La protección de sistemas de información con ISO 17799

24 Mar 2004 en Software

ISO 17799 es un estándar de seguridad de información compuesto de controles y mejores prácticas. Inicialemente concebido como Código de Prácticas del Departamento de Comercio e Industria del Reino Unido, se convirtió luego en un estándar arpobado por British Standards Institute.
Si bien la seguridad de la información mereció una prioridad baja en los planes de las empresas, en los últimos meses se percibe un notorio crecimiento en la cantidad de empresas que se interesan en el tema. Posiblemente la causa de este renovado interés esté en la avalancha de eventos de hacking, virus, fraudes y otras amenazas. Pero la presión de clientes y socios de negocio también tiene su efecto. Las exigencias de los negocios de este siglo 21 dejan clara la necesidad de contar con un sistema de administración de información confiable, predecible y continuo.
Según el sitio Web del International Users Group que forma parte de Information Security Managment Systems (ISMS) (www.xisec.com), solamente 509 empresas de todo el mundo han atravesado el proceso de certificación del British Standards 7799, parte 2. En realidad es muy poco para algo que debiera ser importante.
Japón tiene el 44% de las certificaciones, seguido por el Reino Unido con el 23%. Solamente Italia, Alemania, Noruega y Hungría, se muestran interesados en el estándar dentro de Europa, mientras que India, Korea, Singapore y Hong Kong, han conseguido el 12% de las certificaciones. Posiblemente la tendencia tenga que ver con la reubicación de servicios relacionados con IT que las potencias derivan hacia esos países.
ISO 17799, también conocido como BS 7799, cubre diez áreas de control, 36 Objetivos de Control y 127 Controles. Las áreas de control son: Seguridad, Políticas, Seguridad Organizacional, Clasificación y Control de Activos, Seguridad Personal, Seguridad Física y Ambiental, Administración de Comunicaciones y Operaciones, Control de Acceso, Desarrollo y Mantenimiento de Sistemas, Administración de la continuidad del Negocio, y Compliance (Conformidad).
El documento del estándar es muy accesible y lo soporta un comité formado por empresas como Marks & Spencer, Association of British Insurers, British Computer Society, EDS, HSBC, Shell UK y GlaxoSmithKline.