jueves, 17 de febrero de 2011

Impacto de los estándares de seguridad de la información

Multitud de organizaciones públicas y privadas están creando, manteniendo y auditando sus políticas de seguridad informática, atendiendo por un lado a lo que ya se empieza a entender como necesidades básicas del negocio concreto y, por otro lado, a las recomendaciones básicas sobre este asunto que se han ido proporcionando en los últimos años desde organizaciones como la OCDE [1] o el Consejo de Europa [2]. Para ello todas utilizan, de una u otra forma, distintos tipos de normas y estándares de seguridad informática, pero ¿se conoce realmente el alcance del uso de cada una de esas normas?, ¿se están usando las que más les conciernen o las que más les convienen?. Este trabajo tiene como objetivo hacer un análisis de las principales normativas de seguridad informática, las organizaciones que las soportan, las que permiten obtener certificaciones, su importancia y significado dentro de las políticas de seguridad informática y su uso y aceptación en España.

 Introducción
El mantenimiento de la seguridad de las redes, sistemas, aplicaciones y datos de una organización se percibe hoy en día como una necesidad básica para la consecución de los objetivos últimos de la organización, sea ésta del tipo que sea. Además, y seguramente como consecuencia de lo anterior, son constantes las noticias que hablan de mayores inversiones en seguridad informática, tanto en el sector privado como en las administraciones públicas. En este sentido, se pueden consultar las referencias [3] y [4] que aparecen al final de este artículo. Parece lógico pensar que en España la razón no es únicamente el haberse dado cuenta de pronto de las necesidades citadas, sino la incidencia, en el día a día de muchas organizaciones, de la puesta en vigor de leyes como la Ley Orgánica de Protección de Datos (LOPD), la Ley de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSICE) o la Ley de la Firma Digital (LFD). También el tan deseado despegue completo de todo tipo de servicios de comercio electrónico funciona como catalizador para estas posibles inversiones. Sea como sea, se está hablando de inversiones, lo que quiere decir que en cualquier entorno se mirará en detalle el retorno de la inversión.
Es razonable pensar que se está en una situación en la que, cada vez más, los responsables de la seguridad informática deberán rendir cuentas y tendrán que demostrar que sus políticas de seguridad, y los procedimientos y programas a los que las políticas dan lugar, son eficaces y tienen un valor importante para la organización. Ante tal perspectiva es lógico que los responsables traten de cubrirse las espaldas o, siendo mejor intencionados, que traten de hacer lo mejor posible su trabajo. Para ello, uno de los procedimientos más habituales es buscar qué estándares de seguridad informática existen y cómo se alinean con la situación concreta de su organización. Tales responsables han de enfrentarse con una verdadera “sopa de letras” que forma el campo de la industria (que lo es) de las certificaciones de seguridad.
Las distintas normas (o estándares) de seguridad existentes forman ya una parte importante de cualquier entorno de seguridad y se puede afirmar que sirven de base fundamental para dos aspectos esenciales de la seguridad informática de las organizaciones: 1- Sirven como refuerzo normativo, como soporte técnico e intelectual para los procesos y procedimientos de seguridad mínimos. 2- También sirven para poner un poco de orden entre la tremenda diversidad de productos de hardware, software, sistemas, redes y aplicaciones, permitiendo discernir la compatibilidad entre todos ellos. En teoría, los estándares proponen una solución neutral, al establecer metodologías que permiten poner de acuerdo los intereses de los fabricantes y de los usuarios, proporcionando, por supuesto, seguridad y fiabilidad. Pero, si se hace mal, podría ser que las normas se empleasen para favorecer unos productos (o unos servicios) de ciertos fabricantes frente a otros. Se podría estar favoreciendo la mediocridad y evitando la innovación. Desde luego, lo imprescindible es conocer lo mejor posible esta industria de la certificación y, para ello, se va a realizar un análisis de los principales estándares de seguridad, de las principales organizaciones dedicadas a su creación, mantenimiento y a la certificación del cumplimiento de los estándares. Se tendrán en cuenta como criterios de análisis los siguientes:
1- ¿Qué objetivos pretenden cubrir las normas?.
2- ¿Qué organización crea y mantiene las normas?.
3- ¿Cómo se consigue un certificado de cumplimiento, si lo hay?.
4- ¿Cuánta aceptación ha despertado?.
5- ¿Cuál es su situación actual en el panorama español?.

Teniendo en cuenta la gran cantidad de normas sobre seguridad informática existentes parece lógico empezar por hacer una primera clasificación basada en lo que pretenden conseguir. En este sentido, se pueden clasificar como:
1- Estándares de criterios y marcos generales de seguridad.
2- Estándares técnicos relacionados con la seguridad de redes y sistemas.
 3- Estándares relacionados con el desarrollo de aplicaciones seguras.
4- Estándares relacionados con la certificación personal en asuntos relacionados con la seguridad informática.


Fuente: www.idg.es

 


 

No hay comentarios: