ISO 27001

El término “generaciones” se usa para ayudar a situar la evolución de sectores informáticos y sirve también para ligar la evolución de los Sistemas de Gestión de Seguridad de la Información según la norma ISO 27001. Los métodos utilizados en los SGSI se han  adaptado a la evolución y a los distintos cambios de función en generaciones sucesivas de sistemas de información para buscar los niveles o estados de seguridad crecientes:

• En los comienzos de la década de los años 70, algunos autores utilizaron la palabra “generación”, utilizándola para nombrar los primeros métodos utilizados en el análisis de los riesgos de los sistemas de seguridad de la información y alcanzar un primer nivel elemental de seguridad.
• Desde mediados de los años 80, se consiguió el segundo nivel con suficiente seguridad, esto es, una segunda “generación” de métodos más formalizados.
• A finales de los años 90, se comenzó a cubrir un tercer nivel avanzado para los nuevos problemas de seguridad, es decir, una tercera “generación” de métodos como pude ser MAGERIT, en la Administración Pública española.
• Actualmente, se apunta ya hacía una cuarta “generación” que se preocupa de un nivel de seguridad certificable para los componentes de la cadena que asegure una gran confianza en el sistema propuesto.  Es decir, la norma ISO27001.

La Gestión de la Seguridad de la Información tiene que pasar por varios niveles o escalones, cada uno con su coste asociado y contexto de aplicabilidad. Se empieza a perfilar una escala de progresión en lo que ahora conocemos como Sistemas de Gestión de Seguridad de la Información fundamentados en la norma ISO-27001. Considerando los avances y las preocupaciones actuales, esta escala se compondría de los niveles siguientes:

• Nivel 0, el “sentido común”.
• Nivel 1, el cumplimiento de la legislación obligatoria.
• Nivel 2, evaluación del proceso de Gestión de Seguridad.
• Nivel 3, analizar el riesgo y la gestión de su resolución.
• Nivel 4, adquisición de productos para integrarlos en los Sistemas de Gestión.
• Nivel 5, integración de los componentes certificados en sistemas compuestos y su certificación.

 

En el siguiente esquema podemos ver el nivel de madurez:

Empezamos hablando acerca del Nivel 0.

Nivel 0, el “sentido común”

El sentido común aplicado a los Sistemas de Gestión de Seguridad de la Información se puede simplificar en algunos principios sencillos que se llevan a cabo a lo largo de  todo el proceso en la materia, aunque desde la experiencia se conoce que no siempre se tiene en cuenta:

1. Principio de simplicidad. Se basa en prestar atención para detectar el peligro y utilizar el sentido común para abordarlo.
2. Principio de la cadena. Siempre se rompe por el eslabón más débil. Por lo que se debe conocer los eslabones débiles para evitar su rotura.
3. Principio de adecuación. Más vale poner unas tiritas en la herida que un vendaje fuera de ella.
4. Principio de economía. Que no cueste más dinero el remedio que la enfermedad.
5. Principio de lectura de los manuales.
6. Principio de redundancia y de no-reincidencia, es decir, duplicación en el espacio pero no duplicación en el tiempo.
7. Principio de equilibrio, entre dos peligros: infravalorar los costes de los riesgos y sobrevalorar los costes de las salvaguardas.
8. Principio de comodidad. Los controles de seguridad son demasiado complejos y costosos.
9. Principio de finalidad. Todo problema de seguridad termina con la instalación y la utilización de medidas o mecanismos de salvaguarda, de diferentes tipos y complejidades.

Nivel 1, el cumplimiento de la legislación obligatoria.

La legislación de obligatorio cumplimiento perjudica a todo sistema que pertenezca tanto al sector privado como al público o solo a los del sector público, sea centro o autonómico.

Cuando se active el sentido común, las medidas básicas que suelen venir ya instaladas en los sistemas, tienen que considerarse como nivel 1 de seguridad (el más bajo exigible) el cumplimiento de la legislación, ya que es de obligado cumplimiento en toda la entidad.

En dicho nivel, la intervención de autoridades inspectoras, así como la exigencia en su caso de auditorías internas, tienen que verse como una certificación implícita y obligada de todo el proceso del SGSI, seguido por la empresa para alcanzar el estado de seguridad evaluado.

Nivel 2, evaluación del proceso de Gestión de Seguridad.

El cumplimiento de algunos decretos exige redactar, cumplir, guardar un documento de seguridad que se encuentre a disposición de la agencia de protección de datos con el control pertinente.

Software para un SGSI

El Software ISO 27001 para un Sistema de Gestión de Seguridad de la Información se encuentra compuesta por distintas aplicaciones que, al conectarlas, trabajan para que la información que manejan las organizaciones no pierda ninguna de sus propiedades más importantes: disponibilidad, integridad y confidencialidad.