ISO 27001:2005

El viernes 14 de este mes ha sido publicada la norma BS 7799-2 como la nueva norma ISO 27001:2005 denominada "Requisitos para la especificación de sistemas de gestión de la seguridad de la información (SGSI)".

Esta noticia abre un nuevo periodo en la Seguridad de la Información, consolidádola como área de conocimiento necesaria para garantizar en el siglo XXI el nuevo elemento de valor de las organizaciones: LA INFORMACIÓN.

Garantizar seguridad es un trabajo costoso y muy poco agradecido. Si todo va bien, nadie valora el esfuerzo realizado y si todo va mal, todo el mundo te señalará como culpable.

Pese a ello, esta disciplina ha madurado a ritmos muy acelerados. En los 6 años ya que llevo dedicado a esto he visto como actividades como las que me iniciaron a mi, el análisis de riesgos, se han incorporado tanto a actividades relacionadas con el desarrollo software como a actividades relacionadas con la gestión de sistemas de información.

Y si todo va tan rapido sólo tiene que se por un motivo, es necesario.

En los años 90 se desplegaron los esfuerzos por informatizar los sistemas de información, preocupandose únicamente por garantizar la disponibilidad de los sistemas. Y es verdad que la disponibilidad es una de las patas de la seguridad, pero el resto puede que no sean menos importantes. La ausencia del resto de propiedades y la no consideración de estas como requisitos de diseño nos ha llevado a ir arrastrando lacras relacionadas con constantes incidentes de seguridad. Y es que cuando la información es dinero siempre habrá gente que busque talones de Aquiles con los que satisfacer su ánimo de lucro.


Esta nueva norma INTERNACIONAL y CERTIFICABLE puede servir para definir cuales son los procesos necesarios para garantizar una correcta gestión de información e implantar en las empresas del siglo XXI una nueva necesidad, la calidad en el tratamiento de información, la gestión de la calidad en el uso de información que es nada más y nada menos, la GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN.

Es más, es tal el nuevo panorama que se avecina en relación a los sistemas de información, que las tradicionales tres patas de la seguridad ahora se ven ampliadas a siete.
- Disponibilidad: Asegurar que los usuarios autorizados tienen acceso cuando lo requieran a la información y sus activos asociados.
- Integridad de los datos: Garantía de la exactitud y completitud de la información y los métodos de su procesamiento.
- Confidencialidad de los datos: Asegur que la información es accesible sólo para aquellos autorizados a tener acceso.
- Autenticidad de los usuarios del servicio: Asegurar la identidad del usuario autorizado.
- Autenticidad del origen de los datos: Asegurar la identidad u origen de la información.
- Trazabilidad del servicio: Asegurar que en todo momento se podrá determinar quién hizo qué y en qué momento.
- Trazabilidad de los datos: Asegurar que en todo momento se podrá determinar quién qué y en qué momento se trataron los datos.

Cada vez está más claro que esto de la seguridad es una disciplina que por su complejidad y contenido, requiere de profesionales que se dediquen plenamente a ella y que sepan de ahora en adelante, construir sistemas de seguridad de la información, como si fuera una ingeniería robusta donde los criterios de construcción estan claros pese a la desigualdad existente entre el rol del que defiende y el rol del que ataca.

"Quien ataca sólo tiene que encontrar un punto débil y aprovecharlo. Quien defiende deberá buscar todos los potenciales puntos débiles y defenderlos".

En este III Aniversario de este blog, que creo cada vez tiene más sentido, quiero dejar constancia de esta nueva era que se avecina para los que nos dedicamos a esto, y que por fin ahora surje como algo medible, controlable y sobre todo, gestionable. Y por ello, quiero también anunciar la aparición de un segundo blog centrado ya en la problemática de la gestión de la seguridad que aunque está todavía en pañales, pronto dotaré de contenidos relacionados solo con los SGSI.


Puede verificarse la publicación de la norma en la Web de la ISO, en concreto la información relacioanda con esta norma se encuentra en ISO 27001:2005.