Você está na página 1de 3

AUDITORIA DE SEGURIDAD INFORMATICA

Abstract

Ing. Carlos Ormella Meyer 2004


En los ltimos aos se han venido desarrollando varias normas relacionadas con la seguridad informtica siguiendo
enfoques diferentes que a veces dan lugar a complementaciones y tambin algunas superposiciones.
Es as como encontramos normas como la ISO 17799, BS 7799-2, ISO 13335, ISO 15408 e ISO 21827. De todas
ellas, la ISO 17799 y la BS 7799 -2 constituyen por su naturaleza la base de una auditora de seguridad informtica.
La ISO 17799, por ejemplo, es una gua de recomendaciones de buenas prcticas para la gestin de seguridad
informtica. Cubre no slo la problemtica de la IT sino que hace una aproximacin holstica a la seguridad de la
informacin abarcando todas las funcionalidades de una organizacin en cuanto a que puedan afectar la seguridad
informtica. Para ello la norma define para su seleccin un total de 36 objetivos de control con 127 controles generales de
seguridad estructurados en 10 reas de control que incluyen cuestiones referidas al personal, ambientales, operaciones,
desarrollo y mantenimiento de sistemas, continuidad de negocios, cumplimiento, etc.
La ISO 17799 est redactada bajo la forma verbal "should", un trmino presente en otras normas ISO y tambin del
IETF que, por convencin, expresa una forma condicional a modo de recomendacin y no de imposicin. Es as como la
norma hace precisamente recomendaciones y no establece requisitos cuyo cumplimiento pudieren certificarse.
Lamentablemente, errores en algunas traducciones han traido confusin en el verdadero alcance de esta norma.
Ocurre que la ISO 17799 deriva de la norma britnica BS 7799-1 (Parte 1 de la BS 7799) y en realidad prcticamente
es igual a la misma.

Pero la norma britnica tiene dos partes. La ltima versin de la Parte 2 es del 2002 denominndose entonces BS
7799-2:2002, aunque por simplicidad en lo sucesivo la mencionaremos simplemente como BS 7799-2.
La BS 7799-2 usa la expresin "shall", otro trmino habitual en ciertas normas, en este caso para expresar mandato u
obligacin. De esta manera la BS 7799-2 especifica los requisitos para establecer un plan de seguridad constituido por un
Sistema de Gestin de Seguridad Informtica (SGSI o ISMS, por su nombre en ingls) dentro del contexto de los riesgos
totales de negocios de una empresa.

Estas especificaciones y la implementacin correspondiente hacen que tanto la auditora como la certificacin se
hagan con referencia a la BS 7799-2, toda vez que no hay una versin ISO equivalente de esta segunda parte de la BS
7799.
El proceso de implementacin en cuestin incluye la seleccin y aplicacin de los controles de seguridad definidos en
la BS 7799-1 (y por lo tanto en la ISO 17799). Dicha seleccin se realiza en base a una adecuada valuacin de los
riesgos a que estn sujetos los activos a proteger en el SGSI. En este punto la BS 7799-2 no impone una forma
determinada de realizar dicha valuacin, pudindose recurrir a alguno de los diferentes mtodos tanto de libre uso como
de herramientas comerciales.
Una de las caractersticas ms trascendentes de la BS 7799-2 es la incorporacin del ciclo Deming o modelo de
procesos de cuatro fases Plan-Do-Check-Act (PDCA), que para el caso trata del establecimiento, implementacin y
operacin, monitoreo y mejoramiento continuo del sistema de gestin de seguridad informtica.
El resultado de estas estrategias hace que la estructura del SGSI conforme el paradigma de gestin de riesgos a partir
del esquema de controles definidos en la ISO 17799, ms el dinamismo propio del modelo PDCA.
La aplicacin del modelo PDCA en la BS 7799-2 le permite alcanzar varios objetivos destacados:
a) Satisface los Principios formulados en la nueva versin de las Guas para la Seguridad de los Sistemas y Redes de
Informacin de la Organizacin para la Cooperacin y Desarrollo Econmico (OCDE).
b) Ofrece una interesante armonizacin con las normas ISO 9001 (Calidad), ISO 14001 (Ambiental) y OHSAS 18001
(Higiene y Seguridad Ocupacional), que tambin fueron desarrolladas en base al ciclo PDCA. Esto permite un
alineamiento entre estas normas en reas comunes como partes de la documentacin, entrenamiento, auditora interna,
etc. todo lo cual facilita una implementacin consistente y semiintegrada, con la consiguiente reduccin de costos y
esfuerzos.
c) Al considerar los requisitos de seguridad de la informacin de negocios, e implementarse y operar en el contexto de la
gestin de los riesgos totales de negocios, genera una importante sinergia con la implementacin Turnbull de gestin de
riesgos de negocios, tambin modelada con el ciclo PDCA.
d) El SGSI forma parte naturalmente de los procesos y procedimientos de riesgo del Corporate Governance.
Efectivamente, un buen Gobierno Corporativo se ocupa del establecimiento y mantenimiento de un proceso efectivo de
gestin de riesgos incluyendo un sistema de controles internos, as como tambin de fomentar la incorporacin de la
funcin de auditora interna en una organizacin. Estas caractersticas quedan reflejadas en las diferentes fases del
proceso PDCA de la BS 7799-2.
El conjunto de caractersticas mencionadas convierten a la BS 7799-2 en una importante ayuda para que una
empresa pueda mejorar su actual nivel de seguridad y mitigar los riesgos significativos corr espondientes que pudieren
afectar sus negocios.
Una aplicacin muy actual en este sentido responde a los desafos que enfrenta una estrategia de seguridad para ecommerce y las mltiples cuestiones que pueden limitar el conocido escenario extranet de comunicaciones Empresa-conEmpresa (B2B). Efectivamente, en este caso a travs de Internet se interconectan redes de diferentes empresas
(proveedores, clientes, socios), muchas veces con niveles de seguridad desconocidos. La certificacin con la BS 7799 -2
de las diferentes organizaciones interconectadas permite una garanta de aseguramiento entre ellas, sin importar el tipo
de dispositivos, mecanismos, productos o marcas con que se hayan implementado los controles y contramedidas de
seguridad del SGSI.
La BS 7799-2 aparece tambin como la norma idnea para medir la porcin de seguridad informtica de los riesgos
operacionales que los bancos deben considerar ahora, adems de los tradicionales riesgos crediticios, a la luz del Nuevo
Acuerdo de Capitales Basilea II.
Finalmente, las dems normas mencionadas al principio pueden opcionalmente aportar su utilidad especfica a una
implementacin bajo BS 7799-2. Efectivamente:
a) La ISO 13335, o Directrices para la Gestin de la Seguridad (GMITS), ofrece un marco de referencia especialmente a
cuanto a las tcnicas de gestin de riesgos y al criterio de seleccin de las contramedidas.
b) La ISO 15408 o Criterios Comunes (CC), con el objeto de reducir el nivel de riesgos conforme lo determina la norma
BS 7799-2, permite seleccionar una gama de productos a modo de contramedidas con certificacin de los niveles de
aseguramiento que proporcionan.

c) La ISO 21827, o Ingeniera de Seguridad de Sistemas - Modelo de Madurez de Capacidad (SSE-CMM), tambin es un
marco de referencia, en este caso respecto al nivel de madurez de los procesos relacionados especialmente con los
riesgos y el aseguramiento que define la BS 7799-2 bajo el esquema de mejoramiento continuo del ciclo PDCA.

Você também pode gostar