ISO Y NORMAS QUE TIENE PARA EL ÁREA DE INFORMÁTICA

ISO significa Organización Internacional de Normalización nacida tras la Segunda Guerra Mundial (23 de febrero de 1947), es el organismo encargado de promover el desarrollo de normas internacionales de fabricación (tanto de productos como de servicios), comercio y comunicación para todas las ramas industriales. Su función principal es la de buscar la estandarización de normas de productos y seguridad para las empresas u organizaciones (públicas o privadas) a nivel internacional.

La ISO es una red de los institutos de normas nacionales de 163 países, sobre la base de un miembro por país, con una Secretaría Central en Ginebra (Suiza) que coordina el sistema. Está compuesta por delegaciones gubernamentales y no gubernamentales subdivididos en una serie de subcomités encargados de desarrollar las guías que contribuirán al mejoramiento.

Las normas desarrolladas por ISO son voluntarias, comprendiendo que ISO es un organismo no gubernamental y no depende de ningún otro organismo internacional, por lo tanto, no tiene autoridad para imponer sus normas a ningún país. El contenido de los estándares está protegido por derechos de copyright y para acceder a ellos el público corriente debe comprar cada documento.

La Organización está compuesta por representantes de los organismos de normalización (ON) nacionales, que produce diferentes normas internacionales industriales y comerciales. Dichas normas se conocen como «normas ISO» y su finalidad es la coordinación de las normas nacionales, en consonancia con el Acta Final de la Organización Mundial del Comercio, con el propósito de facilitar el comercio, el intercambio de información y contribuir con normas comunes al desarrollo y a la transferencia de tecnologías.

La organización ISO está compuesta por tres tipos de miembros:

Ø  Miembros simples, uno por país, recayendo la representación en el organismo nacional más representativo.

Ø  Miembros correspondientes, de los organismos de países en vías de desarrollo y que todavía no poseen un comité nacional de normalización. No toman parte activa en el proceso de normalización pero están puntualmente informados acerca de los trabajos que les interesen.

Ø  Miembros suscritos, países con reducidas economías a los que se les exige el pago de tasas menores que a los correspondientes.

Normas que tiene pata el área de informática

En seguridad de la información la referencia obligada a nivel internacional es la norma ISO 17799:2000, que incluye la seguridad informática. Originariamente el primer estándar en seguridad de la información fue desarrollado en los años 1990, en Inglaterra, como respuesta a las necesidades de la industria, el gobierno y las empresas para fomentar un entendimiento común sobre el tema y establecer lineamientos generales. En 1995, el estándar BS 7799 es oficialmente presentado. En 1998 se establecen las características de un Sistema de Gestión de la Seguridad de la Información (SGSI) que permita un proceso de certificación, conocida como BS 7799.

Recién en diciembre del 2000 la organización de estándares internacionales (ISO) incorpora la primera parte de la norma BS 7799, rebautizada como ISO 17799, la cual se presenta bajo la forma de notas de orientación y recomendaciones en el área de Seguridad de la información.

En el año 2005 hubo cambios interesantes a nivel de ISO 17799 y de COBIT (con su nueva versión 4.0). En cuanto a la norma ISO, las novedades son más que interesantes. Hasta ahora muchas compañías se alineaban a la 17799:2000 y luego tenían que certificar la norma BS 7799:2002 dado que ISO no había reglamentado las características de un Sistema de Gestión de Seguridad de la Información.

La buena noticia es que a partir de ahora se podrá certificar con la nueva norma ISO/IEC 27001. Entonces, hoy el marco teórico es la ISO/IEC 17799:2005 y el marco práctico paso a ser la ISO/IEC 27001:2005. Esta última define el Sistema de Gestión de la Seguridad de la Información (SGSI). Con estos cambios la ISO 17799:2005 que con el tiempo deberá ser reemplazada por la ISO 27001 marco teórico, se incluyen novedades importantes:

1.  Se agrega un nuevo dominio (“Administración de incidentes de la seguridad de la información”), es decir que ahora son 11 dominios.
2. Un marco teórico más fácil de aplicar, ya que cada dominio incluye el objetivo de control específico, el marco de implementación y un anexo de información adicional. Esto permite establecer un tablero de control más simple e incluso auditarlo con COBIT.