En lo que respecta a normas de seguridad, la organización más prestigiosa siempre ha sido la Organización Internacional para la Estandarización (ISO, por sus siglas en inglés de International Organization for Standardization). En materia de Seguridad de la Información ocurre lo mismo. Aunque existen muchas otras normas, que serán abarcadas en futuros post, las normas ISO abocadas a la materia están entre las más populares.
La serie ISO 27000 es la que aglomera todas las normativas en materia de seguridad de la información. Las más importantes de esta familia son las normas ISO 27001 e ISO 27002.
La última de estas, antes conocida como ISO 17799 (modificó su nombre en el año 2007), y basada en la norma británica BS 7799, es un código de buenas prácticas para la realización de un Sistema de Gestión de Seguridad de la Información (SGSI). La misma está dividida en once dominios (por ejemplo, Seguridad física y del entorno o Control de accesos), y en cada uno de ellos se destacan cuáles son las mejores prácticas o los controles recomendados para dar seguridad en la organización. Esta norma no es certificable.
Para ello, está la norma ISO 27001, que es la que las organizaciones deben certificar. La misma contiene los requisitos que debe cumplir una organización, para estar acorde a las buenas prácticas listadas en las otras normas de la familia (especialmente la 27002). Publicada en octubre 2005, hoy es la certificación en seguridad más popular y es aplicada por empresas de todo tipo en todo el mundo.
Además de estas dos series, podemos agregar las siguientes que conforman la familia:
- ISO 27000: aún en desarrollo, será una especia de diccionario con vocabulario estandard para todas las normas de la familia.
- IS 27003: es un soporte a la norma 27001, que incluye directivas para la implementación de un Sistema de Gestión de Seguridad de la Información. Fue publicada en febrero de 2010.
- ISO 27004: incluye métricas para la gestión de la seguridad de la información. Publicada en diciembre de 2009.
- ISO 27005: normativa dedicada exclusivamente a la gestión de riesgos en seguridad de la información. Fue publicada en junio de 2008.
También están las normas ISO 27006 (requisitos específicos para la certificación de un SGSI); la ISO 27007 (guía para auditar un SGSI), todavía en desarrollo y la norma ISO 27799 que es una guía para implementar la ISO 27002 en la industria de la salud.
Las normativas permiten a las organizaciones presentar y certificar un nivel de calidad ante sus usuarios y el público en general. Aunque en un principio fueron de interés para las grandes empresas, las normas ISO 27000 están siendo consideradas también por medianas empresas en el Latinoamérica y el mundo. Además, las normas sirven para tener una guía de buenas prácticas que pueden ser de utilidad, incluso si la organización no desea o puede certificar la misma.
Por ejemplo, en materia de seguridad antivirus, la norma explica en su capítulo sobre la Gestion de Comunicaciones y Operaciones, en la sección sobre códigos maliciosos (Controls against malicious code) que "es necesario tomar precauciones para prevenir y detectar la introducción de software malicioso", y se detallan los siguientes puntos respecto a los controles a implementar:
- La empresa debe contar con la "instalación y actualización periódica de software de detección y reparación anti-virus, para examinar computadoras y medios informáticos, ya sea como medida precautoria o rutinaria".
- La empresa debe verificar "la presencia de virus en archivos de medios electrónicos de origen incierto o no autorizado, o en archivos recibidos a través de redes no confiables, antes de su uso" y "la presencia de software malicioso en archivos adjuntos a mensajes de correo electrónico y archivos descargados por Internet antes de su uso".
También extiende a modo de resumen que "se deben implementar controles de detección y prevención para la protección contra software malicioso, y procedimientos adecuados de concientización de usuarios". Es decir, contar con una solución antivirus con capacidades proactivas de detección.
Por último, la ISO 27001 también extiende, respecto a la importancia de "concientizar a los usuarios acerca de los peligros del software no autorizado o malicioso [...] En particular, es esencial que se tomen precauciones para detectar y prevenir virus informáticos en computadoras personales". El trabajo de ESET Latinoamérica en la región a través de sus iniciativas educativas son otros aportes de ESET para que las organizaciones estén acorde a lo que indican las normas más prestigiosas del mercado.
Sebastián Bortnik
Analista de Seguridad