ISO 27000: "LA SEGURIDAD ES EL MAYOR ENEMIGO"

QUIERO QUE SEPAN QUE LA ISO 27000 ES UN SISTEMA QUE FUE CREADO BAJO LA SIGUIENTE FRASE: "LA SEGURIDAD ES EL MAYOR ENEMIGO" TENIENDO EN CUENTA QUE:

      La información es un activo vital para el éxito y la continuidad en el mercado de cualquier organización. El aseguramiento de dicha información y de los sistemas que la procesan es, por tanto, un objetivo de primer nivel para la organización. 

     Para la adecuada gestión de la seguridad de la información, es necesario implantar un sistema que aborde esta tarea de una forma metódica, documentada y basada en unos objetivos claros de seguridad y una evaluación de los riesgos a los que está sometida la información de la organización. 

     ISO/IEC 27000 es un conjunto de estándares desarrollados -o en fase de desarrollo-por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña. 

    En este apartado se resumen las distintas normas que componen la serie ISO 27000 y se indica cómo puede una organización implantar un sistema de gestión de seguridad de la información (SGSI) basado en ISO 27001. 

     ¿DONDE ES SU ORIGEN ?

Desde 1901, y como primera entidad de normalización a nivel mundial, BSI (British Standards Institution, la organización británica equivalente a AENOR en España) es responsable de la publicación de importantes normas como: 

1979 - Publicación BS 5750 - ahora ISO 9001 

1992 - Publicación BS 7750 - ahora ISO 14001 

1996 - Publicación BS 8800 - ahora OHSAS 18001 

     La norma BS 7799 de BSI aparece por primera vez en 1995, con objeto de proporcionar a cualquier empresa -británica o no- un conjunto de buenas prácticas para la gestión de la seguridad de su información. 

     La primera parte de la norma (BS 7799-1) es una guía de buenas prácticas, para la que no se establece un esquema de certificación. Es la segunda parte (BS 7799-2), publicada por primera vez en 1998, la que establece los requisitos de un sistema de seguridad de la información (SGSI) para ser certificable por una entidad independiente. 

     Las dos partes de la norma BS 7799 se revisaron en 1999 y la primera parte se adoptó 

por ISO, sin cambios sustanciales, como ISO 17799 en el año 2000. 

     En 2002, se revisó BS 7799-2 para adecuarse a la filosofía de normas ISO de sistemas de gestión. WWW.ISO27000.ES ©

     En 2005, con más de 1700 empresas certificadas en BS7799-2, este esquema se publicó por ISO como estándar ISO 27001, al tiempo que se revisó y actualizó ISO17799. Esta última norma se renombra como ISO 27002:2005 el 1 de Julio de 2007, manteniendo el contenido así como el año de publicación formal de la revisión. 

     A continuación un muestro un resumen de las distintas normas que componen la ISO 27000, ademas de los beneficios, riegos e implantacion de una empresa.

¿QUE BENEFICIOS NOS TRAE LA NORMA ?

• Establecimiento de una metodología de gestión de la seguridad clara y estructurada.
• Reducción del riesgo de pérdida, robo o corrupción de información.
• Los clientes tienen acceso a la información a través medidas de seguridad.
• Los riesgos y sus controles son continuamente revisados.
• Confianza de clientes y socios estratégicos por la garantía de calidad y confidencialidad comercial.
• Las auditorías externas ayudan cíclicamente a identificar las debilidades del sistema y las áreas a mejorar.
• Posibilidad de integrarse con otros sistemas de gestión (ISO 9001, ISO 14001, OHSAS 18001L).
• Continuidad de las operaciones necesarias de negocio tras incidentes de gravedad.
• Conformidad con la legislación vigente sobre información personal, propiedad intelectual y otras.
• Imagen de empresa a nivel internacional y elemento diferenciador de la competencia.
• Confianza y reglas claras para las personas de la organización.
• Reducción de costes y mejora de los procesos y servicio.
• Aumento de la motivación y satisfacción del personal.
• Aumento de la seguridad en base a la gestión de procesos en vez de en la compra sistemática de productos y tecnologías.