BOLETÍN / 2006 - SEGUNDO TRIMESTRE / LA FAMILIA ISO 27000
 

La normativa ISO 27000 ha arrancado en este año 2006 bastante fuerte. La mayoría de los clientes potenciales y empresas consultoras han definido la vía por la que va a ir el mercado en los próximos años, y este camino lo abre la actividad de seguridad de la información.

En el anterior artículo realizado para RASI me centré en hablar de los cambios existentes entre la SS 7799 parte 2 y la ISO 27001 así como los nuevos controles diseñados. En esta ocasión, creo correcto comenzar a clarificar el amplio y complejo mundo de la normativa de Seguridad, que debido a la maraña de normas puede llegar a ser realmente confuso.

Pasamos a comentarlo a continuación:

La familia de la norma ISO 27000 se encuentra formada por los siguientes standards:

  • ISO/lEC 27000 - Fundamentos y vocabulario.
  • ISO/lEC 27001 - Sistema de Gestión de Seguridad la información.
    También conocida por SGSI o la siglas en inglés ISMS (Information Security Management System). Es la parte certificable e identifica los requisitos necesarios para realizar una auditoría de certificación de manera exitosa. Anteriormente conocida como SS 7799 Parte 2:2005 fue publicada el 15 de Octubre del 2005. Por decirlo de algún modo, es "la niña bonita" de esta familia.
  • ISO/lEC 27002 - Código de buenas prácticas de seguridad de la información que será publicado en Abril del 2007.
    Actualmente se utiliza la normativa ISO/ lEC 17799:2005, la cual fue publicada el15 de Junio del 2005.
  • ISO/lEC 27003- Guía de implantación de un SGSI (bajo desarrollo).
  • ISO/lEC 27004 - Medidas de gestión de seguridad de la información (bajo desarrollo).
  • ISO/lEC 27005 - Gestión del riesgo de seguridad de la información (basado en la normativa ISO/lEC 1335 Parte 2)
    (bajo desarrollo).

De igual modo no hay que olvidar una serie de normas, que aunque quedan fuera de la familia de la ISO/lEC 27000, la complementan:

  • ISO 9001 :2000 Sistemas de Gestión de Calidad - Requisitos (apoyo de norma de Seguridad de la Información). El objetivo último es la integración de Sistemas y el punto de partida es la norma certificable más conocida a nivel mundial que es la norma de Calidad. La normativa SS 7799 parte 2 fue modificada en el año 2002 con el objetivo de mejorar la integración de Sistemas y unificar los puntos de las diferentes normas existentes en el mercado.
  • ISO/lEC Guia 62 (1996) - Requisitos generales para las Entidades de Certificación de Sistemas de Calidad (Normas acreditadas). En estas guías (tanto en ésta como en la siguiente) se identifican básicamente los requisitos mínimos para ser auditor de una Entidad de Certificación, criterios mínimos a exigir en auditorías, número de días de auditoría a realizar en empresas así como documentos y manuales a desarrollar por la Entidad de Certificación para soportar el sistema.
  • EA 7/03, Guía para la Acreditación de la Entidades de Certificación de Sistemas de Seguridad de la Información (Normas acreditadas). Son normas por las cuales las Entidades de Certificación tenemos que cumplir con los requisitos que nos marcan las Entidades de Acreditación (UKAS, RVA, ...). En España el equivalente es ENAC, aunque en materia de Seguridad de la Información no se ha desarrollado un esquema de acreditación, existe un grupo de trabajo para el desarrollo de éste y crear un esquema de SGSI certificable con acreditación española. No obstante, actualmente en España se pueden certificar Sistemas SGSI con acreditación extranjera como pueden ser las anteriormente citadas Entidades de Acreditación. La validez de un certificado acreditado a nivel mundial es total, siendo el reconocido en Europa por EA (European Cooperation for Accreditation) y a nivel mundial por IAF (Internacional Accreditation Forum).

En España actualmente, las empresas certificadas en SGSI poseen acreditación UKAS (United Kingdom Accreditation
Service), aunque es reconocida cualquier tipo de acreditación.

  • - ISO/ lEC 17799:2005 Código de prácticas para gestión de la seguridad de la información. Como hemos comentado anteriormente es la norma que utilizamos para guiarnos en la implantación de la parte 2, la parte certificable (ISO 27001); no obstante, volver a recalcar que está previsto que dicha normativa pase a denominarse ISO 27002 en Abril del 2007, eso sí, la modificación será mínima, basándose el cambio de la norma en el mero cambio de nombre.

Básicamente son unas guías, unas buenas prácticas para la implantación del Sistema.

En resumen, podemos comentar que éstos son lo standards básicos de la normativa aplicable a la actividad de seguridad
de la información. Si queremos implantar un SGSI en nuestra empresa, mi recomendación es utilizar la ISO 17799:2005 y la ISO 27001 :2005 I 8S7799:2002 indistintamente (ya que actualmente pueden convivir las 2 normas para en Julio del 2007 quedar exclusivamente la ISO 27001; no obstante, lo más lógico sería utilizar la norma más actual, es decir utilizar la
ISO y no la 8S).

Alejandro García.
Consejo Directivo, RASI.
Consejo General de Colegios de Economistas.
www.economistas.org/rasi.,
www.rasi@economistas.org