martes, 12 de marzo de 2013

ISO-27001 y la ciberseguridad


Opinión 

A pesar de que ciberseguridad puede significar cosas ligeramente distintas para muchas personas, parece que la idea general es más o menos uniforme, sin embargo, cuando se trata de definir cómo lograrla, las opiniones difieren considerablemente. Este tema llega a ser tan controvertido y relevante que incluso el presidente de los Estados Unidos de América, Barack Obama, habló  de ello en un discurso en la Casa Blanca y ha dedicado una página Web a la seguridad cibernética[1].
 .
¿Qué es la ciberseguridad?
Una definición que parece apropiada es la siguiente: “La seguridad cibernética es un conjunto de tecnologías, procesos y prácticas, diseñadas para proteger redes, computadores, programas y datos de algún ataque, daño o acceso no autorizado.”
Ahora bien, es importante tener en mente que la ciberseguridad no es exactamente lo mismo que la seguridad de la información. La seguridad de la información es una disciplina que no se ocupa solo de la información digital, sino también de la que está en cualquier otro medio (documentos en papel, por ejemplo) por lo que la seguridad cibernética es en realidad un subconjunto de esta.
¿Y por qué es importante? ¿Te imaginas haciendo tu trabajo sin la infraestructura de TI?, en una organización moderna gran parte de la información más sensible se archiva en los sistemas de TI ¿Qué pasaría si se ve comprometida? ¿Qué medios se utilizarían para la comunicación con clientes y proveedores sin el correo electrónico, servicios Web o por teléfono? Se podría decir que en la actualidad las empresas dependen mucho del almacenaje digital ¿Qué pasaría si se perdiera esa información?
 .
Conexión con la Norma ISO 27001
Al pensar en las políticas, procedimientos, procesos y  tecnologías necesarias para la ciberseguridad queda claro que es un asunto complicado y hay quienes se preguntan si es posible llevarlo todo a cabo sin olvidar algo. Efectivamente es difícil, pero es prioritario y encontrar un marco que sirva de referencia ayuda mucho.
ISO-27001 es una norma internacional ampliamente aceptada que define la forma de gestionar la seguridad de la información y está posicionándose como el marco para proteger los activos digitales. Ya es muy popular en Europa y Asia del Este e incluso está generando una oportunidad de negocio entre ambos continentes[2], mientras que en América va ganando terreno poco a poco. .

Pros de ISO-27001 como marco de ciberseguridad
A continuación ofrezco una lista de algunas ventajas y desventajas a tomar en cuenta al pensar en esta norma como base para la seguridad cibernética:
  • Obliga a pensar en forma integral, para recordar todos los elementos valiosos tanto para la seguridad de la información como para la seguridad cibernética.
  • La filosofía de ISO-27001 se basa en la evaluación de riesgos, por lo que permite personalizar la protección de la seguridad de la información de acuerdo con las necesidades de cada organización. También facilita centrarse en las cuestiones más relevantes.
  • La norma no se enfoca solo en la tecnología para resolver el problema, sino que se enfoca en la forma de gestionar la relación entre la organización, como son los procesos, estructuras, políticas, procedimientos, gente y tecnología.
  • Cada vez es más frecuente que la legislación sobre seguridad de la información alrededor del mundo se base en la Norma ISO-27001, al menos parcialmente, lo que significa que su aplicación ayuda también al cumplimiento regulatorio.
  • ISO-27001 es la única norma internacional para la seguridad de la información que puede certificarse, lo que establece una base común de comparación entre las prácticas de seguridad.
Cerrando filas
Por supuesto, ISO-27001 no es el único marco que puede utilizarse para implementar la seguridad cibernética. Aun si se opta por no emplear esta opción, es recomendable elegir un marco, porque de lo contrario dará dolor de cabeza pensar por dónde empezar y qué se debe tomar en cuenta.
Pero hay que hacerlo pronto pues como señaló Julio Alejandro Téllez, del Instituto de Investigaciones Jurídicas de la UNAM[3], “México ocupa el último lugar en ciberseguridad entre los países miembros de la Organización para la Cooperación y el Desarrollo Económicos (OCDE)”. Además indicó que en el país se requiere de expertos en seguridad de la información para hacer frente a amenazas como fraude electrónico, clonación de tarjetas, robo de base de datos, bloqueo de portales o hackeo de cuentas de correo, entre otros ilícitos de este tipo.
Y no solo las organizaciones privadas deben trabajar en ello, debe destacarse que debido a una legislación con huecos, el país podría convertirse en un punto de origen de ataques y dañar la imagen del país hacia el exterior al concentrar actividades que atenten contra la ciberseguridad. Como dijo el presidente Obama, “la amenaza cibernética es un desafío para la seguridad económica y nacional que enfrentamos como nación”.
 .
 .

Fuente:magazcitum.com.mx