Buscar
Cerrar este cuadro de búsqueda.

La ISO/IEC 27001 ayuda activamente a organizaciones desarrolladoras de softwares

 

Los desarrolladores de softwares pueden apoyarse en la norma ISO/IEC 27001:2013 (2017) mediante la implementación del dominio A.14, cuyo título es adquisición, desarrollo y mantenimiento del sistema de información.

Primero que nada, definamos qué es un sistema de información. Es un conjunto de datos que interactúan entre sí con un fin común. En informática, los sistemas de información ayudan a administrar, recolectar, recuperar, procesar, almacenar y distribuir información relevante para los procesos fundamentales y las particularidades de cada organización. En tal sentido, en cualquiera de estas funciones se puede afectar la disponibilidad, confidencialidad e integridad de la información a la que se le da tratamiento.

En el control A.1.14.1 requisitos de seguridad en sistemas de información, se encuentra el objetivo de garantizar que la seguridad de la información sea parte integral de los sistemas de información a través de todo su ciclo de vida. Esto también incluye los requisitos para los sistemas de infracción que proporcionan los servicios a través de redes públicas.

Es importante considerar que el ciclo de vida inicia con la planificación, análisis, diseño, implementación y mantenimiento. ¿Qué controles podemos implementar en la fase de implementación? Las actividades comunes son montar el proyecto, justificarlo, elegir la metodología del desarrollo, desarrollar un cronograma del proyecto y producir un plan de desarrollo del proyecto. Estas actividades requieren el compromiso por parte de los desarrolladores, para ello se necesitan definir claramente las funciones, responsabilidad y autoridad del equipo de trabajo.

Funciones y responsabilidades el equipo de desarrollo:

Requiere un compromiso de confidencialidad o DNA, por sus siglas en inglés (Non-Disclosure Agreement). Esta etapa requiere, además, de que el equipo esté integrado por personas que gocen del valor de la confianza, es decir, una conducta ética que no va a poder ser regulada por ninguna ley o norma, por lo tanto, la selección del equipo debe ser acuciosa y responsable.

En cuanto a la metodología de desarrollo, las organizaciones hoy en día se decantan por metodologías ágiles como scrum, extreme programing y canbam, las cuales, por su rapidez, usualmente se piensa que no se condicen con una estructura tan robusta como la que establece la ISO. No obstante, en nuestra experiencia, al tener claros estos elementos en cada fase del ciclo de vida del desarrollo, los controles del sistema de gestión de seguridad de la información contribuyen activamente en el éxito de la aplicación de esta metodología. En próximas entregas hablaremos de las siguientes fases del ciclo de vida y otros controles.