En primer lugar, es útil distinguir entre estándar y framework, principalmente por su:
- Obligatoriedad (el estándar generalmente tiende a ser más obligatorio).
- Cobertura (el framework tiende a ser más abarcativo y/o de más alto nivel)
Utilizando el concepto de “framework” de un modo genérico (es decir, asimilándolo al estándar), su importancia radica en que suele reunir una gran cantidad de experiencia y conocimiento adquirido en diversas temáticas.
En línea con lo anterior, y considerando que la seguridad informática es un área trasversal de la organización que necesita de una implementación integral para mitigar riesgos (es decir, amenazas con cierta probabilidad e impacto), la elección de un framework adecuado (o más de uno, combinados) tiene como beneficio un ahorro significativo de recursos, principalmente de tiempos improductivos que se materializan en costos.
Otra de las ventajas es incuestionable: la alineación e interrelación entre políticas, planes, procesos, procedimientos, controles y otros términos asociados a la seguridad informática. En tal sentido, y utilizando como ejemplo al estándar reconocido internacionalmente ISO/IEC 27001:2013 (es decir, versión del año 2013):
- En el dominio 7 se incluyen temáticas de concientización de empleados y de terceros contratados.
- El dominio 8 hace referencia a cuestiones relacionadas con la gestión de activos, como la clasificación y el inventario.
- El dominio 16 desarrolla la gestión de incidentes de forma amplia, contemplando tanto a los incidentes generados internamente como a los que provienen de clientes, proveedores, usuarios y/o entidades interesadas.
- El dominio 17 indica los lineamientos generales para establecer un plan de continuidad.
El estándar ISO 27001:2013 es aludido porque también incluye otras temáticas muy importantes, como la gestión de accesos, y porque presenta un ordenamiento con cierta secuencialidad, ya que comienza presentando un enfoque sistémico para luego continuar con:
- La política.
- La organización interna.
- La gestión de activos y accesos.
- El resto de dominios (criptografía, seguridad física, etc.).
En conclusión, el vínculo entre los frameworks/estándares y las diferentes temáticas de la seguridad informática resultan no solamente evidentes, sino también necesarias para llevar a cabo la difícil tarea de la seguridad informática dentro de una organización.
Cuanto mejor se apliquen, mejores resultados generarán.
