Estandares de seguridad
Páginas: 8 (1839 palabras)
Publicado: 2 de febrero de 2011
ESTANDARES DE SEGURIDAD
A lo largo de mi práctica profesional como consultor en el campo de la seguridad informática, he encontrado con frecuencia una inquietud recurrente por parte de mis clientes, ¿Por donde empiezo, y en que me baso para adoptar mejores prácticas de seguridad?. Y no es el caso que las empresas no conozcan de los distintos modelos y estándares, por el contrario, conocen de laexistencia de varios documentos de diversos orígenes y distintos alcances, sin embargo es común que se encuentren confundidos a la hora de decidir que modelo o estándar debe de seguir su negocio para contar con las medidas de protección adecuadas para su información.
Un estándar en cualquier aspecto de la vida, es aquella práctica, forma ó método de hacer algo que es generalmente aceptado por laindustria, gremio o comunidad y que de facto o de jure constituye una aspiración, reconocimiento u obligación para las entidades que operan o pretenden operar en una determinada actividad.
En el caso de la seguridad informática, existen diversos documentos que se constituyen en estándares, códigos de prácticas y leyes que delinean las premisas bajo las cuales se debe de gestionar las medidas decontrol y gobierno de los sistemas de información. Es común que al tiempo de seleccionar uno o varios documentos como guía para implementar medidas de control de la seguridad de la información las organizaciones se enfrenten a una pléyade de estándares tales como ISO, NIST, Common Criteria, COBIT, ITIL, HIPAA por mencionar los mas conocidos, cada uno de ellos con una subestructura de alcances,metodologías, marcos referenciales, modelos de auditoría y métricas de cumplimiento propios.
En los casos de industrias particulares, existen estándares y regulaciones inherentes que de cierta forma encausan los esfuerzos y marcan un camino a seguir. Tal es el caso de la industria del cuidado de la salud con el documento HIPAA (Health Insurance Portability and Accountability Act) que entre otrosrequerimientos exige la adopción de medidas de control y protección para el uso, almacenamiento y transmisión de la información de los beneficiarios de las distintas entidades hospitalarias y medicas. Otro caso es el del sector financiero al que se le han impuesto requerimientos de seguridad y privacidad de la información de los usuarios cada vez mas estrictos como los que marca el FIECC (FederalFinancial Institutions Examination Council's)
Las opciones
Existen en la industria numerosos documentos emitidos y mantenidos por un igual numero de instituciones publicas o privadas que pretenden servir de guía y orientar a las organizaciones en el diseño, implementación y auditoria de las prácticas de control sobre la información y los sistemas en los que se gestiona.
Dicho lo anteriormencionaré únicamente los documentos que en la actualidad mantienen una presencia en Latinoamérica ya sea por su adopción directa o por su utilización como base para el desarrollo de estándares locales.
ISO/IEC 17799
Originalmente publicado como ISO/IEC (International Organization for Standardization / International Electrotechnical Comisión) 17799:2000, este estándar se presenta como un código deprácticas para la administración de la seguridad de la información orientadas a guiar a las personas responsables del diseño, implementación y mantenimiento de un sistema de gestión de la seguridad de la información dentro de una organización.
El documento –ahora en su versión 2005- tiene sus antecedentes en el estándar británico BS7799-1:1999 cuyo contenido se copio íntegramente y se publico como ISObajo el numero 17799.
El enfoque de este estándar radica en la preservación de las propiedades básicas de la información: la confidencialidad, integridad y la disponibilidad.
En su versión 2005, el estándar comprende los siguientes dominios o áreas de control:
-Política de seguridad
-Organización de la seguridad
-Clasificación y control de activos de información
-Seguridad del...
A lo largo de mi práctica profesional como consultor en el campo de la seguridad informática, he encontrado con frecuencia una inquietud recurrente por parte de mis clientes, ¿Por donde empiezo, y en que me baso para adoptar mejores prácticas de seguridad?. Y no es el caso que las empresas no conozcan de los distintos modelos y estándares, por el contrario, conocen de laexistencia de varios documentos de diversos orígenes y distintos alcances, sin embargo es común que se encuentren confundidos a la hora de decidir que modelo o estándar debe de seguir su negocio para contar con las medidas de protección adecuadas para su información.
Un estándar en cualquier aspecto de la vida, es aquella práctica, forma ó método de hacer algo que es generalmente aceptado por laindustria, gremio o comunidad y que de facto o de jure constituye una aspiración, reconocimiento u obligación para las entidades que operan o pretenden operar en una determinada actividad.
En el caso de la seguridad informática, existen diversos documentos que se constituyen en estándares, códigos de prácticas y leyes que delinean las premisas bajo las cuales se debe de gestionar las medidas decontrol y gobierno de los sistemas de información. Es común que al tiempo de seleccionar uno o varios documentos como guía para implementar medidas de control de la seguridad de la información las organizaciones se enfrenten a una pléyade de estándares tales como ISO, NIST, Common Criteria, COBIT, ITIL, HIPAA por mencionar los mas conocidos, cada uno de ellos con una subestructura de alcances,metodologías, marcos referenciales, modelos de auditoría y métricas de cumplimiento propios.
En los casos de industrias particulares, existen estándares y regulaciones inherentes que de cierta forma encausan los esfuerzos y marcan un camino a seguir. Tal es el caso de la industria del cuidado de la salud con el documento HIPAA (Health Insurance Portability and Accountability Act) que entre otrosrequerimientos exige la adopción de medidas de control y protección para el uso, almacenamiento y transmisión de la información de los beneficiarios de las distintas entidades hospitalarias y medicas. Otro caso es el del sector financiero al que se le han impuesto requerimientos de seguridad y privacidad de la información de los usuarios cada vez mas estrictos como los que marca el FIECC (FederalFinancial Institutions Examination Council's)
Las opciones
Existen en la industria numerosos documentos emitidos y mantenidos por un igual numero de instituciones publicas o privadas que pretenden servir de guía y orientar a las organizaciones en el diseño, implementación y auditoria de las prácticas de control sobre la información y los sistemas en los que se gestiona.
Dicho lo anteriormencionaré únicamente los documentos que en la actualidad mantienen una presencia en Latinoamérica ya sea por su adopción directa o por su utilización como base para el desarrollo de estándares locales.
ISO/IEC 17799
Originalmente publicado como ISO/IEC (International Organization for Standardization / International Electrotechnical Comisión) 17799:2000, este estándar se presenta como un código deprácticas para la administración de la seguridad de la información orientadas a guiar a las personas responsables del diseño, implementación y mantenimiento de un sistema de gestión de la seguridad de la información dentro de una organización.
El documento –ahora en su versión 2005- tiene sus antecedentes en el estándar británico BS7799-1:1999 cuyo contenido se copio íntegramente y se publico como ISObajo el numero 17799.
El enfoque de este estándar radica en la preservación de las propiedades básicas de la información: la confidencialidad, integridad y la disponibilidad.
En su versión 2005, el estándar comprende los siguientes dominios o áreas de control:
-Política de seguridad
-Organización de la seguridad
-Clasificación y control de activos de información
-Seguridad del...
Leer documento completo
Regístrate para leer el documento completo.