miércoles, 5 de agosto de 2015

ISO/IEC 27001: Sistemas de Gestión de Seguridad de la Información – Haciendo un poco de historia | Parte I

La ISO 27001 es la norma que establece los requisitos mínimos para implantar, operar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI).

Dicho estándar internacional fue publicado como tal por la International Organization for Standardization (ISO) y por la International Electrotechnical Commission (IEC) en octubre del año 2005 (actualmente existe una versión 2013) y es el único aceptado a nivel internacional para la gestión de la seguridad de la información.

La norma, que data de hace casi 20 años, ha sido resultado de la evolución de otros estándares relacionados con la seguridad de la información.

La ISO 27001 es la principal de la serie 27000 y contiene los requisitos del sistema de gestión de seguridad de la información. Su origen primigenio es la norma BS 7799-2:2002, con la cual se certifican los SGSI (Sistemas de Gestión de Sistemas de Información) de las organizaciones a nivel internacional. Pero al no ser obligatoria, algunas compañías deciden implantar los controles y/o el Sistema de Gestión de Seguridad de la Información y no certificar.

Asimismo, la norma enumera en forma de resumen los objetivos de control y controles que desarrolla la ISO 27002, perteneciente a la familia 27k, para que sean seleccionados por las organizaciones en el desarrollo de sus SGSI. A  pesar de no ser obligatoria la implementación de todos los controles mencionados, la organización deberá justificar la no aplicabilidad de los mismos.

En cuanto a su denominación, varios países le asignan distintos nombres. En España está publicada como UNE-ISO/IEC 27001:2007 y puede adquirirse online en AENOR (también en lengua gallega). Aunque hay que tener en cuenta que en el 2009, se publicó un documento adicional de modificaciones (UNE-ISO/IEC 27001:2007/1M:2009). Otros países donde está publicada en español son, por ejemplo, Colombia (NTC-ISO-IEC 27001), Venezuela (Fondonorma ISO/IEC 27001), Argentina (IRAM-ISO IEC 27001), Chile (NCh-ISO27001), México (NMX-I-041/02-NYCE) y Uruguay (UNIT-ISO/IEC 27001).

Actualmente, en los distintos países se está traduciendo la última versión del año 2013. En Argentina, la misma se publicará a fines de este año.


Autora:
Ing. Lic. Marcela Meyorín Lorenzo
IT Infraestructure & Security
CISA, Lead Auditor 25999/22301, ITIL v.3 Foundation/ISO-IEC 20000/AI 9001.