gestión de Seguridad de la Información según la norma ISO27001.

El crecimiento que están experimentando las redes y la conectividad entre distintos sistemas representa las nuevas oportunidades de trabajo y comunicación, en general suelen ser positivas, aunque también nos podemos encontrar con negativas, esto es, se posibilitan los accesos, aunque también los no-autorizados, hay más flexibilidad en la utilización del control pero también se minimiza la facilidad y la relativa tranquilidad que daba un control centralizado siendo así obligatorio ponerlo en manos de especialistas.

El tratamiento que se le ofrece a la información tiene una creciente importancia, que no por ser conocida es menos importante para el adecuado funcionamiento e incluso la supervivencia de toda empresa, ya sea pública o privada. La importancia se suele pasar por alto y el riesgo que se corre no teniendo la información con la suficiente seguridad sólo es tenido en cuenta cuando sucede un problema que, habitualmente no tiene solución.

La información es un activo inmaterial que necesita de soportes para poder ser almacenado de distintas maneras. Por lo que la información:

• Se almacena en distintos sistemas informáticos.
• Se transmite a través de las redes.
• Se registra en papel, en disquete u otros soportes magnéticos transportables.
• Se transmite o registra como comunicación oral.

La necesidad de contar con la suficiente seguridad afecta a todas las formas de información y sus soportes, sea cual sea el método utilizado para transmitir el suficiente conocimiento, ideas o datos. La información y los sistemas que la soportan constituyen recursos muy valiosos para la organización. La dependencia de la información se pone en evidencia cuando se presenta alguna amenaza que perjudica al flujo normal de datos por la estructura organizativa.

El Sistema de Gestión de Seguridad de la Información es imprescindible para conservar valores esenciales en el sector público, en el sector privado o en ambos. Se trata de una suma de poder para depositar una confianza en la capacidad de manejar la información manteniendo en todo momento el funcionamiento adecuado de las funcionalidades y los valores de cada entidad.

La falta de Seguridad de los Sistemas de Información es endémica de cualquier organización en el conjunto de los países desarrollados. Los sistemas de información se encuentran amenazados por distintos agresores malintencionados o no, más o menos sofisticados y mutantes, que interaccionan con los sistemas de información para reducir e incluso eliminar algunas de las funcionales que llevan a cabo No debe existir la resignación, ya que hay soluciones, aunque el coste depende de una implantación inteligente. La seguridad siempre es barata, aunque el coste depende de una implantación inteligente. La seguridad siempre es barata, pero a largo plazo. El ahorro y la eficacia son mayores si los requerimientos y especificaciones de seguridad se incorporan incluso a lo largo del desarrollo de los sistemas y los servicios de información. Cuanto antes se actúe para proporcionar seguridad al Sistema de Gestión de Seguridad de la Información, más sencillo y económico será para la entidad.

La solución se traduce en un proyecto de seguridad, esto es, un tipo especial de desarrollo de seguridad para modificar el estado inicial de seguridad del sistema actual y alcanzar un estado final de seguridad suficiente. Un proyecto que, como todos, tiene un sujeto y un objeto:

• Un sujeto global de un proyecto de seguridad es un dominio del conjunto de la entidad  compuesto por activos estructurados metódicamente.
• El objeto u objetivo del proyecto de seguridad del sujeto consiste en soportar la continuidad de todos los procesos organizativos sustentados, esto es, buscar la minimización del coste global de la ejecución, así como eludir pérdidas en los recursos asignados a su funcionamiento.

La seguridad en el marco europeo y mundial

El Consejo de Ministros de la Unión Europea aprobó el día 31 de marzo del año 1992 la primera decisión que hace referencia a la Seguridad de los Sistemas de Información, en que se añadía un Plan de Acción y formalizaba el SOG-IS (Senior Officials for the Security on Information Systems) Grupos de Altos Funcionarios para el SSI. Estos ya habían editado en el año 1991 los ITSEC (Information Technology Security Evaluation Criteria), siguiendo la experiencia previa de los métodos utilizados en EEUU y Europa. Por lo cual:

• El SOG-IS completó el ITSEC con un manual para la aplicación. La versión 1.0 de ITSEM, editada el día 10 de septiembre de 1993, completa a la versión 3 de ITSEC y busca armonizar los criterios de los países europeos.
• La Dirección General de la Comisión Europea encargada de las Tecnologías de la Información comenzó a preparar el libro verde sobre la seguridad de los Sistemas de Información.
• El aumento en la preocupación por la Seguridad de los Sistemas Informáticos en los máximos niveles comunitarios culmina con una cadena de menciones que arranca en el Libro Blanco del Presidente Delors, que amplía el informe del Comisario Bangemann sobre la sociedad global de la información.
• Los proyectos de investigación INFOSEC, iniciados en el año 1992 por el SOG-IS, clarificaron alguno de los elementos básicos como; sistematizar la información, estudiar las estructuras que enmarcan a los Sistema de Gestión de Seguridad de la Información, analizar todos los problemas más agudos que se producen en el Sistema de Seguridad de la Información dentro de las comunicaciones, establecer las directrices metodológicas genéricas o específicas o simplemente ayudar a aplicar los ITSEC.