La implementación de Estándares de Seguridad de la Información responden a diversas necesidades según las empresas donde se los aplica.
Ya sea por cotizar en la bolsa de Estados Unidos o por pertenecer a un segmento que tiene algún tipo de control o normativa de parte de los gobiernos o de las mismas empresas, es necesario adecuarse a los estándares que aseguren la inserción en el mercado global.
La distribución geográfica de los estándares más utilizados se divide mundialmente de la siguiente manera:
- Internacionales: ISO/IEC 27001 – 27002, ISO/IEC 20000, ISO/WD 31000.
- Norteamérica: Bill 3494/2000, Bill 3221/2004, Bill 198, COBIT, COSO, SAS 70, Sarbanes-Oxley, Homeland Security, CMMI.
- Sudamérica: NBR 17799/27001, NTP 17799
NCH 2777, Regulaciones SB, Decreto 83, Exigencias puntuales locales. - Europa: BS 25999, BS 7799-3, KongTraG, Basell II, DPA, EUDP, IAS, Companies Act, BDSG, LOP, Reg 357, Article 46, King II Report, Banking Act.
- Asia: Japan Privacy, Japanese SOX, Basell II & FICS
- Australia y Nueva Zelandia: AS/NZS 4360, CLERP 9, PA&PAA
La tendencia esta claramente inclinada hacia los estándares que permiten detectar el fraude (internos y externo), los sistemas de gestión integrados, estándares para firma digital, control de desarrollo de software, data base intrusión prevention, entre otros.
La mayoría de las regulaciones están orientadas a los procesos, gobernabilidad y reportes, involucrándose con aspectos tecnológicos.
Algunos estándares al ser certificables, generan un cumplimiento de una regulación específica.
Existen muchas regulaciones que existen y obligan a diferentes compañías a implementar controles para dar cumplimiento a las diferentes regulaciones.
Independiente de la regulación que una empresa debe cumplir, puede encontrar mas de un estándar que le permita estar en cumplimiento de dicha regulación.
Por: Miguel Iván Cisterna (Especialista de Seguridad – Global Crossing de Chile)
Fuente: Community CXO
