La información es un activo que, como otros activos importantes del negocio, es esencial al negocio de una organización y requiere en consecuencia una protección adecuada. Esto es especialmente importante en ambientes de negocio cada vez más interconectados. Como consecuencia de esta creciente interconexión, la información está ahora expuesta a un número mayor y a una variedad más amplia de amenazas y vulnerabilidades.
El incremento de la cantidad de incidentes de seguridad de la información a nivel de las organizaciones, que afectan la operativa y continuidad de negocio de las mismas, con impactos a nivel económico, legal y de imagen, hacen que sea necesario la implantación de un Sistema de Gestión de la Seguridad de la Información(SGSI), que contribuyan a establecer políticas, guiar en buenas prácticas de seguridad y gestionar los riesgos asociados.
Mejorar los aspectos relacionados con la seguridad de la información, proveer seguridad a sus clientes o socios, son algunos de los motivos por los cuales las organizaciones deciden adoptar normas de seguridad y la implantación de un SGSI.
Mediante el uso de la familia de normas UNIT-ISO/IEC 27000 , las organizaciones pueden desarrollar e implantar un marco para la gestión de la seguridad de sus activos de información, incluyendo información financiera, propiedad intelectual y detalles de sus empleados, o información confiada a la organización por sus clientes o terceras partes. Estas normas también pueden ser utilizadas para prepararse para una evaluación independiente de sus SGSI aplicada a la protección de la información.
En 1995 el organismo británico de normalización (BSI - British Standards Institute) establece la norma BS 7799, con el objetivo de proporcionar a cualquier organización un conjunto de buenas prácticas para la gestión de la seguridad de su información.
La primera parte de la norma (BS 7799-1) fue una guía de buenas prácticas, para la que no se establecía un esquema de certificación. En 1998 fue publicada la segunda parte de la norma (BS 7799-2), en la que establecieron los requisitos de un sistema de seguridad de la información para ser certificable por una entidad independiente.
En el año 1999 las dos partes de la Norma BS 7799 se revisaron y la primera parte se adoptó por ISO e IEC, sin cambios sustanciales, como ISO/IEC 17799 en el año 2000.
En 2002, se revisó la segunda parte de la norma (BS 7799-2) para adecuarse a la filosofía de normas ISO/IEC de sistemas de gestión.
En el año 2005 la Norma BS 7799-2 se publicó por ISO e IEC, con algunos cambios, como norma ISO/IEC 27001.
Las normas internacionales para los sistemas de gestión proporcionan un modelo a seguir en la creación y operación de un sistema de gestión. Este modelo incorpora los elementos sobre los que expertos en la materia han llegado a un consenso internacional como estado del arte. El sub-comité ISO/IEC JTC 1 SC 27 reúne a los expertos dedicado a la elaboración de normas internacionales de sistemas de gestión para la seguridad de la información
UNIT es miembro pleno del Sub Comité 27 (ISO/IEC JTC1/SC 27) Técnicas de Seguridad, que cuenta con 136 Normas publicadas.
A nivel regional UNIT forma parte de del Comité CSM 28 “Comité Sectorial Mercosur de Seguridad de la Información” de la Asociación Mercosur de Normalización AMN.
La gestión eficaz de la seguridad de la información es un aspecto primordial para salvaguardar a las organizaciones de los riesgos que pueden dañar de forma importante sus sistemas de información.
La Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC) han desarrollado una serie de normas internacionales de amplísima difusión a nivel mundial al respecto de esta problemática.
Quizás la de mayor trascendencia sea la ISO/IEC 27002 -en nuestro país adoptada como UNIT-ISO/IEC 27002-, Código de buenas prácticas para un Sistema de Gestión de la Seguridad de la Información(SGSI), la cual como lo indica en su título ofrece recomendaciones para la gestión de un SGSI. La norma está organizada en 14 dominios, los cuales contiene un total de 144 controles que abarcan desde los aspectos estratégicos de un SGSI hasta los más operativos.
Esta norma es en definitiva una herramienta muy útil para quienes sean los responsables de iniciar, implantar o mantener la seguridad de una organización. La ISO/IEC 27002 no es una norma de certificación, ni fue diseñada para ese propósito. La misma es seguida por la norma ISO/IEC 27001 (en nuestro país adoptada como UNIT-ISO 27001), Sistema de Gestión de la Seguridad de la Información-Requisitos publicada el 14 de octubre de 2005, la cual puede utilizarse para la certificación. Esta última implica declaraciones de conformidad con procesos y controles de seguridad.
Alrededor de 2000 organizaciones ya tienen su certificación para sus SGSI, y se espera que este número crezca.
UNIT, como representante exclusivo de ISO en Uruguay es el responsable de la Normalización Técnica en esta materia y también quién está promocionando en nuestro país la Capacitación en Gestión de Seguridad de la Información y la Certificación de los correspondientes Sistemas (UNIT-ISO/IEC 27001).
La ISO ha reservado la serie ISO/IEC 27000 para una gama de normas de gestión de la seguridad de la información de manera similar a lo acontecido con las normas de gestión de la calidad, la serie ISO 9000.
Identificación | Título |
UNIT-ISO/IEC 27000:2018 | Tecnología de la Información - Técnicas de seguridad - Sistema de gestión de seguridad de la información - Visión general y vocabulario |
UNIT-ISO/IEC 27001:2022 | Seguridad de la información, ciberseguridad y protección de la privacidad - Sistemas de gestión de la seguridad de la información – Requisitos |
UNIT-ISO/IEC 27002:2022 | Seguridad de la información, ciberseguridad y protección de la privacidad – Controles de seguridad de la información |
UNIT-ISO/IEC 27003:2017 | Tecnología de la información – Técnicas de seguridad – Sistemas de gestión de la seguridad de la información – Directrices |
UNIT-ISO/IEC 27004:2016 | Tecnología de la información – Técnicas de seguridad – Gestión de la seguridad de la información – Seguimiento, medición, análisis y evaluación |
UNIT-ISO/IEC 27005:2022 | Seguridad de la información, ciberseguridad y protección de la privacidad - Orientación sobre la gestión de los riesgos de seguridad de la información |
UNIT-ISO/IEC 27007:2020 | Seguridad de la información, ciberseguridad y protección de la privacidad – Directrices para auditar sistemas de gestión de seguridad de la información |
UNIT-ISO/IEC TR 27008:2011 | Tecnología de la información - Técnicas de seguridad - Directrices para los auditores sobre los controles de seguridad de la información |
ISO/IEC 27006:2011 | Requisitos para los Organismos que Realizan Auditorías y Certificaciones de Sistemas de Gestión de Seguridad de la Información |
Como herramienta de gestión que es, la norma UNIT-ISO/IEC 27001 hace referencia a las tareas y responsabilidades más amplias de una organización, tales como la gobernanza y las obligaciones legales o reglamentarias. Todos estos aspectos pueden asociarse con la cada vez mayor dependencia de las organizaciones de los sistemas de información y de las tecnologías de la información y las comunicaciones (TIC).
La norma UNIT-ISO/IEC 27001 es una especificación basada en riesgos, diseñada para defender los aspectos de la seguridad de la información, como son la gobernanza corporativa, la protección de la información y otros activos relacionados con la información y las obligaciones legales y contractuales, así como la gran diversidad de amenazas a las que se enfrentan los sistemas de las TIC y los procesos de negocio de una organización.
Las fallas de seguridad de la información pueden dar lugar a pérdidas financieras y graves problemas en las operaciones de negocio. La norma UNIT-ISO/IEC 27001:2013 para SGSI puede ayudar a las organizaciones a cerrar brechas existentes y prevenir futuras amenazas.
"La publicación de ISO/IEC 27001 es un gran acontecimiento para el mundo de la seguridad de la información y la norma se ha aguardado con impaciencia", dijo Ted Humphreys, Coordinador del grupo de trabajo responsable de manejar el desarrollo de la norma. "Es una norma que todas las organizaciones que toman conciencia de la seguridad deberían de implantar."
UNIT-ISO/IEC 27001 puede ser utilizada por una amplia gama de organizaciones - pequeñas, medias y grandes - en la mayoría de los sectores del mercado comercial e industrial: finanzas y seguro, telecomunicaciones, sectores de fabricación y venta al por menor, industrias de servicios, transportes, dependencias del estado y muchos otros.
Un Sistema de Gestión de la Seguridad de la Información es un enfoque sistemático a la gestión de la información sensible de la organización de modo que siga siendo segura. Abarca a las personas, procesos y sistemas de TI.
UNIT-ISO/IEC 27001, especifica los procesos para permitir a un negocio establecer, implantar, revisar y realizar el seguimiento, gestionar y mantener un SGSI eficaz.
Más de 2000 organizaciones en más de 50 países se han certificado y el crecimiento de ésta certificación aumenta a un ritmo vertiginoso.
A nivel nacional y con la adopción de la norma internacional ISO/IEC 27001, UNIT ya tiene elaborado un esquema de certificación que ya ha utilizado auditorías de SGSI.
Empresas certificadas