Por Alejandra Izaguirre Hernandez
En una de las anteriores entradas de nuestro blog hacemos mención a una norma ISO, concretamente a la ISO 32000-1 relativa al estándar mundial para documentos electrónicos. ¿Pero qué significa exactamente ISO?
La palabra ISO proviene de las siglas “International Organization for Standardization”, en español “Organización Internacional de Normalización”. Esta Organización independiente y no-gubernamental, a través de los organismos nacionales de normalización de los 167 países diferentes que la componen, reúne a múltiples expertos para compartir conocimientos y desarrollar Normas Internacionales voluntarias, basadas en el consenso y relevantes para el mercado que respaldan la innovación, y brindar soluciones a los desafíos globales.
En la actualidad, la citada Organización ha desarrollado más de 24481 Estándares Internacionales, que son clasificadas por familias o series, entre las cuales podemos encontrarnos una serie relativa a la gestión de riesgos y seguridad: la serie 27000. Esta serie, que está compuesta a su vez por 54 normas (aunque no todas son certificables), proporciona un conjunto de buenas prácticas para el establecimiento, implementación, mantenimiento y mejora de Sistemas de Gestión de la Seguridad de la Información (en adelante “SGSI”).
Aunque, como se señaló anteriormente, esta serie cuenta con una amplia lista de normas, lo cierto es que se consideran como básicas las normas ISO 27001 y la ISO 27002. La primera se considera la principal de la serie que estamos tratando, y proporciona los requisitos para implementar los SGSIs, además de ser la norma con arreglo a la cual se certifican por auditores externos los mencionados sistemas de las organizaciones.
La ISO 27002 por su parte sustituye a otra que fue publicada con anterioridad a ésta, la ISO 17799:2005. A diferencia de la anterior, ésta es una guía no certificable de buenas prácticas que detalla los objetivos de control y controles recomendables en cuanto a seguridad de la información. Esta norma fue actualizada en febrero de este año, permitiendo actualmente a cada organización desarrollar atributos propios para los controles de seguridad facilitando la integración de la ISO 27001 con otros marcos de gobierno y de gestión, abriendo también la posibilidad de dirigir la implantación de los controles a sectores industriales o sectoriales específicos para actividades propias de cada organización.
En cualquier caso, si lo que se desea es tener una idea global sobre las normas de esta serie con una explicación general sobre cada una que las componen, además de sus definiciones, lo recomendable es leerse la norma ISO 27000. Ésta expone la importancia de la implantación de un SGSI, una introducción a estos sistemas, además de una sencilla guía para su establecimiento, monitorización, mantenimiento y mejora.
Salvo excepciones y por motivos concretos, como la ISO 9001, implantar ISOs en una empresa no es obligatorio. Sin embargo, y aunque no se cuente con la certificación, siempre es una buena idea tener en cuenta las buenas prácticas que proponen.