la ISO 27003 proporciona una guía para la implantación de un Sistema de Gestión, la ISO 27005 hace referencia a la gestión de riesgos asociados a los Sistemas de Gestión de la Información.
Por Luis R. Soto E.
Cuando hablamos de la Norma ISO 27001 inmediatamente nos llega a la mente el concepto de seguridad de la información; y es que esta norma fue concebida con el objetivo de definir los lineamientos necesarios para garantizar la confidencialidad, integridad y disponibilidad de la información en todo su contexto. Pero 27001 es solo un estándar dentro del conjunto que encontramos en la familia de la serie ISO 27000; cuyos estándares son gestionados y publicados por la Organización Internacional para la Estandarización (ISO) y la Comisión Electrónica Internacional (IEC).
Lo que hace diferente el estándar 27001, dentro de la familia ISO 27000, es que este es el único que es implementable y certificable; todos los demás vienen siendo guías, referencias y buenas prácticas de implementación, para la definición de controles. Así, por ejemplo: la ISO 27003 proporciona una guía para la implantación de un Sistema de Gestión, la ISO 27005 hace referencia a la gestión de riesgos asociados a los Sistemas de Gestión de la Información, de igual forma la ISO 27006 establece los requisitos que necesitan las organizaciones que quieren acreditarse como certificadoras de otras en el cumplimiento de la ISO/IEC 27001. Todos esos estándares están alineados en un fin en común: Garantizar con su cumplimiento la seguridad de la información.
Al ser el estándar 27001 el único que es certificable en su implementación, la estructura de su contenido está elaborado conforme al espiral de la mejora continua (PLAN-DO-CHECK-ACT); estando la composición de sus requerimientos implementables agrupados en las siguientes etapas: contexto de la organización, liderazgo, planificación, soporte, operación, evaluación de desempeño, mejora.
Las cuatro primeras etapas: contexto de la organización, liderazgo, planificación y soporte; corresponden al ciclo de PLAN (Planificar) dentro de la espiral; aquí es donde se definen los requerimientos para la implementación del Sistema de Gestión de Seguridad de la Información (SGSI).
La siguiente etapa: operación, corresponde al DO (Hacer), aquí recae toda la parte operativa y de mantenimiento dentro de las operaciones del SGSI. La etapa de Evaluación de Desempeño se refiere al monitoreo de la gestión, tanto por la alta gerencia, como por las partes interesadas.
Finalmente, la etapa de Mejora (ACT-Actuar) es donde recaen las labores de planes de trabajo y definición de acciones con miras a corregir las desviaciones identificadas en las etapas anteriores.
Dentro de la familia ISO, la norma 27001 cuenta con un estándar de apoyo para la efectiva implementación de sus controles: la ISO/IEC 27002, que viene siendo lo que conocemos como el “Anexo A”, de la referida norma. Este estándar está compuesto por 114 requisitos agrupados en 14 dominios de control y 35 objetivos de control, los cuales sirven de referencia al momento de definir los controles requeridos para la efectiva implementación de un SGSI en cualquier organización.
Este estándar es uno de los más usados al momento de gestionar la seguridad de la información en cualquier empresa, aun la misma no tenga la intención de certificarse.