La Organización Internacional de Normalización (ISO por su sigla en inglés) tiene una una familia de estándares que propenden por la seguridad de los sistemas de gestión de información en las entidades, así como en el desarrollo de las aplicaciones complementarias. Aunque el esfuerzo de la ISO es importante, su utilidad aún está por verse.
Es un deber de las organizaciones proteger su información y sus estructuras tecnológicas con el fin de mantenerse activas en el giro ordinario de los negocios, de ser eficientes en su interacción con los canales electrónicos de los mercados y de salvaguardar los datos de sus contrapartes.
No obstante, y a pesar de que en el mundo moderno existe la acertada creencia de que lo que se debe cuidar son los perímetros y puertas de entrada y salida de los sistemas así como sus componentes (computadores y redes), las precauciones que toman los equipos de sistemas no siempre son suficientes.
Por esta razón la Organización Internacional de Normalización (ISO por su sigla en inglés) ha adelantado esfuerzos para que tanto en los sistemas de información organizacionales como en el desarrollo de aplicaciones complementarias se apliquen estándares de seguridad reforzados que permitan proteger la información y los datos almacenados, y también se cierren los boquetes que hacen vulnerables a dichos sistemas.
En ese sentido, la ISO ha sugerido llevar a cabo acciones concretas en varios frentes que se consideran vulnerables y que hacen parte de las tecnologías de la información y las comunicaciones (TIC): de un lado, propone asegurar los sistemas de gestión de la seguridad de la información de forma general, y de otro, aumentar la seguridad en el desarrollo y utilización de aplicaciones (software).
ISO 27001: de aplicación distinta en cada empresa
En lo que se refiere a la primera de las esferas, cabe mencionar que adoptar un sistema de gestión de seguridad de la información (Sigsi) es una decisión estratégica que cualquier entidad puede adoptar para incrementar sus parámetros de transparencia y de eficiencia en el manejo de datos, pero para esto es necesario tener en cuenta que su implementación no es tarea fácil pues depende de las necesidades de la compañía, de su tamaño y de los requerimientos de seguridad. Todos estos elementos son susceptibles de cambiar con el tiempo.
Para facilitar este camino, la ISO emitió el estándar general ISO/IEC 27001 que provee los elementos guía para diseñar, establecer, implementar, mantener y mejorar el conjunto de procesos necesarios para la gestión eficiente y segura del acceso a los datos con estrictos lineamientos de reserva, conservación y disponibilidad de la información con el objetivo de mitigar los riesgos de seguridad asociados al intercambio o almacenamiento electrónico.
Lo primero que advierte la ISO en este estándar es que la base del éxito para que el Sigsi cumpla con su objetivo es que sea plenamente integrable a los procesos preexistentes de cada entidad y adaptable a las instancias de gestión para que la seguridad de la información sea un parámetro en el establecimiento de nuevos procedimientos, controles y estructuras, no solo de los departamentos de sistemas sino de las instancias de administración y de decisión, en las que debe ocupar un lugar relevante.
Paso a paso para establecer un sistema de gestión
De forma específica y luego de un extenso capítulo de términos y definiciones, el ISO 27001 explica el proceso adecuado para establecer un Sigsi.
La primera fase es la de autoevaluación y conocimiento de la empresa, así como su contexto pues, como ya se mencionó, de las características individuales de cada corporación dependen la forma y los procedimientos del sistema. En esta etapa se estudia el estado actual de la gestión de la información, si existe alguna estructura de administración de datos y cuáles son los mecanismos de seguridad adoptados hasta la fecha.
Posteriormente, y con base en los insumos recolectados, es necesario proceder a identificar las carencias propias de la empresa, las necesidades de las contrapartes, los requisitos legales de protección de datos y las vulnerabilidades más apremiantes que se deben solucionar, lo que determinará de forma correcta las expectativas institucionales al adoptar el sistema.
A continuación es necesario analizar cuál debe ser el alcance del Sigsi, pues puede darse el caso de que un gran conglomerado requiera un sistema relativamente pequeño de acuerdo a sus características inherentes, o el de una pequeña organización que requiera un sistema robusto para, por ejemplo, manejar información reservada.
La cobertura de la protección debe dirigirse, principalmente, a los datos más importantes que almacene una entidad y que son necesarios o se derivan del core del negocio. Sin embargo, tampoco se debe omitir aquella información que, sin ser nuclear para la corporación, es necesaria en términos de archivo y gestión documental.
Por último y una vez definidos los anteriores elementos que funcionan como cimiento y filosofía subyacente al Sigsi, es necesario migrar a la fase logística en la que se deciden los procesos operativos de forma pormenorizada, los funcionarios encargados del funcionamiento del sistema, sus funciones y responsabilidades, las autoridades a las cuales se debe reportar, el soporte técnico, la evaluación de desempeño y los mecanismos de mejoramiento.
El ISO 27034: la seguridad de las aplicaciones
Según la ISO, en la actualidad existe la necesidad de proteger el proceso de desarrollo de aplicaciones para que dicho software no contenga defectos de fábrica que generen errores durante su vida útil y que puedan poner en riesgo los sistemas de protección que previamente hayan implantado las entidades.
Y es que aplicaciones de gestión hay muchas y se encuentran en muchas áreas de las instituciones, como las de contabilidad y finanzas, recursos humanos, manejo de bases de datos, inventarios y registro de mercancía, registro de clientes, etc.
Por esto, y para generar mayor profundidad en la defensa y gestión de los datos, la ISO propuso el estándar 27034, el cual presenta una guía sobre seguridad de la información dirigida a las personas dedicadas a diseñar, desarrollar y programar software, así como para aquellos que utilizan o implementan dichas aplicaciones. Es decir, este estándar es tanto para los administradores de sistemas de información y telecomunicaciones, como para desarrolladores, auditores e incluso para los usuarios finales.
Así, el objetivo principal del ISO/IEC 27034 es asegurar que las aplicaciones informáticas para la gestión organizacional proporcionen un mínimo nivel de seguridad deseado para no generar boquetes de seguridad en los ya establecidos Sigsi, sin importar cuál sea el mecanismo para su desarrollo y adquisición, puesto que las aplicaciones pueden ser obtenidas en el mercado como un producto comercial, desarrolladas internamente, contratadas a través de esquemas de tercerización o a través de una mezcla de las tres cuando es necesario combinar elementos o funciones.
En este escenario, la primera parte del estándar —publicada en 2011 y reformada en 2014 y 2011 (ISO 27034-1:2011)— contiene los lineamientos generales, su propósito, las audiencias a las cuales se dirige, sus principios y su relación con otros estándares de la organización, como ya se explicó, con el fin de proporcionar un marco, componentes y procedimientos dentro de los cuales la seguridad sea un elemento transversal.
Kamiphuc
Asimismo, el estándar explica cómo se deben evaluar las necesidades de la entidad, cómo determinar el nivel de riesgo tolerado (para implementar los sistemas con base en una aproximación de gestión del riesgo), cuáles son las medidas más idóneas de verificación y mejoramiento de las acciones adoptadas y cuáles deben ser los criterios cuando las corporaciones deciden tercerizar el desarrollo de aplicaciones o comprarlas en el mercado.
La segunda sección del estándar publicada en el 2015, la ISO 27034-2:2015, va un poco más allá al establecer de manera detallada los pasos para que una entidad alinee o integre su marco normativo organizacional con su arquitectura empresarial y con su Sigsi, esto con miras a asegurar la correcta protección de la información.
En otras palabras, el segundo acápite del ISO 27034 publicado promueve que dentro de las políticas y reglas de una organización, así como en el sistema de gestión de seguridad de la información (si lo hubiere), sea una prioridad verificar que las aplicaciones que se adquieran, tercericen o desarrollen cumplan con ciertos mínimos de seguridad.
Las siguientes cinco partes del ISO 27034 tratan los siguientes temas:
- Procesos de gestión de la seguridad de aplicaciones
- Protocolos y controles de seguridad de la aplicación de estructuras de datos y esquemas XML
- Procesos de predicción de seguridad de las aplicaciones
- Protocolos y controles de seguridad para las aplicaciones y estructura de datos
- Estudio de casos (están en proceso de estudio en el comité correspondiente de la ISO, en fase de investigación o en fase de aprobación).
Conclusiones
A pesar de los esfuerzos de la ISO, en la actualidad han surgido voces de empresas desarrolladoras de software y de profesionales independientes que han asegurado que este estándar es inoficioso e inútil, pues resulta que el proceso de evolución de la tecnología es mucho más veloz que los procedimientos de expedición de los estándares y además los avances tecnológicos van en múltiples direcciones que no se pueden abarcar en una sola serie de documentos.
En todo caso, y si bien algunas de las críticas tienen razón, también es cierto que no sobra un instrumento que tenga una aproximación sistemática al desarrollo de aplicaciones que permita garantizar, en todas las fases de su ciclo de vida útil, un mínimo de seguridad derivado de la calidad del software, pues parece claro que si se incrementa la seguridad de las aplicaciones es posible acrecentar la defensa de los sistemas que las utilizan y, por consiguiente, alcanzar una protección adecuada de la información que se almacene y procese.