Mi primer acercamiento a un marco normativo de Seguridad de la Información fue en el 2005 a través de la Academia Latinoamericana de Seguridad Informática (ALSI).

Éra un programa integral de formación profesional, creado por Microsoft con la colaboración del Tecnológico de Monterrey que tenía como objetivo la formación de líderes en seguridad informática en latinoamérica, capaces de implementar prácticas de acuerdo con estándares internacionales.

A través de este programa conocí la norma ISO 17799 (Código para la práctica de la gestión de la seguridad de la información), que fue desarrollada sobre la base de la norma británica BS 7799 y que posteriormente evolucionaría hacia la norma ISO/IEC 27001, estándar publicado por la Organización Internacional para la Estandarización (ISO) y la Comisión Electrotécnica Internacional (IEC).

En el 2013, participé de manera muy activa en la mi primera implementación formal de un Sistema de Gestión de Seguridad de la Información basado en ISO/IEC 27001en el Instituto Dominicano de Aviación Civil (IDAC).

El eje central de esta norma es proteger la confidencialidad, integridad y disponibilidad de la información en una organización, a grandes rasgos, esto se logra identificando los problemas potenciales que podrían afectar la información (es decir, la evaluación de riesgos) y luego definiendo lo que es necesario hacer para evitar que estos problemas se produzcan (es decir, mitigación o tratamiento del riesgo).

La ISO/IEC 27001 consta de 114 controles, 35 objetivos de control y 14 dominios que enmarcan su aplicación en los procesos de la organización.

Estos dominios de Seguridad, que menciono a continuación, incluyen todos los activos de la información que se deben proteger: Políticas de seguridad, organización de la información, seguridad en recursos humanos, gestión de activos, control de accesos, criptografía, seguridad física y ambiental, seguridad en las operaciones, transferencia de información, adquisición de sistemas, desarrollo y mantenimiento, relación con proveedores, gestión de los incidentes de seguridad, continuidad de negocio y cumplimiento con requerimientos legales y contractuales.

En el IDAC, este sistema ha madurado y crecido bastante, me considero uno de los padres de este niño que hoy es grande; pues me involucré en todo el ciclo de implementación: En la creación de las políticas, procedimientos, procesos, planes de sensibilización e incluso en la implementación de gran parte de los controles para mitigar riesgos relacionados con la infraestructura y las redes.

Por: Juan Matos