Sistemas

Análisis de ISO-27001:2005


Análisis

de ISO-27001:2005

Autor: Alejandro Corletti Estrada

Este texto,

trata de presentar un análisis de la situación actual que presenta

ISO/IEC para cualquier empresa que desee planificar e implementar una política

de seguridad orientada a una futura certificación dentro de este estándar.

Se debe dejar claro que el tema de certificación en aspectos de seguridad,

tal vez aún no ha sido considerado con la seriedad que merece en el ámbito

empresarial, pero no cabe duda que lo será en el muy corto plazo.

Índice

de Contenidos del Informe

Justamente,

la sensación que deja el análisis de esta norma, es que se está

gestando con toda rigurosidad este hecho, y que como cualquier otra certificación

ISO, este estándar internacional ha sido desarrollado (por primera vez

con relación a la seguridad, a juicio de este autor) con toda la fuerza

y detalle que hacía falta para empezar a presionar al ámbito empresarial

sobre su aplicación.

Es decir, se puede prever, que la certificación

ISO-27001, será casi una obligación de cualquier empresa que desee

competir en el mercado en el corto plazo, lo cual es lógico, pues si

se desea interrelacionar sistemas de clientes, control de stock, facturación,

pedidos, productos, etc. entre diferentes organizaciones, se deben exigir mutuamente

niveles concretos y adecuados de seguridad informática, sino se abren

brechas de seguridad entre sí............este estándar apunta

a poder exigir dichos niveles; y ya no puede caber duda que las empresas, para

competir con sus productos (sean de la índole que fueren) en este mercado

cibernético actual, tienen cada vez más necesidad de interrelacionar

sus infraestructuras de información.....ISO-27001 en este sentido es

una muy buena y sólida opción.

I. ORIGEN Y POSICIONAMIENTO DEL ESTÁNDAR:

ISO (Organización Internacional de Estándares) e IEC (Comisión

Internacional de Electrotécnia) conforman un especializado sistema especializado

para los estándares mundiales. Organismos nacionales que son miembros

de ISO o IEC participan en el desarrollo de Normas Internacionales a través

de comités técnicos establecidos por la organización respectiva

para tratar con los campos particulares de actividad técnica. Los comités

técnicos de ISO e IEC colaboran en los campos de interés mutuo.

Otras organizaciones internacionales, gubernamentales y no gubernamentales,

en relación con ISO e IEC, también forman parte del trabajo.

En el campo de tecnología de información, ISO e IEC han establecido

unir un comité técnico, ISO/IEC JTC 1 (Join Technical Committee

Nº1). Los borradores de estas Normas Internacionales adoptadas por la unión

de este comité técnico son enviados a los organismos de las diferentes

naciones para su votación. La publicación, ya como una Norma Internacional,

requiere la aprobación de por lo menos el 75% de los organismos nacionales

que emiten su voto. El Estándar Internacional ISO/IEC 17799 fue preparado

inicialmente por el Instituto de Normas Británico (como BS 7799) y fue

adoptado, bajo la supervisión del grupo de trabajo “Tecnologías

de la Información”, del Comité Técnico de esta unión

entre ISO/IEC JTC 1, en paralelo con su aprobación por los organismos

nacionales de ISO e IEC.

El estándar ISO/IEC 27001 es el nuevo estándar

oficial, su título completo en realidad es: BS 7799-2:2005 (ISO/IEC 27001:2005).

También fue preparado por este JTC 1 y en el subcomité SC 27,

IT “Security Techniques”. La versión que se considerará

en este texto es la primera edición, de fecha 15 de octubre de 2005,

si bien en febrero de 2006 acaba de salir la versión cuatro del mismo.

1870 organizaciones en 57 países han reconocido

la importancia y los beneficios de esta nueva norma. A fines de marzo de 2006,

son seis las empresas españolas que poseen esta certificación

declarada.

El conjunto de estándares que aportan información

de la familia ISO-2700x que se puede tener en cuenta son:

• ISO/IEC 27000 Fundamentals and vocabulary

• ISO/IEC 27001 ISMS - Requirements (revised BS 7799 Part 2:2005) –

Publicado el 15 de octubre del 2005

• ISO/IEC 27002 Code of practice for information security management -

Actualmente ISO/IEC 17799:2005, publicado el 15 de junio del 2005

• ISO/IEC 27003 ISMS implementation guidance (bajo desarrollo)

• ISO/IEC 27004 Information security management measurement (bajo desarrollo)

• ISO/IEC 27005 Information security risk management (basado e incorporado

a ISO/IEC 13335 MICTS Part 2) (bajo desarrollo)

Actualmente el ISO-27001:2005 es el único estándar

aceptado internacionalmente para la administración de la seguridad de

la información y aplica a todo tipo de organizaciones, tanto por su tamaño

como por su actividad

A los efectos

de la certificación, la transición entre ambas normas queda propuesta

(o establecida) por el TPS-55 de UKAS (United Kingdom Acreditation Service):

”Transition Statement Regarding Arrangements for the Implementation of

ISO 27001:2005”. Establece que las empresas (en realidad los auditores,

lo cual afecta directamente a las empresas) durante los primeros seis meses

(desde que se firmó el acuerdo “MoU: Memorandum of Understanding”

entre UKAS y el Departamento de Comercio e Industria de Reino Unido), pueden

elegir acerca de qué estándar aplicar, a partir del 23 de julio

del 2006, la única certificación que se deberá aplicar

será la ISO/IEC 27001:2005. Ante cualquier no conformidad con la aplicación

de la misma motivada claramente por su transición, se establece un plazo

de un año para solucionarla, es decir, hasta el 23 de julio de 2007.

II. PRESENTACION DE ESTE TEXTO

El presente documento es un muy breve resumen de los aspectos más importantes

a tener en cuenta para la aplicación del Estándar Internacional

ISO-27001:2005. Se debe dejar claro que este es la versión actual del

ISO-17799:2002, y dentro del primero se detallan claramente todos los aspectos

de compatibilidad entre ellos. El verdadero enfoque que se debe encarar para

tratar de alcanzar la compatibilidad con este estándar es aplicar la

Norma ISO-27001 con todo detalle y a través del seguimiento de todos

los aspectos que propone, se estará cumplimentando también con

la anterior (lo cual no elude el hecho que se deba conocer también esta

predecesora).



Por Sistemas el mes de abril del 2006

Historias relacionadas

Volver al inicio