El 20 de mayo se celebra cada año el Día Mundial de la Metrología, nuestro país ha desarrollado desde 1982 en que fue creado en el país un organismo estatal para establecer las líneas directivas de esta actividad en el país. Entre estas directrices está la aplicación de las normas a partir de los referentes internacionales (normas ISO).
En Cuba en la actualidad estas funciones las desempeña la Oficina Nacional de Normalización que es la encargada de establecer las normas, metodologías, el asesoramiento y el control de los procesos para lograr la certificación de las diversas actividades a partir de referentes internacionales que en nuestro país se basan en patrones que se aplican.
Una norma es un documento técnico de aplicación voluntaria, fruto del consenso, que está sustentado en los resultados de la experiencia y el desarrollo tecnoeconómico y que está aprobada por un organismo de normalización reconocido.
Las normas garantizan la existencia de niveles de calidad y seguridad que permitan a las entidades un adecuado desempeño en el contexto de las relaciones técnico económicas a partir de que establecen estándares a cumplir para satisfacer las exigencias de calidad a nivel nacional e internacional.
La ISO (International Organization for Standarization) es la entidad encargada de del establecimiento de estándares a nivel mundial que aseguran que los productos y/o servicios alcanzan la calidad deseada. Para las organizaciones son instrumentos que permiten minimizar los costos, ya que hacen posible la reducción de errores y sobre todo favorecen el incremento de la productividad.
En el ámbito de las tecnologías de la Información y las Comunicaciones (TIC) también existen normas ISO que constituyen patrones para el establecimiento del uso seguro de estas tecnologías.
La serie 27000 que sustenta las normas relacionadas con las TIC y en esta se ubica la norma 27001 es la que está encargada de la seguridad de la información
Para una mejor comprensión de cómo se aplican las normas ISO en el área de la seguridad informática se considera necesario entrar en detalles, no sin antes dejar claro que estas normativas no son estáticas y son modificadas en función de lograr la mayor eficiencia de la actividad que atienden.
La aplicación de las normas a los procesos informáticos y su seguridad parte del uso de una matriz F. O. D. A. (Fortalezas – Oportunidades / Debilidades – Amenazas), pues esta es la base para la realización de cualquier análisis de riesgos que permita la determinación de las amenazas que deben ser atendidas a través de las políticas, las medidas y los procedimientos en el Plan de Seguridad Informática (PSI).
Este mecanismo sustenta el establecimiento de los cuatro procesos en que se basa un sistema de gestión de seguridad Informática: planificar (establecer el sistema de gestión), hacer (implementar y operar el sistema de gestión), verificar (revisar y dar seguimiento al sistema de gestión) y actuar (mantener y mejorar el sistema de gestión).
Para realizar estas acciones los sistemas de gestión informática se basan en las normas 27001 y 27002 donde se exponen las aspectos para establecer en canon en cada uno de los procesos y subprocesos relacionados con la seguridad informática.
Si bien las normas ISO de una serie, como es el caso de la 27000 actúan sobre la seguridad informática, no puede verse el problema como una isla, sino que entre las normas existen interrelaciones que hacen más eficiente su accionar en función de un resultado.
En la norma ISO 27001 se expone: el análisis y evaluación de riesgos: identificación de amenazas, consecuencias y criticidad, la implementación de controles, la definición de un plan de tratamiento de riesgos o esquema de mejora, el alcance de la gestión, el contexto en que se mueve el sistema de la organización, las partes interesadas en los procesos y subprocesos del sistema de gestión, así como la fijación y medición de objetivos, el proceso de documentación de las acciones que se desarrollan en las diversas etapas de gestión, la realización de auditorías internas y la revisión por la dirección de la entidad y un conjunto de recomendaciones para la automatización del Sistema de Gestión de la Seguridad Informática (SGSI) según esta norma.
Si se analizan en detalle estos aspectos se pone de manifiesto que es a través de ellos que se sustenta el establecimiento de los cuatro procesos antes mencionados para planificar, hacer, verificar y actuar en un SGSI.
En el caso de la norma ISO 27002, que fuera actualizada en 2013, cuenta con 14 dominios, 35 objetivos de control y 114 controles.
Para que se conozca en toda su extensión esta norma ponemos a su disposición un material que posee fines didácticos y expone cada uno de los aspectos antes mencionados en formato PDF.