Seguridad de la Información: el análisis de ALEA

La Comisión Asuntos Informáticos elaboró un análisis acerca de las diferencias entre la ISO-27001:2005 y la ISO-27001:2013.

Previo al informe, cabe recordar que el área de Seguridad Informática se enfoca a la protección de la infraestructura computacional y, especialmente, de la información contenida o circulante.

Y que tanto las políticas como los sistemas de Seguridad de la Información implementados en los organismos reguladores tienen como fin la protección de la información y de los sistemas que efectúan su procesamiento, delimitan su acceso, uso, divulgación, interrupción o destrucción no autorizada.

Antecedentes

La importancia de una gestión segura así como la búsqueda de propuestas superadoras para lograr su sostenimiento a lo largo de tiempo y frente a amenazas latentes constituyen ejes de trabajo permanente en ALEA.

En esa línea, la Comisión de Asuntos Informáticos, en conjunto con la de Capacitación, organizó encuentros específicos sobre el tema, con relevantes especialistas nacionales e internacionales, todos ellos con el objetivo de concientizar sobre aspectos relativos a la seguridad de la información. Por caso, cabe citar el Seminario realizado en Neuquén, organizado por ALEA y el Instituto de Juegos de Azar (IJAN) en octubre de 2013. Allí, entre los temas abordados se destacó la importancia de la implementación de las normas ISO 27001 y su posterior certificación; los beneficios de implementar políticas de seguridad, el advertir riesgos como los delitos informáticos y la importancia del tratamiento ecológico de los desechos.

También, en ocasión del Seminario “Seguridad, Control, y Estándares para el Fortalecimiento de las loterías”, organizado por la WLA, CIBELAE y ALEA, en octubre de 2012, en Buenos Aires, el Director de Seguridad Informática de La Française de Jeux e integrante del Comité de Seguridad de la WLA, Jean- Jacques Riera, enfatizó la motivación de la WLA acerca de introducir criterios de seguridad de la información. Al respecto, señaló en esa oportunidad: “En septiembre de 2012 de publicó la Nueva Guía de Certificación para Control de Seguridad de la Información de la WLA. En ella, hay tres puntos clave: el primero es la ISO 27001 como acreditación de este estándar, algo que es un requisito obligatorio”.

Por su parte, los integrantes de la Comisión de Asuntos Informáticos de ALEA, luego del análisis entre la ISO-27001:2005 y la ISO-27001:2013, elaboraron una serie indicaciones acerca de los cambios entre ambas normas.

Diferencias entre la ISO-27001:2005 y la ISO-27001:2013

Los principales cambios se observan en la estructura como en el contenido de los controles que conforman el  Anexo “A”, donde el número total de dominios pasan de 11 a 14 y se reduce el número de controles de 133 a 113, como resultado de un proceso de fusión, exclusión e incorporación de nuevos controles de seguridad.

Además, se incorporaron nuevos conceptos en la ISO-IEC 27001:2013 que convierten al proceso en sistémico e integrador con otros Sistemas de Gestión.

De esta manera, cuando cada organismo adopte el Anexo de la norma, todos los Sistemas de Gestión tendrán la misma forma y la incorporación de procedimientos comunes, con términos y estructuras internas semejantes.

En resumen, la ISO-IEC 27001:2013 incorpora los siguientes items:

– El contexto de la organización es el ambiente donde la organización opera.

– Se reemplaza la “acción preventiva” por “oportunidades de mejora” y cuestiones a considerar ante el riesgo sobre la información.

– Las Terceras Partes pasan a llamarse Partes Interesadas siempre y cuando lo sean sobre el Sistema de Gestión de la Seguridad de la Información (SGSI) que se implementa.

– Se introduce el concepto de Liderazgo y Compromiso.

– Es importante la Comunicación del SGSI y de las medidas que se adoptan, tanto hacia dentro como hacia afuera de la misma de la organización, con la debida discreción de la información referente al SGSI.

– La Estimación del Riesgo se efectúa de acuerdo a la identificación de los activos, amenazas y vulnerabilidades para la identificación de los Riesgos en la Seguridad de la Información.

– “Dueño del Riesgo”, reemplaza al “propietario” de la información.

Además de PDCA (planificar, hacer, verificar, actuar, traducción del inglés Plan-Do-Check-Act, del ciclo o espiral de mejora continua), se puede utilizar otra metodología siempre y cuando la autoridad máxima considere que es correcta y que permite la eficiencia del SGSI a desarrollar.

En la búsqueda calidad y transparencia, la difusión del conocimiento sobre las normas de calidad vigentes aporta herramientas a la gestión de los organismos reguladores del juego.

Deja un comentario