Seguramente en su entorno haya oido mencionar alguna vez la ISO 27001, una norma que es una referencia en seguridad de la información. Si le interesa, póngase en manos de un experto como ÁUDEA, Seguridad de la información… ¿porqué? Sencillo, porqué Áudea fue seleccionada para formar parte del Subcomité 27 de Seguridad de la Información de AENOR, cuyo principal resultado fue la publicación de la norma UNE 71502 que establece los requisitos para certificar un sistema de gestión de la seguridad de la información, y cuyo contenido ha sido adoptado por la norma de rango internacional ISO/IEC 27001:2005.
Si no conoce la norma ISO/IEC 27001:2005 «Requisitos para la especificación de sistemas de gestión de la seguridad de la información (SGSI)», pinche en «Seguir leyendo«, porque esto le interesa.
—————————————-
Después de varios meses en su versión final, ha entrado en vigor este referencial de ámbito internacional con el principal objetivo de crear un único conjunto de requisitos en el diseño y gestión de los procesos de seguridad de la información en una organización. La fecha de publicación de esta norma estaba prevista para primeros del 2006. El adelanto en las fechas sólo puede estar justificado por su necesidad.
La publicación de la ISO/IEC 17799:2005 marca un antes y un después, cuya primera consecuencia la desaparición de la norma BS 7799-2:2002, que cuenta con el mayor número de SGSI certificados. En el año 2004 tuvo su reflejo mejorado con la publicación de la norma UNE 71502:2004. Sin entrar a valorar cuál de ambas normas estaba llamada liderar el mercado tenían un lastre: no dejaban de ser normas “española” y “británica”. Con la nueva norma internacional se despejan las dudas de aquellas organizaciones que no sabían qué referencial adoptar.
Esta norma no sólo refuerza la importancia que la gestión de la seguridad tiene para las organizaciones de todo el mundo, sino que crea una sólida base normativa que anuncia un aumento exponencial en el interés de la implantación de SGSI y su certificación como una característica reconocida y valorada en las relaciones empresariales. Las normas BS 7799-2:2002 y UNE 71502:2004 han servido como precalentamiento, desde ahora podemos decir que la carrera ha comenzado.
Principales características de la ISO/IEC 27001:2005
El objetivo básico del referencial internacional es ayudar a establecer y mantener un Sistema de Gestión de la Información efectivo, usando el núcleo de gestión de la mejora continua y permitiendo una alineación con las normas ISO 9001:2000 y la ISO 14001:2005.
Esta norma de rango internacional integra lo mejor de las normas de certificación de un SGSI existentes en el mercado, de forma que se hace un mayor énfasis en la aclaración y mejora los requisitos de mejora continua del sistema de gestión:
– El alcance del SGSI incluye los detalles y justificaciones de cualquier exclusión.
– Orientación a la evaluación del riesgo (para producir resultados comparables y reproducibles.
– Selección de controles (criterios de aceptación de los riesgos)
– Documento de Aplicabilidad
– Revisión de los riesgos
– Responsabilidad de la Dirección
– Auditorías Internas del SGSI
– Resultados de la efectividad y mediciones
– Actualización de los planes de tratamiento de los riesgos, procedimientos y controles.
Beneficios y Obstáculos
Beneficios:
1) Respuesta del mercado:
• Respuesta mundial muy positiva del sector, especialmente en Europa y Estados Unidos donde la BS 7799-2:2002 ha tenido un crecimiento mucho menor de lo esperado.
• Las organizaciones ven con buenos ojos la existencia de una única norma internacional que permita establecer con mayor facilidad estrategias de certificación y gestión de la seguridad.
• Las entidades públicas pueden contar con un conjunto de requisitos de seguridad a la hora de la contratación de servicios a terceros.
2) Alineamiento con las series de normas ISO 9000 y 14000 de Gestión Empresarial.
3) Asegura un nivel de consistencia en la Gestión de los Sistemas de Información
4) Cohesión Internacional
5) Reconocimiento profesional a escala internacional
Obstáculos
1) Aceptación internacional por parte del tejido empresarial
2) Apoyo por parte de los gobiernos de los países
Familia 27000
Pero aún hay más, con esta norma ISO/IEC 27001:2005 da nacimiento a la familia de normas ISO 27000 dedicadas a la Gestión de la Seguridad de la Información, a semejanza de las series ISO 9000 o 14000 que tan consolidadas están. Podemos adelantar la numeración de las diferentes normas que componen la serie:
• ISO 27000 – Principios y vocabulario (en desarrollo)
• ISO 27001 – Requisitos del SGSI (publicada 14 Octubre de 2005)
• ISO 27002 – Controles de Seguridad (actual ISO/ IEC 17799:2005 – prevista su publicación en 2007)
• ISO 27003 – Guía implantación SGSI (previsto en 2007)
• ISO 27004 – Métricas y Medición SGSI (previsto en 2007)
• ISO 27005 – Gestión de Riesgos del SGSI (sin fecha)
Si quiere más información, consulte a los expertos; contáctenos en www.audea.com o en info@audea.com