P: ¿Qué es la ISO 17799?
R: La ISO 17799 es una guía de buenas prácticas de seguridad informática que presenta una extensa serie de controles de seguridad. Es la única norma que no sólo cubre la problemática de la IT sino que hace una aproximación holística a la seguridad de la información abarcando todas las funcionalidades de una organización en cuanto a que puedan ser afectadas por la seguridad informática.

P: ¿Es certificable la ISO 17799?
R: Definitivamente no. La ISO 17799 sólo hace recomendaciones sobre el uso de controles de seguridad. No establece requisitos cuyo cumplimiento pudiere certificarse.

P: ¿Por qué hay confusión en el tema de la certificación?
R: En gran parte se debe a los errores de traducción de la norma. El original en inglés de la ISO 17799 usa la expresión verbal “should”, un término presente en algunas normas ISO y también del IETF, que por convención expresa una forma condicional a modo de recomendación y no de imposición.

P: Si la ISO 17799 no es certificable, ¿para qué sirve?
R: La ISO 17799 es prácticamente igual a la Primera Parte de la norma BS 7799, o sea la BS 7799-1. Esta norma británica tiene una Segunda Parte, BS 7799-2, que usa la expresión verbal “shall”, otro término habitual en ciertas normas, en este caso para expresar mandato u obligación. Los requisitos que se especifican de esta manera se refieren a un Plan de Seguridad constituido por un Sistema de Gestión de Seguridad Informática (SGSI), en el que se aplican los controles de seguridad de la BS 7799-1 (y por lo tanto de la ISO 17799). Los requisitos que se establecen en el SGSI de la BS 7799-2 se pueden auditar y certificar. No hay versión ISO de la BS 7799-2.

P: ¿Además de su capacidad de ser certificable, qué otras características tiene la BS 7799-2?
R: El cumplimiento de la nueva versión de esta norma, BS 7799-2:2002, constituye el aseguramiento idóneo para las empresas que comparten extranets (como en B2B), así como para los bancos conforme los requisitos del Nuevo Acuerdo de Capitales Basilea II. También proporciona una interesante armonización con otras normas (como la ISO 9001 de Calidad) con el consiguiente beneficio de reducción de esfuerzos y costos.

P: Entonces, ¿en cuanto a gestión de la seguridad informática es suficiente con la BS 7799-2?
R: No exactamente, porque en primer lugar el detalle de los controles de seguridad sólo está en la BS 7799-1 (y por lo tanto en la ISO 17799). La BS 7799-2 muestra cómo aplicar dichos controles y construir el plan de seguridad correspondiente.

Si desea conocer más de este tema, visite la página http://www.angelfire.com/la2/revistalanandwan y pida sin cargo la nota AUDITORIA DE SEGURIDAD INFORMATICA prepararada por el Ing. Carlos Ormella Meyer. En dicha página también encontrará otras Preguntas y Respuestas sobre temas de Alta Tecnología como Riesgos y Sistemas de Gestión Corporativos, Bancos y Basilea II, y Redes Inalámbricas.

Por Nancy Clark Cedeño
mailto:lanywan@hotmail.com
Publicado Domingo, Enero 23, 2005