Norma ISO/IEC 27001: novedades hasta la fecha
La ISO/IEC 27001, norma de un sistema de gestión de seguridad en la información (ISMS), fue publicada en octubre de 2005. ¿Luego de dos años, ha sido un éxito?. ¿Es tan eficaz y popular como lo son las normas de calidad y medioambiente?. Pandita Louram investiga si la norma ISO/IEC 27001 se ha asegurado un lugar entre las famosas de sistemas de gestión.
La ISO/IEC 27001 fue publicada como norma internacional a finales de 2005. Hasta esa fecha, las organizaciones que deseaban certificar sus ISMS recurrían a la norma británica BS 7799 Parte 2 en lugar de una internacional. La ISO/IEC 27001 puede ser usada por todo tipo de organizaciones – grandes, medianas, pequeñas – en la mayoría de los ámbitos comerciales e industriales.
La implementación de la norma ISO/IEC 27001 asegurará a clientes y proveedores que la seguridad en la información es tomada en serio dentro de las organizaciones con las que se relacionan, porque tienen implementados procesos que incorporan aspectos de las reglas del arte para encarar temas y amenazas relacionadas con la seguridad de la información. Las organizaciones que están certificadas según esta norma deben:
* demostrar que todas las actividades se realizan según un método establecido – el método puede ser definido por la organización pero debe estar bien definido y documentado
* especificar sus objetivos de seguridad; el auditor verificará si estos objetivos se cumplen
* usar los resultados de un análisis de riesgos para establecer medidas de seguridad de la información
* establecer un conjunto de controles de seguridad – los que son sugeridos por la norma, pero queda a criterio de la organización determinar qué controles implementará basándose en las necesidades específicas de sus negocios
* implementar un proceso que asegure la verificación continua de todos los elementos del sistema de seguridad por medio de auditoras y revisiones
* implementar un proceso que asegure la mejora continua de todos los elementos del sistema de seguridad
La norma ISO/IEC 27001 está alineada tanto con la de sistemas de gestión de la calidad (ISO 9001) como con la de sistemas de gestión ambiental (ISO 14001). Estas tres normas comparten elementos del sistema y principios tales como el PDCA (planificar, hacer, verificar, actuar). Es posible y para la mayoría beneficioso, integrar los tres sistemas en la medida que tenga sentido.
Pero, ¿cuán exitosa ha sido la aplicación de la norma ISO/IEC 27001?. La certificación varía de país en país. Ha demostrado ser, de lejos, muy popular en organizaciones del mercado japonés. Desde su publicación, se han emitido 1907 certificados en Japón. Esto representa el 58% del total de certificados emitidos en el mundo. Japón es seguida por el Reino Unido con el 10% (319 certificados), India con el 8% (269 certificados), Taiwan con el 4% (123 certificados) y Alemania con el 2% (74 certificados). Asia, principalmente debido al entusiasmo japonés, es responsable por el mayor número de certificados con 2477, o el 75% del total de certificados emitidos en el mundo. Europa es el continente que le sigue con 682 certificados o un 21% del total, dejando al resto del mundo con el 4% restante.
A febrero de 2007, se habían emitido 3309 certificados en un total de 68 países. Aunque parece que esta norma tiene un largo camino para recorrer, es aún temprano para hacer un pronóstico. Vale la pena tener en cuenta que a comienzos de 1993, seis años después de la publicación de la norma ISO 9001, se habían emitido un total de 27816 certificados en solamente 48 países.
En sus primeros seis años, la ISO 9001 experimentó un crecimiento anual del 16%. Asumiendo que los certificados serán otorgados a un ritmo similar al de que han tenido desde octubre 2005, el pronóstico para el crecimiento anual para la ISO/IEC 27001 debería ser de más del 25%. También se están emitiendo certificados en una gran variedad de países, incluyendo regiones en vías de desarrollo, tales como Moldavia e Indonesia.
Este interés en la norma puede deber a un número de rezones, tales como la popularidad de los sistemas de gestión de la calidad y del medioambiente o la creciente dependencia de las organizaciones en la información, particularmente información electrónica, y la necesidad de conservar la confidencialidad y seguridad de esta información. Las organizaciones en todo el mundo, y en particular las de Asia, están reconociendo cada vez más los beneficios que la certificación ofrece a largo plazo.
Un estudio realizado por Gamma, consultores en seguridad de la información, muestra la necesidad de salvaguardar la información. Gamma consultó a un total de 4363 organizaciones, entre 1998 y 2006. Los resultados del estudio mostraron la importancia que tiene para las organizaciones la confidencialidad de la información, independiente de la industria y de su tamaño. Un 29% de las organizaciones reportaron que sus clientes los demandaría si se vieran afectados negativamente por una pobre seguridad de la información, un 27% dijeron que sus clientes desearían auditar o verificar el enfoque de la compañía respecto a la seguridad de la información, y un 48% dijeron que sus clientes, como mínimo, les preguntaría sobre la seguridad de la información. Si casi la mitad de una base de clientes promedio, está preocupada por la seguridad de la información, no debería ser una sorpresa ver el grado de aceptación que tiene la norma en la actualidad.
El daño potencial causado por una actitud poco estricta respecto a la seguridad no debería ser subestimado. Ante el caso de gigantes de las ventas minoristas como TK Maxx, la filial en el Reino Unido de TJX de los Estados Unidos, la que fue sorprendida por hackers que le robaron información sobre tarjetas de crédito de por lo menos 45.7 millones de clientes, la necesidad de la norma nunca ha sido mayor. Según Gamma, el 78% de las organizaciones entrevistadas expresaron directamente su preocupación sobre la fuga de información sensible a terceros y parece que esta preocupación puede ser y esta siendo encarada por medio de la implementación y mantenimiento de los requisitos de la norma ISO 27001 .
Las normas contienen textos que están protegidos por derechos de copyright, y por lo tanto, deben ser compradas. Para norma ISO, incluyendo la norma ISO/IEC 27001, contactar al ANSI http://webstore.ansi.org. O puede comprar directamente por medio de la ISO
Para obtene rmás información de los servicios del IRCA, consulte aquí
Fuente: http://spain.irca.org/inform/issue14/PLouram.html
La ISO/IEC 27001 fue publicada como norma internacional a finales de 2005. Hasta esa fecha, las organizaciones que deseaban certificar sus ISMS recurrían a la norma británica BS 7799 Parte 2 en lugar de una internacional. La ISO/IEC 27001 puede ser usada por todo tipo de organizaciones – grandes, medianas, pequeñas – en la mayoría de los ámbitos comerciales e industriales.
La implementación de la norma ISO/IEC 27001 asegurará a clientes y proveedores que la seguridad en la información es tomada en serio dentro de las organizaciones con las que se relacionan, porque tienen implementados procesos que incorporan aspectos de las reglas del arte para encarar temas y amenazas relacionadas con la seguridad de la información. Las organizaciones que están certificadas según esta norma deben:
* demostrar que todas las actividades se realizan según un método establecido – el método puede ser definido por la organización pero debe estar bien definido y documentado
* especificar sus objetivos de seguridad; el auditor verificará si estos objetivos se cumplen
* usar los resultados de un análisis de riesgos para establecer medidas de seguridad de la información
* establecer un conjunto de controles de seguridad – los que son sugeridos por la norma, pero queda a criterio de la organización determinar qué controles implementará basándose en las necesidades específicas de sus negocios
* implementar un proceso que asegure la verificación continua de todos los elementos del sistema de seguridad por medio de auditoras y revisiones
* implementar un proceso que asegure la mejora continua de todos los elementos del sistema de seguridad
La norma ISO/IEC 27001 está alineada tanto con la de sistemas de gestión de la calidad (ISO 9001) como con la de sistemas de gestión ambiental (ISO 14001). Estas tres normas comparten elementos del sistema y principios tales como el PDCA (planificar, hacer, verificar, actuar). Es posible y para la mayoría beneficioso, integrar los tres sistemas en la medida que tenga sentido.
Pero, ¿cuán exitosa ha sido la aplicación de la norma ISO/IEC 27001?. La certificación varía de país en país. Ha demostrado ser, de lejos, muy popular en organizaciones del mercado japonés. Desde su publicación, se han emitido 1907 certificados en Japón. Esto representa el 58% del total de certificados emitidos en el mundo. Japón es seguida por el Reino Unido con el 10% (319 certificados), India con el 8% (269 certificados), Taiwan con el 4% (123 certificados) y Alemania con el 2% (74 certificados). Asia, principalmente debido al entusiasmo japonés, es responsable por el mayor número de certificados con 2477, o el 75% del total de certificados emitidos en el mundo. Europa es el continente que le sigue con 682 certificados o un 21% del total, dejando al resto del mundo con el 4% restante.
A febrero de 2007, se habían emitido 3309 certificados en un total de 68 países. Aunque parece que esta norma tiene un largo camino para recorrer, es aún temprano para hacer un pronóstico. Vale la pena tener en cuenta que a comienzos de 1993, seis años después de la publicación de la norma ISO 9001, se habían emitido un total de 27816 certificados en solamente 48 países.
En sus primeros seis años, la ISO 9001 experimentó un crecimiento anual del 16%. Asumiendo que los certificados serán otorgados a un ritmo similar al de que han tenido desde octubre 2005, el pronóstico para el crecimiento anual para la ISO/IEC 27001 debería ser de más del 25%. También se están emitiendo certificados en una gran variedad de países, incluyendo regiones en vías de desarrollo, tales como Moldavia e Indonesia.
Este interés en la norma puede deber a un número de rezones, tales como la popularidad de los sistemas de gestión de la calidad y del medioambiente o la creciente dependencia de las organizaciones en la información, particularmente información electrónica, y la necesidad de conservar la confidencialidad y seguridad de esta información. Las organizaciones en todo el mundo, y en particular las de Asia, están reconociendo cada vez más los beneficios que la certificación ofrece a largo plazo.
Un estudio realizado por Gamma, consultores en seguridad de la información, muestra la necesidad de salvaguardar la información. Gamma consultó a un total de 4363 organizaciones, entre 1998 y 2006. Los resultados del estudio mostraron la importancia que tiene para las organizaciones la confidencialidad de la información, independiente de la industria y de su tamaño. Un 29% de las organizaciones reportaron que sus clientes los demandaría si se vieran afectados negativamente por una pobre seguridad de la información, un 27% dijeron que sus clientes desearían auditar o verificar el enfoque de la compañía respecto a la seguridad de la información, y un 48% dijeron que sus clientes, como mínimo, les preguntaría sobre la seguridad de la información. Si casi la mitad de una base de clientes promedio, está preocupada por la seguridad de la información, no debería ser una sorpresa ver el grado de aceptación que tiene la norma en la actualidad.
El daño potencial causado por una actitud poco estricta respecto a la seguridad no debería ser subestimado. Ante el caso de gigantes de las ventas minoristas como TK Maxx, la filial en el Reino Unido de TJX de los Estados Unidos, la que fue sorprendida por hackers que le robaron información sobre tarjetas de crédito de por lo menos 45.7 millones de clientes, la necesidad de la norma nunca ha sido mayor. Según Gamma, el 78% de las organizaciones entrevistadas expresaron directamente su preocupación sobre la fuga de información sensible a terceros y parece que esta preocupación puede ser y esta siendo encarada por medio de la implementación y mantenimiento de los requisitos de la norma ISO 27001 .
Las normas contienen textos que están protegidos por derechos de copyright, y por lo tanto, deben ser compradas. Para norma ISO, incluyendo la norma ISO/IEC 27001, contactar al ANSI http://webstore.ansi.org. O puede comprar directamente por medio de la ISO
Para obtene rmás información de los servicios del IRCA, consulte aquí
Fuente: http://spain.irca.org/inform/issue14/PLouram.html
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!