Mi primer acercamiento a un marco normativo de Seguridad de la Información fue en el 2005 a través de la Academia Latinoamericana de Seguridad Informática (ALSI).
Éste era un programa integral de formación profesional, creado por Microsoft con la colaboración del Tecnológico de Monterrey que tenía como objetivo la formación de líderes en seguridad informática en latinoamericana, capaces de implementar prácticas de seguridad de la información de acuerdo con estándares internacionales.
A través de este programa conocí la norma ISO 17799 (Código para la práctica de la gestión de la seguridad de la información), que fue desarrollada sobre la base de la norma británica BS 7799 y que posteriormente evolucionaría hacia la norma ISO/IEC 27001, estándar publicado por la Organización Internacional para la Estandarización (ISO) y la Comisión Electrotécnica Internacional (IEC).
En el 2013, participé de manera muy activa en la primera implementación formal de un Sistema de Gestión de Seguridad de la Información basado en ISO/IEC 27001 en el Instituto Dominicano de Aviación Civil (IDAC). El eje central de esta norma es proteger la confidencialidad, integridad y disponibilidad de la información en una organización, a grandes rasgos, esto se logra identificando cuáles son los problemas potenciales que podrían afectar la información (es decir, la evaluación de riesgos) y luego definiendo lo que es necesario hacer para evitar que estos problemas se produzcan (es decir, mitigación o tratamiento del riesgo).
La ISO/IEC 27001 consta de 114 controles, 35 objetivos de control y 14 dominios que enmarcan su aplicación en los procesos de la organización. Estos dominios de Seguridad, que menciono a continuación, incluyen todos los activos de la información que se deben proteger: Políticas de seguridad, organización de la información, seguridad en recursos humanos, gestión de activos, control de accesos, criptografía, seguridad física y ambiental, seguridad en las operaciones, transferencia de información, adquisición de sistemas, desarrollo y mantenimiento, relación con proveedores, gestión de los incidentes de seguridad, continuidad de negocio y cumplimiento con requerimientos legales y contractuales.
Durante estos últimos 7 años, en el IDAC, este sistema ha madurado y crecido bastante, me considero uno de los padres de este niño que hoy es grande; pues me involucré en todo el ciclo de implementación: En la creación de las políticas, procedimientos, procesos, planes de sensibilización e incluso en la implementación de gran parte de los controles para mitigar riesgos relacionados con la infraestructura y las redes.
Porque la información, hoy más que siempre, es el activo de mayor importancia en las organizaciones, es fundamental que sea protegida de manera adecuada y hacer esto, de la mano de un marco de referencia internacional como ISO/IEC 27001, posibilita, en gran medida, el éxito de un sistema de gestión de seguridad de la información (SGSI).
Sobre el autor:
Juan Matos, MSc
CEO y Fundador de Volarit, vicepresidente de la Internet Society en República Dominicana.
Informático y auditor certificado de ISO/IEC 27001, con Maestría en Ciberseguridad del Instituto Tecnológico de Santo Domingo (INTEC), Maestría en Tecnología, Aprendizaje y Educación de la Universidad del País Vasco, Maestría en Gestión Pública de la Universidad de las Palmas de Gran Canaria, actualmente y trabaja en su tesis para optar por el grado de doctor de la Universidad del País Vasco.
