ISO / IEC 27000
Introducción UNIT-ISO/IEC 17799 versión 2005 Requisitos para un SGSI - UNIT-ISO/IEC 27001 Certificación de un SGSI Normas UNIT-ISO/IEC 27000

¿Qué son las Normas UNIT-ISO/IEC 27000 para Gestión de la Seguridad de la Información?

La información es un activo que, como otros activos importantes del negocio, es esencial al negocio de una organización y requiere en consecuencia una protección adecuada. Esto es especialmente importante en ambientes de negocio cada vez más interconectados. Como consecuencia de esta creciente interconectividad, la información está ahora expuesta a un número mayor y a una variedad más amplia de amenazas y vulnerabilidades.

La gestión eficaz de la seguridad de los sistemas de información es un aspecto primordial para salvaguardar a las organizaciones de los riesgos e inseguridades que pueden dañar de forma importante sus sistemas de información.

La ISO y la Comisión Electrotécnica Internacional (IEC) han desarrollado una serie de normas internacionales de amplísima difusión a nivel mundial al respecto de esta problemática. Quizás la de mayor trascendencia sea la ISO/IEC 17799 (en nuestro país adoptada como UNIT-ISO 17799), Código de buenas prácticas para un Sistema de Gestión de la Seguridad de la Información(SGSI), la cual como lo indica en su título ofrece recomendaciones para la gestión de un SGSI. La primera versión de esta norma data del año 2000 y está basada en la norma británica BS 7799-1. La norma está organizada en 11 dominios, los cuales contiene un total de 134 controles que abarcan desde los aspectos estratégicos de un SGSI hasta los más operativos.

Esta norma es en definitiva una herramienta muy útil para quienes sean los responsables de iniciar, implantar o mantener la seguridad de una organización. En junio de 2005 se publicó una nueva versión de la ISO/IEC 17799, en la misma se aumento en un uno el número de dominios y se eliminaron, modificaron y agregaron controles. Esta nueva versión integra los últimos desarrollos en el campo, para mantenerse como la norma internacional reconocida en materia de buenas prácticas para la gestión de la seguridad de la información. La ISO/IEC 17799 no es una norma de certificación, ni fue diseñada para ese propósito. La misma es seguida por la norma ISO/IEC 27001 (en nuestro país adoptada como UNIT-ISO 27001), Sistema de Gestión de la Seguridad de la Información-Requisitos publicada el 14 de octubre de 2005, la cual puede utilizarse para la certificación. Esta última implica declaraciones de conformidad con procesos y controles de seguridad. Está basada en la norma BS 7799-2, la cual viene siendo utilizada para certificar en los últimos siete años. La ISO/IEC 27001 utiliza el modelo de proceso PDCA (Plan-Do-Check-Act) al igual que las normas ISO 9001 e ISO 14001.

Alrededor de 2000 organizaciones ya tienen su certificación para sus SGSI, y se espera que este número crezca en gran medida dada la publicación de esta norma internacional. La ISO/IEC 17799 así como la ISO/IEC 27001 son parte de la familia de normas ISO/IEC 27000 que están siendo desarrolladas por un comité técnico especializado a nivel de ISO (el subcomité 27 perteneciente al JTC 1). Se espera renombrar la ISO/IEC 17799 en el año 2007 como ISO/IEC 27002. El comité antes mencionado también está en proceso de elaboración de otras normas de soporte y apoyo a las ya mencionadas. La creación de la familia de normas relacionadas a un SGSI intenta imitar la serie de normas ISO 9000 que abarcan un sistema de gestión de la calidad(SGC) y la ISO/IEC 27001 serviría a un SGSI así como la ISO 9001 lo hace para un SGC. UNIT, como representante exclusivo de ISO en Uruguay es el responsable de la Normalización Técnica en esta materia y también quién está promocionando en nuestro país la Capacitación en Gestión de Seguridad de la Información y la Certificación de los correspondientes Sistemas (UNIT-ISO/IEC 27000).