Y lo ha hecho de la mano de su guía de buenas prácticas ISO 27002, que sin ser certificable, es un compendio de recomendaciones para aquellos que se enfrentan a la ingente -y exigente- tarea de implementar un Sistema de Gestión de Seguridad de la Información (SGSI).

No obstante, ISO 27001 está todavía muy lejos de alcanzar el grado de implantación a nivel mundial de otros estándares de gestión, como por ejemplo, el ampliamente conocido estándar que establece los requisitos de un sistema de Gestión de la Calidad: ISO 9001.

Tal es la superioridad del estándar de calidad que actualmente no se cuestiona si se trata de una norma de cumplimiento obligatorio o voluntario. Simplemente, si no estás certificado bajo 9001, estás fuera del mercado. Así de rotundo.

Viendo esa evolución que ha tenido ISO 9001 en todo el mundo desde que fuera publicada en 1987, y teniendo en cuenta que la sociedad en la que vivimos y las empresas que operan en el mercado dependen ya de una manera absoluta de la información, parece lógico pensar que ISO 27001 va a ir ganando peso progresivamente tanto en organizaciones de carácter público como en la empresa privada.

En este escenario, podría todavía resultar aventurado pensar que ISO 27001 se convierta en el futuro en un estándar de obligado cumplimiento en sentido estricto, o de cumplimiento “obligatorio” a la manera en que de facto lo es ISO 9001. Pero también es cierto que empezamos a ver ciertos signos indicativos de que quizás no estemos hablando de un futuro tan lejano.

Por ejemplo, en Perú la ISO/IEC 27002:2005 –recordemos, la guía de buenas prácticas y no el estándar certificable- es de uso obligatorio en todas las instituciones públicas desde el año 2004, fijando así un estándar para las operaciones de la Administración, cuyo cumplimiento es supervisado por la Oficina Nacional de Gobierno Electrónico e Informática – ONGEI.

Sin salir de Sudamérica, en Colombia la norma ISO 27001 es de cumplimiento obligatorio para algunos sectores. Es el caso de los operadores de información, que de conformidad con el Decreto 1931 de 2006 de aquél país, se hallan sujetos al cumplimiento del estándar.

Pero, sin duda, será el sector privado el que con mayor empuje pondrá a ISO 27001 en el lugar que le corresponde, debido al importante papel que puede desempeñar un SGSI en el ámbito del gobierno corporativo de las empresas en cuanto a gestión de riesgos se refiere.

Un claro ejemplo lo encontramos, cómo no, en la cuna de la gestión de la Seguridad de la Información, el Reino Unido. En 2004, el Financial Reporting Council (FRC), el regulador británico al que las empresas de ese país que cotizan en bolsa deben reportar sus datos financieros, constituyó un grupo de asesores presidido por Douglas Flint, de HSBC Holdings Plc.

La misión encomendada a este grupo era revisar la guía Turnbull, unas buenas prácticas de control interno para empresas británicas cotizadas en bolsa, publicadas por primera vez en 1999. Con las observaciones realizadas por el grupo, el FRC publicó la actualización de la guía en Octubre de 2005. Esta actualización refuerza la importancia del control interno y la gestión de riesgos en el gobierno corporativo de las empresas.

Control interno y gestión de riesgos, sin duda dos conceptos que nos resultan muy familiares a quienes trabajamos a diario con ISO 27001. Efectivamente, el estándar en gestión de Seguridad de la Información, no se limita a gestionar los sistemas de información de las organizaciones, sino que va bastante más allá. Supone todo un examen del proceso o procesos que pretendemos certificar, obteniendo un conocimiento exhaustivo del mismo.

Esa exhaustividad proviene de la identificación y valoración de los activos de la organización, y del análisis de riesgos correspondiente, que nos aportará luz sobre los controles que debemos aplicar para mitigar los riesgos detectados.

Desde otras posiciones se está considerando el encaje de ISO 27001 en el ámbito de la Responsabilidad Social Corporativa (RSC), así como dentro de otro concepto de Governance, Risk Management & Compliance (GRC) que nos comentaba Scott L Mitchell, del think tank estadounidense Open Compliance & Ethics Group (OCEG). Este concepto supone superar el de responsabilidad social corporativa, integrando buen gobierno, cumplimiento normativo, gestión del riesgo y Seguridad de la Información.

Ciertamente, de producirse esa evolución que adelanta OCEG, la Seguridad de la Información pasaría a convertirse en algo tan intrínseco a las empresas como lo es hoy el control financiero o la gestión de la calidad. Ese es el salto que aún tiene pendiente la Seguridad de la Información para hacerse un hueco en la empresa y quedarse para siempre.

Desde luego, un punto de apoyo muy sólido hacia esa evolución lo proporciona el Informe Anual 2008 del IT Policy Compliance Group, con el título Improving Business Results and Mitigating Financial Risk. Según los datos que recoge el informe, las organizaciones con mayor grado de desarrollo en IT GRC –o GRC de las Tecnologías de la Información- superan la media de ingresos en un 17%, que se traduce en un 13,8% más de beneficios.

Cifras que, sin duda, son un estímulo para que ISO 27001 continúe avanzando posiciones en su particular carrera por equipararse al estándar de calidad  ISO 9001 en cuanto a grado de implantación y obligatoriedad de facto. Es decir, por convertirse en un estándar cuya certificación las empresas obtendrán no sólo para mejorar la seguridad de su información, sino también para incrementar sus resultados y, por supuesto, para estar en el mercado. Un mercado que para entonces habrá madurado lo suficiente como para marginar a aquellas organizaciones que no se tomen muy en serio la seguridad de sus activos de información.

Manuel Díaz San Pedro
Áudea Seguridad de la Información
Consultor de Seguridad

FACUA-Consumidores en Acción ha denunciado a Microsoft, Yahoo y Google ante la Agencia Española de Protección de Datos (AEPD) por un grave problema de seguridad en sus servicios de correo electrónico.

Y es que cualquiera puede acceder a la cuenta de correo de otro usuario con sólo conocer dónde vive y la respuesta a una "pregunta de seguridad" que en muchos casos es tan fácil de averiguar como su número de teléfono, el nombre de su mascota o su cantante favorito.

Así quedan al descubierto los mensajes enviados y recibidos por el afectado, además de poder usurparse su identidad tanto desde el correo como su programa de mensajería instantánea.

Solución por parte de FACUA

Por ello, la asociación cree que la recuperación de una contraseña de correo sólo debe permitirse mediante su envío a una dirección electrónica alternativa facilitada por el usuario cuando dio de alta su cuenta, algo que también hacen los proveedores en paralelo al sistema denunciado, así como mediante otras opciones seguras como un SMS al teléfono del usuario o por correo postal con acuse de recibo.

Reclamación a Microsoft en 2004

FACUA ya había reclamado a Microsoft que eliminase el sistema de la "pregunta de seguridad" en agosto de 2004, pero tras una reunión con la compañía en la que su departamento legal se comprometió a analizar el asunto, no volvió a recibir respuesta alguna.

Recomendación

FACUA recomienda a sus usuarios que eliminen la "pregunta de seguridad" si el sistema se lo permite o modifiquen sus datos de forma que su país o provincia sean falsos o la respuesta no guarde ninguna relación con la pregunta, de forma que no sea posible averiguarla por un tercero.

Denuncia ante la APD

FACUA considera que este problema de seguridad implica una vulneración del artículo 9 de la Ley Orgánica 15/1999, de 15 de diciembre, de Protección de Datos de Carácter Personal y las instrucciones emitidas por la AEPD relativas a los procedimientos para acceder y rectificar los datos de carácter personal.

El citado artículo establece que las empresas "deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que esten expuestos, ya provengan de la acción humana o del medio físico o natural".

Más información: FACUA