Las
empresas modernas procuran continuamente mejorar sus procesos internos de
producción y gestión para posicionarse ante la competencia.
En un
mundo globalizado y competitivo, la mejor forma de lograr este objetivo es a
través de la obtención de certificaciones de calidad o ISO, avaladas por la International
Standard Organization.
Una certificación
ISO garantiza el fiel cumplimiento de normas internacionales en los
procesos principales de una empresa.
Pero
también hay otras normas que se aplican a áreas específicas de la organización,
sin importar si se relacionan directamente con la producción o servicio que
esta presta.
Por
ejemplo, una empresa productora de piezas automotrices puede recibir la certificación
de calidad ISO en sus líneas de producción, pero además procurar la
certificación en su área administrativa y de manejo de Recursos Humanos.
En este
artículo explicaremos qué es la norma
ISO-27000, referida en este caso al conjunto de estándares que deben
cumplir las organizaciones para implementar con éxito un Sistema de Gestión
de la Seguridad de la Información (SGSI).
¿A qué nos referimos con gestión de la Seguridad de la Información?
Este
término se refiere a los procesos y políticas implementadas para asegurar que
la información manejada por la empresa, clientes y usuarios de sus servicios
estará debidamente protegida.
Esto
implica tres objetivos principales:
Garantizar la confidencialidad de los datos e información de la empresa, clientes y/o usuarios.
Proteger y conservar los datos y su integridad ante todo tipo de
riesgo interno o externo.
Asegurar que los datos e información protegida puedan ser consultados
rápida y eficientemente cuando lo requiera cualquier otra unidad de la
organización o un ente regulador.
¿Cuál es el contenido de la familia de la norma ISO-27000?
La norma
ISO-27000 agrupa varias subnormas que señalan detalladamente cada uno de
los pasos a seguir para poder recibir esta certificación.
Sus bases
son las ISO-27001
y la ISO-27002. La primera se aplica en organizaciones que ejecutan una
gestión de seguridad de la información que identifica riesgos de manera
continua en el tiempo.
Por su
parte, la ISO-27002 es una guía de buenas prácticas que señala los
principales objetivos que deben cumplir las empresas en materia de control y
gestión de la seguridad de la información.
Al cumplir
la norma ISO-27000 las empresas pueden poner en práctica las siguientes
subnormas para mejorar de manera integral su gestión de Seguridad de la
Información:
La primera es la ISO-27001,
que define los requisitos a cumplir para implementar un Sistema de Gestión
de Seguridad de la Información en cualquier organización. Esta subnorma
cuenta con su propia certificación.
En segundo lugar tenemos la ISO-27002, que es un manual de buenas
prácticas que describe los controles y objetivos que se deben cumplir en un
SGSI.
Su última actualización incluye 14 dominios, así como 114 controles y 35
objetivos de control que se deben aplicar.
Luego sigue la norma ISO-27003, que es una guía de ayuda para
la puesta en práctica de un SGSI y contiene directrices generales para el
éxito de este proyecto. Sirve de complemento a la norma 27001.
Por su parte la norma ISO-27004 enumera varias recomendaciones
a seguir para medir y evaluar el funcionamiento de un SGSI.
Describe temas como la configuración de métricas, frecuencia de las
mediciones y formas para hacerlo, así como da guías sobre cómo conseguir
objetivos específicos.
La ISO-27005 orienta a la organización sobre cómo abordar la
gestión de riesgos. A tal efecto, describe potenciales amenazas y
vulnerabilidades que deben ser atendidas y previstas en todo SGSI.
La ISO-27006 explica los requisitos necesarios para la acreditación
de las empresas certificadoras de la norma ISO-27000.
Finalmente, la ISO-27007 orienta sobre cómo realizar
auditorías a un SGSI.
Al respecto, señala qué procesos se deben auditar y con cuál frecuencia,
así como la forma de planificar y realizar la auditoría y el método para
asignar auditores cualificados a esta tarea.