UNIT-ISO/IEC 27001:2005 (Adopción UNIT 2006) – Requisitos para un Sistema de Gestión de la Seguridad de la Información
La información es un activo omnipresente que dirige las operaciones y los procesos en todas las áreas de negocio. Hoy en día, la información se considera un producto clave para todo negocio y se le confiere valor, utilidad e importancia en el ámbito empresarial.
Reconocer el valor empresarial de la información es de vital importancia para todas las organizaciones. La gestión eficaz de la seguridad de los sistemas de información es un aspecto primordial para salvaguardar a las organizaciones de los riesgos e inseguridades que pueden dañar de forma importante sus sistemas de información.
Sin seguridad de la información, el entorno empresarial se enfrenta a varios impactos negativos, que incluyen: repercusiones financieras, el debilitamiento del capital intelectual y de los derechos de propiedad intelectual de la organización, la pérdida de cuota del mercado, el descenso de los índices de productividad y rendimiento, o el perjuicio de la imagen y la reputación.
La Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC) han desarrollado una serie de normas internacionales de amplísima difusión a nivel mundial al respecto de esta problemática.
Se entendió oportuno considerar la adopción como normas técnicas nacionales de estas mencionadas normas internacionales y para ello se constituyó en nuestro Instituto un Comité Técnico Especializado para la elaboración de Normas Técnicas UNIT sobre Seguridad de la Información.
A los efectos de integrar dicho Comité Especializado se solicitaron delegados a: Ministerio de Defensa Nacional, Comisión Nacional de Informática, Cámara Uruguaya de Tecnología Informática (CUTI), URSEC, Asociación de Bancos del Uruguay, Banco Central del Uruguay, BROU, Banco Hipotecario del Uruguay, Comisión Local de Aseguradores, BSE, Facultad de Ingeniería, Asociación de Ingenieros del Uruguay, BPS, DGI; ANTEL, UTE; ANCAP, IMM, Cabal Uruguay S.A., DataSec, IBM del Uruguay y Compu Seguridad, ABN AMRO Bank, Banco de Santander Uruguay, Citybank National Association, Banco Surinvest S.A., Banco ACAC, COFAC, Discount Bank, Banco Bilbao Vizcaya Argentaria, HSBC Bank (Uruguay) S.A., Nuevo Banco Comercial y Bank Boston.
El comité viene trabajando desde el año pasado en el marco del Proyecto ATN/ME-8532 “Acceso a los mercados y a la integración a través de la normalización técnica” BID FOMIN UNIT.
UNIT, como representante exclusivo de ISO en Uruguay es el responsable de la Normalización Técnica en esta materia, pero además es quién está promocionando en nuestro país la Capacitación en Gestión de Seguridad de la Información con el dictado del diploma de Especialista UNIT en Gestión de la Seguridad de la Información y la Certificación de los correspondientes Sistemas (UNIT-ISO/IEC 27000)
Requisitos para un Sistema de Gestión de la Seguridad de la Información
El pasado 22 de junio de 2006 el comité especializado aprobó la norma UNIT-ISO/IEC 27001 – Sistemas de Gestión de la Seguridad de la Información – Requisitos, que se corresponde íntegramente con la norma ISO/IEC 27001.
Ésta norma proporciona una base para el diseño y la implementación de un sistema de gestión de la seguridad de la información (SGSI).
Esta norma fue elaborada por el comité técnico conjunto JTC1, subcomité SC 27, Técnicas de seguridad en TI de ISO, del cual UNIT es miembro pleno, que es responsable por la elaboración de la familia de normas ISO/IEC 27000 de gestión de la seguridad de la información. La creación de la familia de normas relacionadas a un SGSI intenta imitar la serie de normas ISO 9000 que abarcan un sistema de gestión de la calidad(SGC) y la ISO/IEC 27001 serviría a un SGSI así como la ISO 9001 lo hace para un SGC.
Dentro de la familia UNIT-ISO/IEC 27000 está incluida también, la ya adoptada UNIT-ISO/IEC 17799, código de buenas prácticas para la seguridad de la información.
El comité antes mencionado también está en proceso de elaboración de otras normas de soporte y apoyo a las ya mencionadas, proceso del que UNIT está participando activamente.
Por mayor información sobre ésta norma y la familia UNIT-ISO/IEC 27000 haga click aquí
Proyecto UNIT-FOMIN/BID ATN/ME-8532-RG
Acceso a los mercados y a la integración a través de la Normalización técnica