La norma BS7799 es un amplio plan para la implementación de la seguridad efectiva de la información mediante un Sistema para Gestión de Seguridad de Información (SGSI). Las normas de seguridad les brinda a los profesionales de tecnología de la información un anteproyecto para que desarrollen políticas y procesos de seguridad empresarial.
Esta norma tiene la virtud de ser útil en la mayor parte de las situaciones y organizaciones ya que establece una referencia común para el sector de la seguridad de los sistemas de información que favorezca el intercambio de productos, sistemas y servicios entre proveedores, clientes, contratistas y otros socios de negocio.
El principio fundamental en el que se basa esta norma, nos dice que la seguridad obtenida sólo mediante tecnología (hardware y software) es limitada y propensa a fallas continuas; en consecuencia, se necesita contar con un adecuado soporte de gestión y procedimientos, así como con la participación de todos los actores implicados en el giro de negocios de cualquier organización, sean externos o internos.
Para implantar un sistema SGSI, la norma BS7799 otorga gran importancia a la valoración de riesgos; a los procedimientos y los controles; a la creación y mantenimiento de evidencias; a identificar las responsabilidades; a la presencia de controles formales; a la documentación de las políticas de seguridad; al tratamiento de incidentes; y al código malicioso.
La norma BS7799 expone que la valoración de los riesgos a los que están sometidos los activos en cualquier empresa se puede realizar en términos cuantitativos y cualitativos, en relación con las posibles consecuencias derivadas de la pérdida de Confidencialidad, Integridad y Disponibilidad de la información.
El funcionamiento de la seguridad para proteger la información es un aspecto fundamental en las organizaciones actuales. Aunque el proceso de implantación de un Sistema de Gestión de Seguridad de Información puede resultar complejo, la norma BS7799 facilita y orienta adecuadamente a las empresas en la administración efectiva de sus sistemas de información.
