>> SG IT Consulting >> ISO - Seguridad en tecnología IT.

 

   

Norma ISO Nº 17.799.

  Esta norma es un estándar para el tratamiento de la seguridad de la información dentro del mundo de la informática.  Hay países que han aprobado sus normas en base a ella, otros que aún la mantienen en discusión, y quedan aún muchos que no han analizado sus situación.

  El IRAM, Instituto Argentino de Normalización, dicta las normas argentinas, y son los estándares aprobados en diferentes áreas y actividades. 

  Con respecto a la ISO 17.799, que es la Organización Internacional para la Estandarización, dicta normas básicas de alcance mundial.  Luego, cada país va adhiriendo a ellas en la medida de su legislación.

  Esta norma ISO 17799, se refiere exclusivamente a la información, su contenido y su seguridad, dentro del mundo informático.  Está basada en la norma británica BS7799.  Por ahora está estandarizada la parte 1.  Se espera para finales del 2005 la norma ISO 17799-Parte 2 referida a las certificaciones.

  La información tiene que estar disponible, tiene que estar archivada en forma segura, se debe mantener su integridad, y debe ser confiable. Estos riesgos se los llama Disponibilidad, Integridad y Confidencialidad.

  Implementar la ISO 17799 en cualquier empresa, no es algo sencillo, ni rápido.  Es un verdadero trabajo en equipo, donde todos aportan su esfuerzo, su capacitación, y las ganas para aceptar el cambio.  La organización no solo debe aportar el dinero necesario para la inversión en capacitación, manuales, sino también en el hard y el soft necesarios para implementar las normas de seguridad recomendadas.  Es imprescindible obtener un compromiso por escrito de los niveles gerenciales apoyando este plan, y designando un responsable del comité de Seguridad que debe tener una composición global y heterogénea.

  Como prólogo, para el tema de la implementación, tal vez sería importante recordar los factores esenciales para tener éxito.  A nuestro entender, ellos son:

La cultura organizacional de la empresa o incluso de toda la organización, si ésta es homogénea, pauta las bases de la seguridad que se requiere implementar.
La evaluación que se haga de los miembros de la organización, debe ser muy transparente, y el informe final, debe destacar los logros conseguidos.
La Gerencia debe apoyar el plan, motivar el cambio y promover su concreción.
El analista que releve toda la realidad de la organización, o su equipo, deben tener claramente especificados los objetivos de la organización y las necesidades de la seguridad en la información, para hablar el mismo idioma.
Debe ser claramente entendido el nivel de seguridad pactado para la organización, su nivel y el nivel de riesgos existentes y pendientes.
Los objetivos de la organización deben estar escritos correctamente, y deben abarcar la seguridad de la información.  Los objetivos sientan las bases de la política organizacional.
Motivar a las gerencias y a los empleados en la capacitación, y aceptación de las nuevas medidas de seguridad.  Si no las internalizan, no las ejecutarán.
Tanto la capacitación, como la instrucción personalizada, y su posterior entrenamiento deben estar adecuados a la forma de ser de la organización.
No basta con distribuir las guías de seguridad, las mismas debe ser sentidas como propias por empelados y hasta por los gerentes, que son quienes deberán ejecutarlas.

  Hay varias otras normas internacionales referidas a este tema, en especial dentro de los Estados Unidos de Norteamérica. Algunas de ellas son muy difíciles de obtener aún, como la CMMI.

  Estamos capacitados, y tenemos proveedores capacitados también, para realizar las estandarización de normas y procedimientos internos tanto para certificar en la serie ISO 9000 como en la ISO 17799.

  Recordemos que la norma ISO 17798 es certificable, y que la ISO 17.799 no lo es.  Actualmente toda la normativa sobre la seguridad de la información está migrando a la serie ISO 27.000 iniciándola con la  ISO 27.001:2005.

  La ISO- Organización Internacional para la Estandarización- publica su catálogo de normas-en inglés-, más de 15,000, las cuales son aplicadas en el mundo entero. Algunas se basan en la IEC y otras en la ITUIRAM es el organismo oficial para la normas de estandarización, en la Argentina.

Volver a Biblioteca Digital    Volver a Soporte PYME  

Dr. Jorge E. SOSA GONZÁLEZ. Derecho de Autor s/ Reg. Prop. Intelectual Nº 171.055. 17/01/05. Actualizada al 20/09/2006.

Si tiene dudas puede consultarnos.