La ISO\/IEC 27001, norma de un sistema de gesti\u00c3\u00b3n de seguridad en la informaci\u00c3\u00b3n (ISMS), fue publicada en octubre de 2005. \u00c2\u00bfLuego de dos a\u00c3\u00b1os, ha sido un \u00c3\u00a9xito?. \u00c2\u00bfEs tan eficaz y popular como lo son las normas de calidad y medioambiente?. Pandita Louram investiga si la norma ISO\/IEC 27001 se ha asegurado un lugar entre las famosas de sistemas de gesti\u00c3\u00b3n.<\/p>\n
La ISO\/IEC 27001 fue publicada como norma internacional a finales de 2005. Hasta esa fecha, las organizaciones que deseaban certificar sus ISMS recurr\u00c3\u00adan a la norma brit\u00c3\u00a1nica BS 7799 Parte 2 en lugar de una internacional. La ISO\/IEC 27001 puede ser usada por todo tipo de organizaciones \u00e2\u20ac\u201c grandes, medianas, peque\u00c3\u00b1as \u00e2\u20ac\u201c en la mayor\u00c3\u00ada de los \u00c3\u00a1mbitos comerciales e industriales.<\/p>\n
La implementaci\u00c3\u00b3n de la norma ISO\/IEC 27001 asegurar\u00c3\u00a1 a clientes y proveedores que la seguridad en la informaci\u00c3\u00b3n es tomada en serio dentro de las organizaciones con las que se relacionan, porque tienen implementados procesos que incorporan aspectos de las reglas del arte para encarar temas y amenazas relacionadas con la seguridad de la informaci\u00c3\u00b3n. Las organizaciones que est\u00c3\u00a1n certificadas seg\u00c3\u00ban esta norma deben:<\/p>\n
* demostrar que todas las actividades se realizan seg\u00c3\u00ban un m\u00c3\u00a9todo establecido \u00e2\u20ac\u201c el m\u00c3\u00a9todo puede ser definido por la organizaci\u00c3\u00b3n pero debe estar bien definido y documentado
\n* especificar sus objetivos de seguridad; el auditor verificar\u00c3\u00a1 si estos objetivos se cumplen
\n* usar los resultados de un an\u00c3\u00a1lisis de riesgos para establecer medidas de seguridad de la informaci\u00c3\u00b3n
\n* establecer un conjunto de controles de seguridad \u00e2\u20ac\u201c los que son sugeridos por la norma, pero queda a criterio de la organizaci\u00c3\u00b3n determinar qu\u00c3\u00a9 controles implementar\u00c3\u00a1 bas\u00c3\u00a1ndose en las necesidades espec\u00c3\u00adficas de sus negocios
\n* implementar un proceso que asegure la verificaci\u00c3\u00b3n continua de todos los elementos del sistema de seguridad por medio de auditoras y revisiones
\n* implementar un proceso que asegure la mejora continua de todos los elementos del sistema de seguridad<\/p>\n
La norma ISO\/IEC 27001 est\u00c3\u00a1 alineada tanto con la de sistemas de gesti\u00c3\u00b3n de la calidad (ISO 9001) como con la de sistemas de gesti\u00c3\u00b3n ambiental (ISO 14001). Estas tres normas comparten elementos del sistema y principios tales como el PDCA (planificar, hacer, verificar, actuar). Es posible y para la mayor\u00c3\u00ada beneficioso, integrar los tres sistemas en la medida que tenga sentido.<\/p>\n
Pero, \u00c2\u00bfcu\u00c3\u00a1n exitosa ha sido la aplicaci\u00c3\u00b3n de la norma ISO\/IEC 27001?. La certificaci\u00c3\u00b3n var\u00c3\u00ada de pa\u00c3\u00ads en pa\u00c3\u00ads. Ha demostrado ser, de lejos, muy popular en organizaciones del mercado japon\u00c3\u00a9s. Desde su publicaci\u00c3\u00b3n, se han emitido 1907 certificados en Jap\u00c3\u00b3n. Esto representa el 58% del total de certificados emitidos en el mundo. Jap\u00c3\u00b3n es seguida por el Reino Unido con el 10% (319 certificados), India con el 8% (269 certificados), Taiwan con el 4% (123 certificados) y Alemania con el 2% (74 certificados). Asia, principalmente debido al entusiasmo japon\u00c3\u00a9s, es responsable por el mayor n\u00c3\u00bamero de certificados con 2477, o el 75% del total de certificados emitidos en el mundo. Europa es el continente que le sigue con 682 certificados o un 21% del total, dejando al resto del mundo con el 4% restante.<\/p>\n
A febrero de 2007, se hab\u00c3\u00adan emitido 3309 certificados en un total de 68 pa\u00c3\u00adses. Aunque parece que esta norma tiene un largo camino para recorrer, es a\u00c3\u00ban temprano para hacer un pron\u00c3\u00b3stico. Vale la pena tener en cuenta que a comienzos de 1993, seis a\u00c3\u00b1os despu\u00c3\u00a9s de la publicaci\u00c3\u00b3n de la norma ISO 9001, se hab\u00c3\u00adan emitido un total de 27816 certificados en solamente 48 pa\u00c3\u00adses.<\/p>\n
En sus primeros seis a\u00c3\u00b1os, la ISO 9001 experiment\u00c3\u00b3 un crecimiento anual del 16%. Asumiendo que los certificados ser\u00c3\u00a1n otorgados a un ritmo similar al de que han tenido desde octubre 2005, el pron\u00c3\u00b3stico para el crecimiento anual para la ISO\/IEC 27001 deber\u00c3\u00ada ser de m\u00c3\u00a1s del 25%. Tambi\u00c3\u00a9n se est\u00c3\u00a1n emitiendo certificados en una gran variedad de pa\u00c3\u00adses, incluyendo regiones en v\u00c3\u00adas de desarrollo, tales como Moldavia e Indonesia.<\/p>\n
Este inter\u00c3\u00a9s en la norma puede deber a un n\u00c3\u00bamero de rezones, tales como la popularidad de los sistemas de gesti\u00c3\u00b3n de la calidad y del medioambiente o la creciente dependencia de las organizaciones en la informaci\u00c3\u00b3n, particularmente informaci\u00c3\u00b3n electr\u00c3\u00b3nica, y la necesidad de conservar la confidencialidad y seguridad de esta informaci\u00c3\u00b3n. Las organizaciones en todo el mundo, y en particular las de Asia, est\u00c3\u00a1n reconociendo cada vez m\u00c3\u00a1s los beneficios que la certificaci\u00c3\u00b3n ofrece a largo plazo.<\/p>\n
Un estudio realizado por Gamma, consultores en seguridad de la informaci\u00c3\u00b3n, muestra la necesidad de salvaguardar la informaci\u00c3\u00b3n. Gamma consult\u00c3\u00b3 a un total de 4363 organizaciones, entre 1998 y 2006. Los resultados del estudio mostraron la importancia que tiene para las organizaciones la confidencialidad de la informaci\u00c3\u00b3n, independiente de la industria y de su tama\u00c3\u00b1o. Un 29% de las organizaciones reportaron que sus clientes los demandar\u00c3\u00ada si se vieran afectados negativamente por una pobre seguridad de la informaci\u00c3\u00b3n, un 27% dijeron que sus clientes desear\u00c3\u00adan auditar o verificar el enfoque de la compa\u00c3\u00b1\u00c3\u00ada respecto a la seguridad de la informaci\u00c3\u00b3n, y un 48% dijeron que sus clientes, como m\u00c3\u00adnimo, les preguntar\u00c3\u00ada sobre la seguridad de la informaci\u00c3\u00b3n. Si casi la mitad de una base de clientes promedio, est\u00c3\u00a1 preocupada por la seguridad de la informaci\u00c3\u00b3n, no deber\u00c3\u00ada ser una sorpresa ver el grado de aceptaci\u00c3\u00b3n que tiene la norma en la actualidad.<\/p>\n
El da\u00c3\u00b1o potencial causado por una actitud poco estricta respecto a la seguridad no deber\u00c3\u00ada ser subestimado. Ante el caso de gigantes de las ventas minoristas como TK Maxx, la filial en el Reino Unido de TJX de los Estados Unidos, la que fue sorprendida por hackers que le robaron informaci\u00c3\u00b3n sobre tarjetas de cr\u00c3\u00a9dito de por lo menos 45.7 millones de clientes, la necesidad de la norma nunca ha sido mayor. Seg\u00c3\u00ban Gamma, el 78% de las organizaciones entrevistadas expresaron directamente su preocupaci\u00c3\u00b3n sobre la fuga de informaci\u00c3\u00b3n sensible a terceros y parece que esta preocupaci\u00c3\u00b3n puede ser y esta siendo encarada por medio de la implementaci\u00c3\u00b3n y mantenimiento de los requisitos de la norma ISO 27001 .
\n
\nLas normas contienen textos que est\u00c3\u00a1n protegidos por derechos de copyright, y por lo tanto, deben ser compradas. Para norma ISO, incluyendo la norma ISO\/IEC 27001, contactar al ANSI http:\/\/webstore.ansi.org. O puede comprar directamente por medio de la ISO<\/font><\/a><\/p>\n